Bezpieczeństwo sieci lokalnej

Proxy Server 1.0 umożliwia zabezpieczenie sieci, pracujących na bazie Windows NT.

Proxy Server 1.0 umożliwia zabezpieczenie sieci, pracujących na bazie Windows NT.

Microsoft wprowadził na rynek Proxy Server 1.0 - oprogramowanie zabezpieczające sieć komputerową opartą na Windows NT przed nie autoryzowanym dostępem z zewnątrz oraz realizujące funkcję bufora przesyłanych informacji. Przed oficjalnym wprowadzeniem do sprzedaży Proxy Server miał kodową nazwę Catapult.

Nowe oprogramowanie Microsoftu współpracuje ściśle z serwerem Internet Information Server (IIS). Jest to zarówno zaleta, gdyż oba produkty są dobrze zintegrowane z systemem operacyjnym Windows NT, który wykorzystują do pracy, jak i wada, gdyż administrator chcący zastosować Proxy Server Microsoftu skazany jest na używanie IIS jako swojego serwera WWW, FTP i Gopher.

Proxy oferuje dwa rodzaje usług: standardowe zabezpieczanie typu CERN oraz tzw. Remote WinSock (RWS), który znacznie rozszerza możliwości WinSock. CERN-owski serwis Proxy działa praktycznie na każdym kliencie sieciowym, a RWS obsługuje jedynie Windows 3.x, Windows 95 i Windows NT.

Niemniej RWS przynosi użytkownikowi wiele benefitów niedostępnych w standardowych usługach Proxy. Przede wszystkim pozwala on wykorzystywać inne usługi sieciowe niż FTP, Gopher i WWW (użytkownicy mogą korzystać także z usług bazujących na protokole UDP, np. Real Audio, umożliwiającego odtwarzanie głosu przez Internet). Jest całkowicie "przezroczysty" dla aplikacji zgodnych ze specyfikacją WinSock oraz pozwala klientom sieciowym wyposażonym wyłącznie w protokół IPX/SPX w pełni korzystać z zasobów sieci TCP/IP - w tym Internetu. To ostatnie rozwiązanie jest szczególnie przydatne użytkownikom standardowych sieci NetWare. Administrator bowiem może umożliwić wszystkim klientom sieciowym dostęp do Internetu bez konieczności instalowania na każdym z nich oprogramowania do obsługi TCP/IP.

Niestety, mimo wielu zalet, RWS nie jest perfekcyjny. Ma on dwie istotne wady: pracuje wyłącznie na klientach Windows (w przeciwieństwie do protokołu Socks Proxy, który obsługuje dowolnego klienta) oraz nie wspiera aplikacji WinSock 2.0, które już pojawiają się na rynku. Jednak dla dzisiejszych aplikacji, zgodnych z WinSock 1.1, Proxy Server jest wystarczającym rozwiązaniem.

Instalacja

Microsoft zaleca stosowanie Proxy Servera na serwerze wyposażonym w dwie karty sieciowe. Jedna z nich powinna być podłączona bezpośrednio do routera, a druga włączona do obsługiwanej wewnętrznej sieci komputerowej. Najbardziej czasochłonne okazało się dodanie karty sieciowej do serwera i jej skonfigurowanie.

Instalacja oprogramowania jest bardzo prosta. Wymaga ono systemu operacyjnego Windows NT Server 4.0 oraz serwera IIS. Instalacja IIS i Proxy Servera trwała ok. pół godziny i nie wymagała żadnych dodatkowych informacji, poza docelową lokalizacją plików oraz wyborem sterownika ODBC dla IIS.

Podobnie było z instalacją klientów RWS. Zarówno Netscape Navigator, jak i Microsoft Explorer nie miały żadnych problemów podczas współpracy z Proxy Serverem Microsoftu.

Po stronie serwera w konsoli administracyjnej (Internet Service Manager) programu IIS obok WWW, Gopher i FTP pojawiły się kolejne dwie usługi: Proxy i RWS. Dla każdej z nich oddzielnie można ustalać zasady filtrowania danych, prawa dostępu i zapisywać informacje o pracy w "dziennikach" systemowych. Przydzielanie praw dostępu poszczególnym użytkownikom lub ich grupom wygląda podobnie jak zakładanie konta dla nowego użytkownika w systemie Windows NT - gdzie określa się prawa dostępu do katalogów dyskowych.

Używanie i administracja

Aby przetestować pracę Proxy Servera umożliwiłem za pośrednictwem Proxy dostęp do WWW i FTP wszystkim użytkownikom sieci. Po skonfigurowaniu Internet Explorera, tak by korzystał z serwisu Proxy, nie zauważyłem żadnych opóźnień w transmisji danych - przeglądarka wyświetlała strony równie szybko, jak przy bezpośrednim podłączeniu do Internetu.

Następnie sprawdziłem działanie usługi RWS umożliwiając użytkownikom korzystanie z Real Audio - odbierania głosu przesyłanego jako ciąg danych przez Internet. Także tutaj Proxy Server sprawował się w pełni poprawnie, umożliwiając dostęp do Real Audio, ale nie udostępniając np. IRC.

RWS zawiera wiele definicji protokołów internetowych, na używanie których można zezwolić wybranym użytkownikom. Wśród nich są m.in. IRC, VDOLive oraz LDAP. Nie jest większym problemem, jeśli RWS nie oferuje obsługi rzadziej stosowanego protokołu, gdyż umożliwia on administratorowi własnoręczne dodawanie ich obsługi. Wystarczy zdefiniować nazwę protokołu, typ jego połączenia oraz numer portu, na którym działa.

Dodatkowo Microsoft umieścił w programie możliwość filtrowania albo inaczej mówiąc ograniczania dostępu do określonych domen i komputerów w Internecie. To samo dotyczy ruchu internetowego, wchodzącego do sieci korporacyjnej - dla określonych protokołów ustawić można "zakaz wstępu", dzięki czemu zyskać pewność, że użytkownicy z określonych domen lub też całego Internetu nie będą mogli bezkarnie buszować po firmowej sieci.

Niestety, niemożliwe jest ustawienie "zakazanych miejsc" w sieci Internet dla określonych użytkowników. Można to zrobić wyłącznie w ramach obsługiwanej sieci firmowej - dostęp do danego serwera będą mieli wszyscy pracownicy albo żaden z nich.

Buforowanie danych

Jedną z najważniejszych cech Proxy Servera Microsoftu, obok zabezpieczania dostępu do sieci korporacyjnej oraz odcinania użytkownikom możliwości wydostania się z niej, jest opcja buforowania przesyłanych danych.

Mechanizm ten działa w ten sposób, że dane ściągane z Internetu przez użytkowników nagrywane są także na dysku lokalnym serwera. Dzięki temu, jeśli kolejny użytkownik zażąda tych samych danych, np. będzie chciał obejrzeć tę samą stronę WWW, to jego żądanie obsłużone zostanie nie przez serwer w Internecie, ale przez lokalny, który wyśle do niego stronę znajdującą się w buforze.

Działanie takie ma wiele korzyści: przede wszystkim odciążana jest linia łącząca firmę z siecią Internet, a użytkownik otrzymuje stronę o wiele szybciej niż gdyby ściągana ona była rzeczywiście z Internetu (cała operacja odbywa się w ramach sieci lokalnej).

Wdrożenie takiego bufora danych wiąże się jednak z nie lada wyzwaniem. Użytkownicy korzystający z Internetu chcą mieć pewność, że otrzymują aktualne informacje. Pojawia się pytanie: jak im to zapewnić, wiedząc, że strona odczytywana jest z bufora, a więc nie zawsze jest aktualna (jest to tylko kopia oryginalnej strony, która mogła zostać zaktualizowana).

Proxy Server 1.0 oferuje kilka pomocnych rozwiązań. Przede wszystkim administrator może z góry określić, jak długo ściągnięte strony mają być przechowywane w buforze - po tym czasie są one usuwane i przy powtórnym żądaniu użytkownika ściągane ponownie z Internetu.

Jest to jednak najprostsze rozwiązanie. Proxy Server wyposażony został w namiastkę "inteligencji", która pozwala mu np. analizować, jak często strony są ściągane przez użytkowników, i aktualizować kopie najczęściej odwiedzanych stron w buforze, zanim użytkownik zażąda ich wyświetlenia. Operacja ta, podobnie jak wszystkie tu opisywane, dotyczy nie tylko stron WWW, ale dowolnych obiektów ściąganych z sieci Internet - plików, dźwięków itp.

Ponadto Proxy Server potrafi wygenerować tablicę najczęściej ściąganych z sieci obiektów, a następnie aktualizować je w czasie, gdy sieć jest najmniej obciążona, a dostęp do Internetu najszybszy. Czas ten może być określony przez administratora, ale domyślnie są to godziny nocne. Dzięki temu codziennie rano, gdy użytkownicy przychodzą do pracy, najczęściej oglądane przez nich strony czekają zaktualizowane w buforze na dysku lokalnego serwera. Oglądanie takich stron jest wtedy znacznie szybsze, a łącza internetowe nie jest niepotrzebnie obciążane w ciągu dnia.

Inne możliwości

Proxy Server 1.0 może być podłączony do Internetu zarówno za pośrednictwem linii dzierżawionej, jak i przez modem. W drugim wariancie oprogramowanie oferuje użytkownikowi opcję Auto Dial. Serwer Proxy przejmuje kontrolę nad modemem łączącym sieć lokalną z Internetem i nawiązuje automatycznie połączenie tylko wtedy, gdy jest to konieczne, np. gdy w buforze nie ma obiektu zażądanego przez użytkownika. Po zaktualizowaniu danych w buforze łączność jest przerywana, co pozwala zmniejszyć koszty połączeń.

Nowy produkt Microsoftu zintegrowany jest także w dużym stopniu z SQL Serverem za pośrednictwem którego prowadzona jest baza danych, zawierająca informacje o przebiegu pracy Proxy Servera, spis najczęściej żądanych obiektów oraz spis zawartości bufora z informacjami o terminach aktualizacji poszczególnych obiektów.

Pakiet zapewnia wysoki poziom bezpieczeństwa i odporny jest na najpopularniejsze metody ataku włamywaczy: spoofing IP, programy SATAN czy ISS.

Podsumowanie

Wysoki poziom integracji produktu z Windows NT powoduje, że praktycznie nie jest wymagane żadne specjalne przeszkolenie dotyczące użytkowania Proxy Servera. Administrator musi mieć jedynie elementarne pojęcie o usługach sieci Internet i intranet oraz protokołach komunikacyjnych, na których one pracują.

Dokumentacja on-line dostarczana wraz z programem wyjaśnia, jak zbudować prosty system firewall i zapewnić bezpieczeństwo sieci korporacyjnej za pośrednictwem Proxy Server 1.0.

Pakiet dostępny jest już w sprzedaży, a jego promocyjna cena wynosi 995 USD. W ramach promocji licencje klienckie dostępne są bezpłatnie, ale prawdopodobnie już za kilka tygodni trzeba będzie za nie płacić. Użytkownicy dowolnego innego oprogramowania Proxy mogą nabyć nowy produkt Microsoftu w cenie 595 USD. Darmowa 60-dniowa wersja ewaluacyjna pakietu dostępna jest pod adresemhttp://www.microsoft.com/proxy .

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200