Tanie filtrowanie brzydkich stron

Nawet najmniejsza firma może niewielkim kosztem, przy użyciu narzędzi open source i wyposażonego w dwie karty sieciowe serwera z procesorem Celeron, wdrożyć rozwiązanie umożliwiające analizowanie i filtrowanie ruchu internetowego.

Nawet najmniejsza firma może niewielkim kosztem, przy użyciu narzędzi open source i wyposażonego w dwie karty sieciowe serwera z procesorem Celeron, wdrożyć rozwiązanie umożliwiające analizowanie i filtrowanie ruchu internetowego.

W większości przedsiębiorstw na całym świecie, w dowolnym momencie dnia pracy od kilkunastu do kilkudziesięciu procent pracowników korzysta z Internetu w sposób zupełnie nie związany z ich pracą. W równej mierze dotyczy to szeregowych pracowników firmy i jej kierownictwa.

O ile jednak z wdrożeniem takich rozwiązań nie mają zazwyczaj trudności duże firmy, o tyle w małych i średnich firmach wykorzystanie własnych nie jest zazwyczaj popularne. Firmy takie ograniczają się do stosowania zewnętrznych w3cache, wykorzystywanych wyłącznie jako bufory. Decydują o tym zwykle wysokie koszty rozwiązań komercyjnych oraz czasem brak świadomości korzyści wynikających z instalacji własnego serwera. Tymczasem wykorzystując zwykły jednoprocesorowy serwer z układem Celeron, 1 GB pamięci RAM, kilkoma dyskami twardymi IDE i dwoma kartami sieciowymi można, przy użyciu platformy Linux oraz dostępnie bezpłatnego oprogramowania Squid, zbudować wydajne i niezwykle elastyczne rozwiązanie proxy.

Dostęp na dwa sposoby

Squid to rozwijany w modelu open source i oferowany na zasadach GNU General Public License serwer proxy, wspierający protokoły HTTP, FTP oraz niemalże zapomniany już gopher. Obsługuje on także protokoły stosowane do szyfrowania przesyłanych informacji: SSL, TLS oraz warstwę transportową HTTPS. Pakiet Squid składa się z głównego programu o nazwie squid, programu przyporządkowującego numery IP nazwom DNS (tzw. DNS resolver), dodatkowych modułów do przepisywania zapytań i realizacji identyfikacji użytkowników oraz narzędzi zarządzających. Korzystanie z wszystkich modułów Squida nie jest obligatoryjne. Przykładowo: do rozpoznawania nazw DNS (zamianę na numery IP) można wykorzystywać standardowo dostępną w Linuxie aplikację nslookup, ale wiąże się to ze zmniejszeniem szybkości "rozwiązywania" nazw.

Jeśli firma ma odnieść korzyści z instalacji serwera, to jedynym wariantem jest wyposażenie go w dwie karty sieciowe, z których jedna byłaby podłączona do sieci firmowej, a druga - bezpośrednio do routera łączącego sieć z Internetem. W takim scenariuszu cały ruch kierowany do Internetu jest przesyłany przez serwer.

Oprogramowanie Squid można skonfigurować do pracy na dwa sposoby: w trybie transparentnym, w którym korzystanie z serwera jest całkowicie niewidoczne dla użytkownika, lub w trybie jawnym - wymagającym skonfigurowania przeglądarki do korzystania z serwera proxy. Druga metoda może być stosowana wtedy, gdy administrator wymaga wcześniejszej identyfikacji użytkowników, zanim zostanie im przyznana możliwość korzystania z proxy.

Funkcjonalnie oba tryby pracy niczym się nie różnią. Jakościową różnicę zauważą jedynie administratorzy, którzy chcą filtrować dostęp do Internetu, monitorując jednocześnie szczegółowo, w jaki sposób użytkownicy korzystają z sieci. W trybie transparentnym trudno bowiem zastosować rozbudowane funkcje filtrowania, a obsługa systemu kontroli jest kłopotliwa. Użytkownik może być bowiem identyfikowany jedynie wg wykorzystywanego numerze IP. W firmach, w których adresy IP są przyznawane dynamicznie (z wykorzystaniem DHCP), identyfikowanie w ten sposób konkretnych użytkowników może być bardzo pracochłonne.

Jeśli jednak podstawowym wymogiem jest monitoring sposobu korzystania z sieci przez użytkowników, należy się zdecydować na tryb pracy wymuszający na użytkownikach zalogowanie się na serwerze proxy. Problem może się pojawić wtedy, gdy użytkownicy korzystają z aplikacji nie współpracujących z serwerem proxy. Wówczas rozwiązaniem może być zainstalowanie dwóch serwerów: jednego w trybie wymuszającym identyfikację (nadrzędny) i drugiego w trybie transparentnym (podrzędny). Standardowo w takim przypadku komunikacja jest realizowana przez serwer wymuszający załogowanie, ale użytkownicy mogą również uzyskać dostęp do Internetu bez konieczności logowania. Sposobem na zachęcenie użytkowników do korzystania z serwera z logowaniem jest ustawienie na nim korzystniejszych warunków transmisji, np. serwer podrzędny może mieć skonfigurowany mniejszy maksymalny limit pasma.

Raporty w HTML

W firmie, w której sieć jest oparta na techno- logii Microsoft, logowanie użytkowników do Squida może przebiegać na dwa sposoby: automatycznie lub w trybie podstawowym. W pierwszym przypadku, stosowanym gdy użytkownicy korzystają z przeglądarki Internet Explorer, jeden z modułów Squida sprawdza, czy użytkownik próbujący uzyskać dostęp do proxy zalogował się wcześniej do domeny NT 4.0 lub Windows 2000.