персональных данных в ИСПДН до первого класса включительно.
Не надо задумываться о применимости или классе информационной системы, которую можно защищать сертифицированной версией UserGate, так как первый класс ИСПДн является максимальным.
Примечательно, что UserGate Proxy Firewall
Наличие сертификата соответствия – лишь одно из преимуществ. UserGate ProxyFirewall
Итак, основная функция программы – межсетевое экранирование. Реализована эта функция через собственный расширенный драйвер NAT, отличный от стандартного в Windows. Благодаря ему можно создавать локальные маршрутизируемые подсети, делать публикацию внутренних серверов для использования «снаружи», поддерживать VPN-соединения и протоколы IP-телефонии, создавать различные правила по доступу к внешним ресурсам либо их блокировке.
Применяются правила к пользователям либо компьютерам – последние могут быть представлены как IP-, так и MAC-адресом. Учетные записи пользователей UserGate могут быть синхронизированы с Active Directory, поддерживаются NTLM-аутентификация и объединение пользователей в группы.
AlienVault OSSIM — SIEM с открытым исходным кодом — инсталяция
UserGate умеет работать с несколькими провайдерами и осуществлять переключение на лету между ними, когда один из каналов «падает». После восстановления работоспособности канала произойдет обратное переключение. Также можно связать определенных пользователей с определенным каналом. Таким образом, без труда можно сделать так, что начальство будет пользоваться быстрым, стабильным и дорогим каналом, в то время как рядовые пользователи – дешевым и медленным.
Впрочем, распределить ширину канала между пользователями можно и при наличии только одного внешнего канала. UserGate умеет работать с шейпингом трафика, позволяя задавать ограничения для пользователей или их групп по скорости канала или по объему скачанной информации, уменьшая скорость канала вплоть до полной блокировки доступа. Кроме того, можно назначать разный приоритет для разных типов трафика.
Кстати, о разных видах трафика. UserGate имеет различные прокси-серверы для различных протоколов (HTTP, FTP, SOCKS, POP3, SMTP), работающие в прозрачном или непрозрачном режимах. Кроме того, поддерживается каскадирование прокси-серверов.
Сегодня мало разграничить правила, разрешающие и запрещающие доступ в Интернет, зачастую нужно постараться предотвратить нецелевое его использование. Существует два принципиальных подхода к этой проблеме – предварительная фильтрация либо административный запрет. Во втором случае выпускается административное распоряжение, запрещающее пользоваться определенными ресурсами, например, сайтами социальных сетей. В конце отчетного периода администратор готовит руководству отчет по работе пользователей в Интернете, на основании этого происходит разбор полетов и наказание нарушителей.
Для первого подхода существует база данных адресов сайтов, отсортированных по различным категориям, в рамках которой запрещается или разрешается доступ определенным пользователям к определенным категориям. Такие решения – не редкость, однако их обычное узкое место – это поддержание базы в актуальном состоянии и наличие в ней регионально значимых сайтов. Например, база для пользователей из США будет не очень актуальна для России и наоборот. Очевидно, это понимали и разработчики UserGate, потому что в рамках продукта предлагается специально адаптированная для использования русскоязычными пользователями база, содержащая 500 миллионов сайтов (из которых до 10 миллионов – русскоязычные) в 82 категориях.
Контроль за приложениями на пользовательских компьютерах также возможен. Для этого на клиентских компьютерах разворачивается бесплатная программа-агент, которая будет связываться с сервером UserGate, блокировать или разрешать работу приложения в Интернете. Кроме того, подход за контролем приложений позволит получить наиболее полную статистику использования интернет-ресурсов.
Построение наглядных отчетов по различным критериям – это то, что помогает системному администратору в общении с руководством. Используя статистику и отчеты UserGate, можно без труда перевести трафик в деньги и показать руководству реальную экономию от внедрения программы.
Кроме того, в UserGate существует возможность доступа к веб-статистике, причем доступ может быть трех уровней – пользователь, директор и администратор. Пользователь видит только свою статистику и может следить за тем, как он расходует интернет-трафик. Директорский уровень доступа позволяет следить за статистикой всех пользователей, администратор, кроме того, может еще и создавать шаблоны отчетов для получения статистических данных (см. рис. 2).
Рисунок 2. Веб-статистика в UserGate
Антивирусная защита в UserGate
Да-да, все правильно – есть возможность приобрести UserGate с антивирусным модулем. Это вполне логичное решение – сейчас большинство вирусов попадает на компьютер пользователя через Интернет. Так почему бы не перехватывать вредоносные программы на шлюзе, не допуская такой трафик до клиентского компьютера? Разумеется, отказываться от антивирусного ПО на компьютерах пользователей не нужно, так как есть и другие пути заражения компьютера вирусом – например, через флешки.
На этом я завершу краткий обзор российского межсетевого экрана UserGate Proxyhttps://samag.ru/archive/article/1213″ target=»_blank»]samag.ru[/mask_link]
Usergate domain authorization agent что это за программа
Установка прокси-сервера UserGate
Процедура установки UserGate сводится к запуску инсталляционного файла и к выбору опций «Мастера установки». При первой установке UserGate достаточно оставить опции установки по умолчанию. В процессе установки инсталлятор отобразит диалог выбора «нетарифицируемых» сетевых интерфейсов.
В диалоге будут перечислены все активные сетевые интерфейсы компьютера, на который устанавливается UserGate, с возможностью выбора любого из них. При обычном типе доступа в Интернет (выделенная линия, модемное подключение), в качестве «нетарифицируемых» (или локальных сетевых интерфейсов) нужно указать интерфейсы, соответствующие локальной сети. Если подключение к сети Интернет выполняется через VPN (OpenVPN) соединение, как при спутниковом доступе, то в качестве «нетарифицируемых» интерфейсов требуется указать все сетевые интерфейсы сервера, кроме VPN-соединения. Выбор интерфейсов важен, поскольку он определяет правильность подсчета трафика в целом.
Как правило, в небольших сетях, компьютер, исполняющий роль Интернет шлюза или прокси-сервера, одновременно является и рабочей станцией. С этой машины также выходят в сеть Интернет, или наоборот подключаются к ней извне, например к FTP-серверу и т.д. Кроме того, на Интернет — шлюзе может быть установлена антивирусная программа, периодически обновляющая базы через Интернет.
В этом случае для полного подсчета трафика UserGate должен учитывать не только трафик пользователей, но и вести подсчет трафика самого сервера (Интернет — шлюза). Выбор «нетарифицируемых» интерфейсов необходим для правильного учета трафика сервера. После установки UserGate требуется перезагрузка компьютера.
Настройка администратора Usergate
Модуль администрирования предназначен для управления сервером UserGate. Для использования UserGate Administrator необходимо предварительно запустить сервер UserGate, выбрав пункт Start UserGate Server в контекстном меню UserGate агента (иконка в системном трее). Запуск UserGate Administrator также выполняется через меню UserGate агента, либо через пункт «Пуск > Программы», если модуль администрирования установлен на другую машину. Для работы с настройками необходимо подключить модуль администрирования к серверу.
При первом запуске, UserGate Administrator открывается на странице «Соединения», в которой отображается единственное соединение с сервером localhost для пользователя Administrator. Пароль на подключение не задан. Подключиться к серверу можно, через двойной клик на строке «localhost Administrator» или через кнопку «Подключиться» на панели управления. В модуле администрирования UserGate можно создать несколько подключений с различными параметрами. В настройках соединения указываются следующие параметры:
■ Название сервера — это семантическое название подключения, например «Usergate в филиале» или «UserGate в головном офисе»
■ Имя пользователя – логии ндля подключения к серверу
■ Адрес сервера — доменное имя или IP адрес сервера UserGate
■ Порт-TCP-порт для подключения администратора к серверу (по умолчанию используется порт 2345)
■ Лароль — пароль для подключения
■ Спрашивать пароль при подключении — позволяет отображать диалог ввода логин/пароль при подключении к серверу
■ Автоматически подключаться к этому серверу — модуль администрирования будет подключаться к указанному серверу автоматически при запуске
Как расшифровываются сообщения монитора подключений? Что означают сообщения сессия -1, соединений -1?
На странице «Мониторинг» администратора UserGate указывается количество активных в данный момент пользователей (количество сессий) и число активных соединений. Сообщение «сессия — 1, соединений — 1» может означать, что в данный момент к серверу UserGate подключен один пользователь администратор UserGate. Сессия администратора не влияет на ограничение количества сессий, «зашитое» в регистрационном ключе UserGate.
Как производится удаленное управление и администрирование системы?
Модуль администрирования UserGate может быть использован для удаленного управления сервером. Для этого, в настройках соединения, параметр «Адрес сервера», требуется указать доменное имя или IP-адрес удаленной машины, на которой запущен сервер UserGate. Предварительно следует проверить, что порт 2345 TCP удаленной машины не блокируется каким-либо файерволом.
__________________
Не задавай вопросов, если не знаешь, что делать с ответом.
Регистрация: 08.03.2016
Сообщений: 0
Компьютерщик
Регистрация: 12.02.2008
Адрес: Регион 86
Сообщений: 11,379
Записей в дневнике: 36
Сказал(а) спасибо: 8
Поблагодарили 1 раз в 1 сообщении
Репутация: 24973
Настройка UserGate (FAQ)
Работа с пользователями
Как добавлять пользователей?
Для предоставления доступа в сеть Интернет, в UserGate необходимо создать пользователей. Для удобства администрирования, пользователей можно объединять в группы. По умолчанию в UserGate присутствует единственная группа defaultс одноименным пользователем.
Диалог создания пользователя вызывается через пункт «Добавить нового пользователя» или через соответствующий пункт панели управления. Обязательными параметрами пользователя являются: Имя, Типавторизациии дополнительные параметры для авторизации (IP-адрес, логин, парольи т.п.). По умолчанию, все пользователи принадлежат группе default.
Если требуется сделать логическое деление пользователей, то предварительно нужно создать соответствующие группы. Пользователем наследуются все права группы, к которой он принадлежит. Кроме тарифа, который можно переопределить.
Каким образом можно добавить пользователей, не прописывая каждого вручную, а из ActiveDirectory при установке программы на сервер?
Модуль администрирования UserGate позволяет импортировать пользователей из Active Directory. Для этого в разделе «Пользователи и группы -Пользователи» следует выбрать пункт «Импортировать пользователя» всплывающего меню. Для выбора пользователей будет отображен стандартный диалог Windows.
При импорте пользователей импортируются следующие параметры: имя пользователя, логин в домен, имя домена и адрес электронной почты. В качестве типа авторизации автоматически указывается Active Directory. Тип авторизации можно впоследствии изменить на любой другой.
Как удалять пользователей?
Удаление пользователей выполняется через соответствующий пункт всплывающего меню в разделе «Пользователи и группы». Удаление возможно, если пользователь в данный момент не активен, т.е. не работает в сети Интернет через UserGate.
Как происходит авторизация пользователя без модуля UGCIientи с клиентским модулем?
Авторизация в UserGate может проходить автоматически, без запуска дополнительных программ, или через специальную программу посредник «клиент авторизации» UserGate (UserGate Authorization Client, файл ugclient.exe). UserGate Authorization Client используется только для следующих типов авторизации:
■ Active Directory (включая упрощенный вариант AD авторизации)
■ Windows Login
■ Name Свойства обозревателя > Подключение > Настройка LAN». При работе через НТТР-прокси в свойствах TCP/IP сетевого подключения клиента указывать шлюз и DNS необязательно, поскольку разрешение имен выполняет сам HTTP прокси.
Можно ли установить кэширование на отдельный компьютер и как это сделать ?
Основным преимуществом использования прокси-сервера является кэширование сетевых ресурсов. Кэширование снижает нагрузку на Интернет соединение, экономит средства на Интернет. К настраиваемым параметрам кэша относятся: место хранения (по умолчанию кэш расположен в директории Cache, каталога UserGate); размер КЭШ памяти (по умолчанию — 100 Мб) и время жизни кэшированного документа. В качестве места хранения кэш можно указать и сетевую папку, с правами на чтение/запись удаление.
Как пользоватьсяа втодозвоном?
Если подключение к сети Интернет выполняется через Dial-up или VPN соединение, сервер UserGate может автоматически подключаться к провайдеру при наличии клиентских запросов. Соответствующие настройки расположены в пункте «Сервисы > Автодозвон». В настройках соединения указывается его название, логин и пароль. Можно подключать Dial-up автоматически, при запуске сервера UserGate, такой режим включатся опцией «Подключаться при запуске». Если UserGate установлен в качестве сервиса, то при создании Dial-up (VPN) требуется сделать его доступным для всех пользователей.
Что такое каскадные прокси?
Сервер UserGate может работать с Интернет через вышестоящий прокси, например прокси-сервер Интернет-провайдера. В этом случае сервисы прокси в UserGate нужно включить каскадом на вышестоящий прокси сервер. Вышестоящий прокси сервер, как правило, называют «родительским» или «каскадным» прокси.
Источник: www.tehnari.ru
Доступ в Internet с помощью UserGate
Дополнительные возможности организации и контроля доступа в Internet Сегодня Internet — не только средство общения или способ проведения досуга, но еще и рабочий инструмент. Поиск информации, участие в торгах, работа с клиентами и партнерами требуют присутствия сотрудников компаний в Сети.
Дополнительные возможности организации и контроля доступа в Internet
Сегодня Internet — не только средство общения или способ проведения досуга, но еще и рабочий инструмент. Поиск информации, участие в торгах, работа с клиентами и партнерами требуют присутствия сотрудников компаний в Сети. На большинстве компьютеров, используемых как в личных целях, так и в интересах организации, установлены операционные системы Windows.
Естественно, все они оснащены механизмами предоставления доступа в Internet. Начиная с версии Windows 98 Second Edition, в качестве стандартного компонента в операционные системы Windows встроена функция Internet Connection Sharing (ICS), с помощью которой обеспечивается групповой доступ из локальной сети в Internet. Позднее в версии Windows 2000 Server появилась служба Routing and Remote Access Service (маршрутизация и удаленный доступ) и была реализована поддержка протокола NAT.
Но у ICS есть свои недостатки. Так, данная функция изменяет адрес сетевого адаптера, а это может вызывать проблемы в локальной сети. Поэтому ICS предпочтительно использовать только в домашних или небольших офисных сетях. В этой службе не предусмотрена авторизация пользователей, поэтому в корпоративной сети ее задействовать нежелательно.
Если говорить о применении в домашней сети, то и здесь отсутствие авторизации по имени пользователя также становится неприемлемым, поскольку адреса IP и MAC очень легко подделать. Поэтому, хотя в Windows и существует возможность организации единого доступа в Internet, на практике для реализации этой задачи применяют либо аппаратные, либо программные средства независимых разработчиков. Одним из таких решений является программа UserGate.
Первое знакомство
Proxy-сервер Usergate позволяет предоставить пользователям локальной сети выход в Internet и определять политику доступа, запрещая доступ к определенным ресурсам, ограничивая трафик или время работы пользователей в сети. Кроме того, Usergate дает возможность вести раздельный учет трафика как по пользователям, так и по протоколам, что значительно облегчает контроль затрат на Internet-подключение. В последнее время среди Internet-провайдеров наблюдается тенденция предоставлять безлимитный доступ в Internet по своим каналам. На фоне такой тенденции на первый план выходит именно контроль и учет доступа. Для этого proxy-сервер Usergate обладает достаточно гибкой системой правил.
Proxy-сервер Usergate с поддержкой NAT (Network Address Translation) работает на операционных системах Windows 2000/2003/XP с установленным протоколом TCP/IP. Без поддержки протокола NAT Usergate способен работать на Windows 95/98 и Windows NT 4.0. Сама программа не требует для работы особых ресурсов, основное условие — наличие достаточного места на диске для файлов кэша и журнала. Поэтому все же рекомендуется устанавливать proxy-сервер на отдельной машине, отдавая ему максимальные ресурсы.
Настройка
Для чего нужен proxy-сервер? Ведь любой Web-браузер (Netscape Navigator, Microsoft Internet Explorer, Opera) уже умеет кэшировать документы. Но вспомним, что, во-первых, мы не выделяем для этих целей значительных объемов дискового пространства.
А во-вторых, вероятность посещения одних и тех же страниц одним человеком значительно меньше, чем если бы это делали десятки или сотни людей (а такое количество пользователей имеется во многих организациях). Поэтому создание единого кэш-пространства для организации позволит сократить входящий трафик и ускорит поиск в Internet документов, уже полученных кем-либо из сотрудников. Proxy-сервер UserGate может быть связан по иерархии с внешними proxy-серверами (провайдеров), и в этом случае удастся если не уменьшить трафик, то хотя бы ускорить получение данных, а также уменьшить стоимость (обычно стоимость трафика у провайдера через proxy-сервер ниже).
Экран 1. Настройка кэша
Забегая вперед, скажу, что настройка кэша выполняется в разделе меню «Сервисы» (см. экран 1). После перевода кэша в режим «Включен» можно настроить его отдельные функции — кэширование POST-запросов, динамических объектов, cookies, контента, получаемого по FTP. Здесь же настраивается размер выделенного для кэша дискового пространства и время жизни кэшированного документа. А чтобы кэш начал работать, нужно настроить и включить режим proxy. В настройках определяется, какие протоколы будут работать через proxy-сервер (HTTP, FTP, SOCKS), на каком сетевом интерфейсе они будут прослушиваться и будет ли выполняться каскадирование (необходимые для этого данные вводятся на отдельной закладке окна настройки служб).
Перед началом работы с программой нужно выполнить и другие настройки. Как правило, это делается в такой последовательности:
Создание учетных записей пользователей в Usergate.
Настройка DNS и NAT на системе с Usergate. На данном этапе настройка сводится главным образом к настройке NAT с помощью мастера.
Настройка сетевого соединения на клиентских машинах, где необходимо прописать шлюз и DNS в свойствах TCP/IP сетевого соединения.
Создание политики доступа в Internet.
Для удобства работы программа разделена на несколько модулей. Серверный модуль запускается на компьютере, имеющем подключение к Internet, и обеспечивает выполнение основных задач. Администрирование Usergate осуществляется с помощью специального модуля Usergate Administrator. С его помощью производится вся настройка сервера в соответствии с необходимыми требованиями. Клиентская часть Usergate реализована в виде Usergate Authentication Client, который устанавливается на компьютер пользователя и служит для авторизации пользователей на сервере Usergate, если применяется авторизация, отличная от авторизаций IP или IP + MAC.
Управление
Управление пользователями и группами вынесено в отдельный раздел. Группы необходимы для облегчения управления пользователями и их общими настройками доступа и тарификации. Можно создать столько групп, сколько потребуется. Обычно группы создаются в соответствии со структурой организации. Какие параметры можно назначить для группы пользователей?
С каждой группой связан тариф, по которому будут учитываться расходы на доступ. По умолчанию используется тариф default. Он пустой, поэтому соединения всех пользователей, входящих в группу, не тарифицируются, если тариф не переопределен в профиле пользователя.
В программе имеется набор предопределенных правил NAT, которые изменить нельзя. Это правила доступа по протоколам Telten, POP3, SMTP, HTTP, ICQ и др. При настройке группы можно указать, какие из правил будут применяться для данной группы и пользователей, входящих в нее.
Режим автодозвона может использоваться в том случае, когда подключение к Internet осуществляется через модем. При включении этого режима пользователь может инициализировать подключение к Internet, когда соединения еще нет, — по его запросу модем устанавливает соединение и обеспечивает доступ. Но при подключении через выделенную линию или ADSL необходимость в этом режиме отпадает.
Экран 2. Создание учетной записи пользователя
Добавление учетных записей пользователей не сложнее добавления групп (см. экран 2). А если компьютер с установленным proxy-сервером Usergate входит в домен Active Directory (AD), учетные записи пользователей могут быть импортированы оттуда и затем разнесены по группам. Но как при вводе вручную, так и при импорте учетных записей из AD необходимо настроить права пользователей и правила доступа. К ним относятся тип авторизации, тарифный план, доступные правила NAT (если групповые правила не полностью удовлетворяют потребности конкретного пользователя).
Proxy-сервер Usergate поддерживает несколько типов авторизации, в том числе авторизацию пользователей через Active Directory и окно регистрации Windows Login, что позволяет интегрировать Usergate в существующую сетевую инфраструктуру. Usergate использует собственный драйвер NAT, поддерживающий авторизацию через специальный модуль — модуль клиентской авторизации. В зависимости от выбранного способа авторизации в настройках профиля пользователя необходимо указать либо его IP-адрес (или диапазон адресов), либо имя и пароль, либо же только имя. Здесь же может быть указан электронный адрес пользователя, на который будут высылаться отчеты об использовании им доступа в Internet.
Правила
Система правил Usergate является более гибкой в настройках по сравнению с возможностями Remote Access Policy (политика удаленного доступа в RRAS). С помощью правил можно закрыть доступ к определенным адресам URL, ограничить трафик по тем или иным протоколам, установить временной лимит, ограничить максимальный размер файла, который пользователь может скачать, и многое другое (см. экран 3). Стандартные средства операционной системы не обладают достаточной для решения этих задач функциональностью.
Экран 3. Настройка правил
Правила создаются с помощью помощника. Они распространяются на четыре основных объекта, отслеживаемые системой, — соединение, трафик, тариф и скорость. Причем для каждого из них может быть выполнено одно действие. Выполнение правил зависит от настроек и ограничений, которые для него выбираются.
К их числу относятся используемые протоколы, время по дням недели, когда это правило будет действовать. Наконец, определяются критерии по объему трафика (входящего и исходящего), времени работы в сети, остатку средств на счете пользователя, а также список IP-адресов источника запроса и сетевые адреса ресурсов, на которые распространяется действие. Настройка сетевых адресов также позволяет определить типы файлов, которые пользователи не смогут загружать.
Во многих организациях не разрешается использовать службы мгновенных сообщений. Как реализовать такой запрет с помощью Usergate? Достаточно создать одно правило, закрывающее соединение при запросе сайта *login.icq.com*, и применить его ко всем пользователям.
Применение правил позволяет изменять тарифы для доступа в дневное или ночное время, к региональным или общим ресурсам (если такие различия предоставляются провайдером). К примеру, для переключения между ночным и дневным тарифами необходимо будет создать два правила, одно будет выполнять переключение по времени с дневного на ночной тариф, второе — обратное переключение. Собственно, для чего необходимы тарифы? Это основа работы встроенной биллинговой системы. В настоящее время данной системой можно пользоваться только для сверки и пробного расчета расходов, но после того, как биллинговая система будет сертифицирована, владельцы системы получат надежный механизм для работы со своими клиентами.
Пользователи
Теперь вернемся к настройкам DNS и NAT. Настройка DNS заключается в указании адресов внешних DNS-серверов, к которым будет обращаться система. При этом на компьютерах пользователей необходимо в настройках соединения для свойств TCP/IP в качестве шлюза и DNS указать IP внутреннего сетевого интерфейса компьютера с Usergate. Несколько иной принцип настройки при использовании NAT.
В этом случае в системе нужно добавить новое правило, в котором требуется определить IP приемника (локальный интерфейс) и IP отправителя (внешний интерфейс), порт — 53 и протокол UDP. Это правило необходимо назначить всем пользователям. А в настройках соединения на их компьютерах в качестве DNS следует указать IP-адрес сервера DNS провайдера, в качестве шлюза — IP-адрес компьютера с Usergate.
Настройка почтовых клиентов может быть выполнена как через Port mapping, так и через NAT. Если в организации разрешено использовать службы мгновенных сообщений, то для них должна быть изменена настройка подключения — необходимо указать применение брандмауэра и proxy, задать IP-адрес внутреннего сетевого интерфейса компьютера с Usergate и выбрать протокол HTTPS или Socks. Но надо иметь в виду, что при работе через proxy-сервер будет недоступна работа в Chat rooms и Video Chat, если используется Yahoo Messenger.
Статистика работы записывается в журнал, содержащий информацию о параметрах соединений всех пользователей: время соединения, длительность, затраченные средства, запрошенные адреса, количество полученной и переданной информации. Отменить запись информации о пользовательских соединениях в файл статистики нельзя. Для просмотра статистики в системе существует специальный модуль, доступ к которому возможен как через интерфейс администратора, так и удаленно. Данные могут быть отфильтрованы по пользователям, протоколам и времени и могут быть сохранены во внешнем файле в формате Excel для дальнейшей обработки.
Что дальше
Если первые версии системы были предназначены лишь для реализации механизма кэширования proxy-сервера, то в последних версиях появились новые компоненты, предназначенные для обеспечения информационной безопасности. Сегодня пользователи Usergate могут задействовать встроенный модуль брандмауэра и антивируса Касперского.
Брандмауэр позволяет контролировать, открывать и блокировать определенные порты, а также публиковать Web-ресурсы компании в Internet. Встроенный брандмауэр обрабатывает пакеты, не прошедшие обработку на уровне правил NAT. Если пакет был обработан драйвером NAT, он уже не обрабатывается брандмауэром. Настройки портов, выполненные для proxy, а также порты, указанные в Port Mapping, помещаются в автоматически генерируемые правила брандмауэра (тип auto). В правила auto также помещается порт 2345 TCP, используемый модулем Usergate Administrator для подключения к серверной части Usergate.
Говоря о перспективах дальнейшего развития продукта, стоит упомянуть создание собственного сервера VPN, что позволит отказаться от VPN из состава операционной системы; внедрение почтового сервера с поддержкой функции антиспама и разработку интеллектуального брандмауэра на уровне приложений.
Источник: www.osp.ru
Настройка Usergate — учет интернет трафика в локальной сети
Настройка Usergate — учет интернет трафика в локальной сети
После того, как подключили локальную сеть к интернет, имеет смысл настроить систему учета трафика и в этом нам поможет программа Usergate. Usergate является прокси-сервером и позволяет контролировать доступ компьютеров из локальной сети, в сеть интернет.
Но, для начала давайте вспомним, как мы ранее настроили сеть в видеокурсе «Создание и настройка локальной сети между Windows 7 и WindowsXP», и как предоставили доступ всем компьютеры к сети интернет через один канал связи. Схематично можно представить в следующем виде, есть четыре компьютера, которые мы объединили в одноранговую сеть, выбрали рабочую станцию work-station-4-7, с операционной системой Windows 7, в качестве шлюза, т.е. подключили дополнительную сетевую карту, с доступом в сеть интернет и разрешили другим компьютерам в сети, выходить в Интернет через данное сетевое подключение. Остальные три машины являются клиентами интернета и на них, в качестве шлюза и DNS, указали IP адрес компьютера раздающего интернет. Ну чтож, теперь давайте разберемся с вопросом контроля доступа к сети Интернет.
Установка UserGate не отличается от установки обычной программы, после установки система просит перезагрузиться, перезагружаемся. После перезагрузки, первым делом давайте попробуем выйти в интернет, с компьютера на котором установлен UserGate — выйти получается, а с других компьютеров нет, следовательно, Proxy сервер начал работать и по умолчанию запрещает всем выход в Интернет, по этому требуется его настроить.
Запускаем консоль администратора (Пуск Программы UserGate Консоль администратора) и тут у нас появляется сама консоль и открывается вкладка Соединения. Если мы попробуем открыть какую-либо из вкладок с лева, по выдается сообщение (UserGate Консоль администратора не подключена к UserGate Серверу), по этому при запуске у нас открывается вкладка Соединения, чтобы мы могли сначала подключиться к серверу UserGate.
И так, по умолчанию Имя сервера – local; Пользователь – Administrator; Сервер – localhost, т.е. серверная часть расположена на данном компьютере; Порт – 2345.
Дважды щелкаем на данную запись и выполняется подключение к службе UserGate, если подключиться не удалось, проверьте, запущена ли служба (Ctrl+Alt+Esc Службы UserGate)
При первом подключении запускается Мастер настройки UserGate, жмем Нет, так как будем все настраивать вручную, чтобы было более понятно, что и где искать. И первым делом переходим во вкладку Сервер UserGate Интерфейсы, здесь указываем, какая сетевая карта смотрит в интернет (192.168.137.2 — WAN), а какая в локальную сеть (192.168.0.4 — LAN).
Далее Пользователи и группы Пользователи, здесь есть один единственный пользователь, это сама машина на которой запущен сервер UserGate и называется он Default, т.е. по умолчанию. Добавим всех пользователей, которые будут выходить в интернет, у меня их три:
Группу и тарифный план оставляем по умолчанию, тип авторизации, я буду использовать через IP-адрес, так как у меня они прописаны вручную, и остаются неизменными.
Теперь настроим сам прокси, заходим в Сервисы Настройка прокси HTTP, здесь выбираем IP адрес, который мы указали в качестве шлюза на клиентских машинах, у меня это 192.168.0.4, а также ставим галочку Прозрачный режим, чтобы не прописывать вручную в браузерах адрес прокси сервера, в данном случае браузер будет смотреть какой шлюз указан в настройках сетевого подключения и будет перенаправлять запросы на него.
Далее настроим правила выхода в сеть Интернет Межсетевой экран Правила ПКМ Добавить правило Имя: Интернет доступ Источник: LAN (192.168.0.4) Добавить Далее Назначение:WAN (192.168.137.2) Добавить Сервисы (HTTP; HTTPS) Далее Группа: default ОК
Ну и последнее, нужно настроить DNS пересылку запросов, это необходимо для того, чтобы UserGate перенаправлял запросы клиентов в сеть Интернет (Сервисы Настройка DNS DNS форвардинг Включен) Теперь попробуем зайти на FTP сервер (ftp://ftp.dlink.ru), появляется сообщение мол отсутствует доступ, это по тому, что у нас настроен только HTTP прокси, по этому можно выходить в сеть Интернет только по этому протоколу, давайте настроим FTP прокси (Сервисы Настройка прокси ftp 192.168.0.4 Прозрачный режим) а так же добавим правило для FTP протокола (Межсетевой экран Правила Интернет доступ Далее Далее Выбрать сервисы FTP ОК ОК). Опять заходим на ftp://ftp.dlink.ru и все отлично, доступ есть. Аналогичным образом настраиваются и другие функции, в данной программе много функций и описать их настройку в одном уроке я не смогу, по этому советую изучить инструкцию, которую можно скачать с официального сайта UserGate, слава богу она на русском языке!
Источник: sys-team-admin.ru
персональных данных в ИСПДН до первого класса включительно.
Не надо задумываться о применимости или классе информационной системы, которую можно защищать сертифицированной версией UserGate, так как первый класс ИСПДн является максимальным.
Примечательно, что UserGate Proxy Firewall
Наличие сертификата соответствия – лишь одно из преимуществ. UserGate ProxyFirewall
Итак, основная функция программы – межсетевое экранирование. Реализована эта функция через собственный расширенный драйвер NAT, отличный от стандартного в Windows. Благодаря ему можно создавать локальные маршрутизируемые подсети, делать публикацию внутренних серверов для использования «снаружи», поддерживать VPN-соединения и протоколы IP-телефонии, создавать различные правила по доступу к внешним ресурсам либо их блокировке.
Применяются правила к пользователям либо компьютерам – последние могут быть представлены как IP-, так и MAC-адресом. Учетные записи пользователей UserGate могут быть синхронизированы с Active Directory, поддерживаются NTLM-аутентификация и объединение пользователей в группы.
AlienVault OSSIM — SIEM с открытым исходным кодом — инсталяция
UserGate умеет работать с несколькими провайдерами и осуществлять переключение на лету между ними, когда один из каналов «падает». После восстановления работоспособности канала произойдет обратное переключение. Также можно связать определенных пользователей с определенным каналом. Таким образом, без труда можно сделать так, что начальство будет пользоваться быстрым, стабильным и дорогим каналом, в то время как рядовые пользователи – дешевым и медленным.
Впрочем, распределить ширину канала между пользователями можно и при наличии только одного внешнего канала. UserGate умеет работать с шейпингом трафика, позволяя задавать ограничения для пользователей или их групп по скорости канала или по объему скачанной информации, уменьшая скорость канала вплоть до полной блокировки доступа. Кроме того, можно назначать разный приоритет для разных типов трафика.
Кстати, о разных видах трафика. UserGate имеет различные прокси-серверы для различных протоколов (HTTP, FTP, SOCKS, POP3, SMTP), работающие в прозрачном или непрозрачном режимах. Кроме того, поддерживается каскадирование прокси-серверов.
Сегодня мало разграничить правила, разрешающие и запрещающие доступ в Интернет, зачастую нужно постараться предотвратить нецелевое его использование. Существует два принципиальных подхода к этой проблеме – предварительная фильтрация либо административный запрет. Во втором случае выпускается административное распоряжение, запрещающее пользоваться определенными ресурсами, например, сайтами социальных сетей. В конце отчетного периода администратор готовит руководству отчет по работе пользователей в Интернете, на основании этого происходит разбор полетов и наказание нарушителей.
Для первого подхода существует база данных адресов сайтов, отсортированных по различным категориям, в рамках которой запрещается или разрешается доступ определенным пользователям к определенным категориям. Такие решения – не редкость, однако их обычное узкое место – это поддержание базы в актуальном состоянии и наличие в ней регионально значимых сайтов. Например, база для пользователей из США будет не очень актуальна для России и наоборот. Очевидно, это понимали и разработчики UserGate, потому что в рамках продукта предлагается специально адаптированная для использования русскоязычными пользователями база, содержащая 500 миллионов сайтов (из которых до 10 миллионов – русскоязычные) в 82 категориях.
Контроль за приложениями на пользовательских компьютерах также возможен. Для этого на клиентских компьютерах разворачивается бесплатная программа-агент, которая будет связываться с сервером UserGate, блокировать или разрешать работу приложения в Интернете. Кроме того, подход за контролем приложений позволит получить наиболее полную статистику использования интернет-ресурсов.
Построение наглядных отчетов по различным критериям – это то, что помогает системному администратору в общении с руководством. Используя статистику и отчеты UserGate, можно без труда перевести трафик в деньги и показать руководству реальную экономию от внедрения программы.
Кроме того, в UserGate существует возможность доступа к веб-статистике, причем доступ может быть трех уровней – пользователь, директор и администратор. Пользователь видит только свою статистику и может следить за тем, как он расходует интернет-трафик. Директорский уровень доступа позволяет следить за статистикой всех пользователей, администратор, кроме того, может еще и создавать шаблоны отчетов для получения статистических данных (см. рис. 2).
Рисунок 2. Веб-статистика в UserGate
Антивирусная защита в UserGate
Да-да, все правильно – есть возможность приобрести UserGate с антивирусным модулем. Это вполне логичное решение – сейчас большинство вирусов попадает на компьютер пользователя через Интернет. Так почему бы не перехватывать вредоносные программы на шлюзе, не допуская такой трафик до клиентского компьютера? Разумеется, отказываться от антивирусного ПО на компьютерах пользователей не нужно, так как есть и другие пути заражения компьютера вирусом – например, через флешки.
На этом я завершу краткий обзор российского межсетевого экрана UserGate Proxyhttps://samag.ru/archive/article/1213″ target=»_blank»]samag.ru[/mask_link]
Usergate domain authorization agent что это за программа
Установка прокси-сервера UserGate
Процедура установки UserGate сводится к запуску инсталляционного файла и к выбору опций «Мастера установки». При первой установке UserGate достаточно оставить опции установки по умолчанию. В процессе установки инсталлятор отобразит диалог выбора «нетарифицируемых» сетевых интерфейсов.
В диалоге будут перечислены все активные сетевые интерфейсы компьютера, на который устанавливается UserGate, с возможностью выбора любого из них. При обычном типе доступа в Интернет (выделенная линия, модемное подключение), в качестве «нетарифицируемых» (или локальных сетевых интерфейсов) нужно указать интерфейсы, соответствующие локальной сети. Если подключение к сети Интернет выполняется через VPN (OpenVPN) соединение, как при спутниковом доступе, то в качестве «нетарифицируемых» интерфейсов требуется указать все сетевые интерфейсы сервера, кроме VPN-соединения. Выбор интерфейсов важен, поскольку он определяет правильность подсчета трафика в целом. Как правило, в небольших сетях, компьютер, исполняющий роль Интернет шлюза или прокси-сервера, одновременно является и рабочей станцией. С этой машины также выходят в сеть Интернет, или наоборот подключаются к ней извне, например к FTP-серверу и т.д. Кроме того, на Интернет — шлюзе может быть установлена антивирусная программа, периодически обновляющая базы через Интернет.
В этом случае для полного подсчета трафика UserGate должен учитывать не только трафик пользователей, но и вести подсчет трафика самого сервера (Интернет — шлюза). Выбор «нетарифицируемых» интерфейсов необходим для правильного учета трафика сервера. После установки UserGate требуется перезагрузка компьютера.
Настройка администратора Usergate
Модуль администрирования предназначен для управления сервером UserGate. Для использования UserGate Administrator необходимо предварительно запустить сервер UserGate, выбрав пункт Start UserGate Server в контекстном меню UserGate агента (иконка в системном трее). Запуск UserGate Administrator также выполняется через меню UserGate агента, либо через пункт «Пуск > Программы», если модуль администрирования установлен на другую машину. Для работы с настройками необходимо подключить модуль администрирования к серверу. При первом запуске, UserGate Administrator открывается на странице «Соединения», в которой отображается единственное соединение с сервером localhost для пользователя Administrator. Пароль на подключение не задан. Подключиться к серверу можно, через двойной клик на строке «localhost Administrator» или через кнопку «Подключиться» на панели управления. В модуле администрирования UserGate можно создать несколько подключений с различными параметрами. В настройках соединения указываются следующие параметры: ■ Название сервера — это семантическое название подключения, например «Usergate в филиале» или «UserGate в головном офисе» ■ Имя пользователя – логии ндля подключения к серверу ■ Адрес сервера — доменное имя или IP адрес сервера UserGate ■ Порт-TCP-порт для подключения администратора к серверу (по умолчанию используется порт 2345) ■ Лароль — пароль для подключения ■ Спрашивать пароль при подключении — позволяет отображать диалог ввода логин/пароль при подключении к серверу ■ Автоматически подключаться к этому серверу — модуль администрирования будет подключаться к указанному серверу автоматически при запуске Как расшифровываются сообщения монитора подключений? Что означают сообщения сессия -1, соединений -1? На странице «Мониторинг» администратора UserGate указывается количество активных в данный момент пользователей (количество сессий) и число активных соединений. Сообщение «сессия — 1, соединений — 1» может означать, что в данный момент к серверу UserGate подключен один пользователь администратор UserGate. Сессия администратора не влияет на ограничение количества сессий, «зашитое» в регистрационном ключе UserGate. Как производится удаленное управление и администрирование системы? Модуль администрирования UserGate может быть использован для удаленного управления сервером. Для этого, в настройках соединения, параметр «Адрес сервера», требуется указать доменное имя или IP-адрес удаленной машины, на которой запущен сервер UserGate. Предварительно следует проверить, что порт 2345 TCP удаленной машины не блокируется каким-либо файерволом.
__________________ Не задавай вопросов, если не знаешь, что делать с ответом.
Регистрация: 08.03.2016
Сообщений: 0
Компьютерщик
Регистрация: 12.02.2008
Адрес: Регион 86
Сообщений: 11,379
Записей в дневнике: 36
Сказал(а) спасибо: 8
Поблагодарили 1 раз в 1 сообщении
Репутация: 24973
Настройка UserGate (FAQ)
Работа с пользователями
Как добавлять пользователей? Для предоставления доступа в сеть Интернет, в UserGate необходимо создать пользователей. Для удобства администрирования, пользователей можно объединять в группы. По умолчанию в UserGate присутствует единственная группа defaultс одноименным пользователем.
Диалог создания пользователя вызывается через пункт «Добавить нового пользователя» или через соответствующий пункт панели управления. Обязательными параметрами пользователя являются: Имя, Типавторизациии дополнительные параметры для авторизации (IP-адрес, логин, парольи т.п.). По умолчанию, все пользователи принадлежат группе default.
Если требуется сделать логическое деление пользователей, то предварительно нужно создать соответствующие группы. Пользователем наследуются все права группы, к которой он принадлежит. Кроме тарифа, который можно переопределить. Каким образом можно добавить пользователей, не прописывая каждого вручную, а из ActiveDirectory при установке программы на сервер? Модуль администрирования UserGate позволяет импортировать пользователей из Active Directory. Для этого в разделе «Пользователи и группы -Пользователи» следует выбрать пункт «Импортировать пользователя» всплывающего меню. Для выбора пользователей будет отображен стандартный диалог Windows.
При импорте пользователей импортируются следующие параметры: имя пользователя, логин в домен, имя домена и адрес электронной почты. В качестве типа авторизации автоматически указывается Active Directory. Тип авторизации можно впоследствии изменить на любой другой. Как удалять пользователей? Удаление пользователей выполняется через соответствующий пункт всплывающего меню в разделе «Пользователи и группы». Удаление возможно, если пользователь в данный момент не активен, т.е. не работает в сети Интернет через UserGate. Как происходит авторизация пользователя без модуля UGCIientи с клиентским модулем? Авторизация в UserGate может проходить автоматически, без запуска дополнительных программ, или через специальную программу посредник «клиент авторизации» UserGate (UserGate Authorization Client, файл ugclient.exe). UserGate Authorization Client используется только для следующих типов авторизации: ■ Active Directory (включая упрощенный вариант AD авторизации) ■ Windows Login ■ Name Свойства обозревателя > Подключение > Настройка LAN». При работе через НТТР-прокси в свойствах TCP/IP сетевого подключения клиента указывать шлюз и DNS необязательно, поскольку разрешение имен выполняет сам HTTP прокси.
Можно ли установить кэширование на отдельный компьютер и как это сделать ? Основным преимуществом использования прокси-сервера является кэширование сетевых ресурсов. Кэширование снижает нагрузку на Интернет соединение, экономит средства на Интернет. К настраиваемым параметрам кэша относятся: место хранения (по умолчанию кэш расположен в директории Cache, каталога UserGate); размер КЭШ памяти (по умолчанию — 100 Мб) и время жизни кэшированного документа. В качестве места хранения кэш можно указать и сетевую папку, с правами на чтение/запись удаление. Как пользоватьсяа втодозвоном? Если подключение к сети Интернет выполняется через Dial-up или VPN соединение, сервер UserGate может автоматически подключаться к провайдеру при наличии клиентских запросов. Соответствующие настройки расположены в пункте «Сервисы > Автодозвон». В настройках соединения указывается его название, логин и пароль. Можно подключать Dial-up автоматически, при запуске сервера UserGate, такой режим включатся опцией «Подключаться при запуске». Если UserGate установлен в качестве сервиса, то при создании Dial-up (VPN) требуется сделать его доступным для всех пользователей. Что такое каскадные прокси? Сервер UserGate может работать с Интернет через вышестоящий прокси, например прокси-сервер Интернет-провайдера. В этом случае сервисы прокси в UserGate нужно включить каскадом на вышестоящий прокси сервер. Вышестоящий прокси сервер, как правило, называют «родительским» или «каскадным» прокси.
Источник: www.tehnari.ru
Доступ в Internet с помощью UserGate
Дополнительные возможности организации и контроля доступа в Internet Сегодня Internet — не только средство общения или способ проведения досуга, но еще и рабочий инструмент. Поиск информации, участие в торгах, работа с клиентами и партнерами требуют присутствия сотрудников компаний в Сети.
Дополнительные возможности организации и контроля доступа в Internet
Сегодня Internet — не только средство общения или способ проведения досуга, но еще и рабочий инструмент. Поиск информации, участие в торгах, работа с клиентами и партнерами требуют присутствия сотрудников компаний в Сети. На большинстве компьютеров, используемых как в личных целях, так и в интересах организации, установлены операционные системы Windows.
Естественно, все они оснащены механизмами предоставления доступа в Internet. Начиная с версии Windows 98 Second Edition, в качестве стандартного компонента в операционные системы Windows встроена функция Internet Connection Sharing (ICS), с помощью которой обеспечивается групповой доступ из локальной сети в Internet. Позднее в версии Windows 2000 Server появилась служба Routing and Remote Access Service (маршрутизация и удаленный доступ) и была реализована поддержка протокола NAT.
Но у ICS есть свои недостатки. Так, данная функция изменяет адрес сетевого адаптера, а это может вызывать проблемы в локальной сети. Поэтому ICS предпочтительно использовать только в домашних или небольших офисных сетях. В этой службе не предусмотрена авторизация пользователей, поэтому в корпоративной сети ее задействовать нежелательно.
Если говорить о применении в домашней сети, то и здесь отсутствие авторизации по имени пользователя также становится неприемлемым, поскольку адреса IP и MAC очень легко подделать. Поэтому, хотя в Windows и существует возможность организации единого доступа в Internet, на практике для реализации этой задачи применяют либо аппаратные, либо программные средства независимых разработчиков. Одним из таких решений является программа UserGate.
Первое знакомство
Proxy-сервер Usergate позволяет предоставить пользователям локальной сети выход в Internet и определять политику доступа, запрещая доступ к определенным ресурсам, ограничивая трафик или время работы пользователей в сети. Кроме того, Usergate дает возможность вести раздельный учет трафика как по пользователям, так и по протоколам, что значительно облегчает контроль затрат на Internet-подключение. В последнее время среди Internet-провайдеров наблюдается тенденция предоставлять безлимитный доступ в Internet по своим каналам. На фоне такой тенденции на первый план выходит именно контроль и учет доступа. Для этого proxy-сервер Usergate обладает достаточно гибкой системой правил.
Proxy-сервер Usergate с поддержкой NAT (Network Address Translation) работает на операционных системах Windows 2000/2003/XP с установленным протоколом TCP/IP. Без поддержки протокола NAT Usergate способен работать на Windows 95/98 и Windows NT 4.0. Сама программа не требует для работы особых ресурсов, основное условие — наличие достаточного места на диске для файлов кэша и журнала. Поэтому все же рекомендуется устанавливать proxy-сервер на отдельной машине, отдавая ему максимальные ресурсы.
Настройка
Для чего нужен proxy-сервер? Ведь любой Web-браузер (Netscape Navigator, Microsoft Internet Explorer, Opera) уже умеет кэшировать документы. Но вспомним, что, во-первых, мы не выделяем для этих целей значительных объемов дискового пространства.
А во-вторых, вероятность посещения одних и тех же страниц одним человеком значительно меньше, чем если бы это делали десятки или сотни людей (а такое количество пользователей имеется во многих организациях). Поэтому создание единого кэш-пространства для организации позволит сократить входящий трафик и ускорит поиск в Internet документов, уже полученных кем-либо из сотрудников. Proxy-сервер UserGate может быть связан по иерархии с внешними proxy-серверами (провайдеров), и в этом случае удастся если не уменьшить трафик, то хотя бы ускорить получение данных, а также уменьшить стоимость (обычно стоимость трафика у провайдера через proxy-сервер ниже).
Экран 1. Настройка кэша
Забегая вперед, скажу, что настройка кэша выполняется в разделе меню «Сервисы» (см. экран 1). После перевода кэша в режим «Включен» можно настроить его отдельные функции — кэширование POST-запросов, динамических объектов, cookies, контента, получаемого по FTP. Здесь же настраивается размер выделенного для кэша дискового пространства и время жизни кэшированного документа. А чтобы кэш начал работать, нужно настроить и включить режим proxy. В настройках определяется, какие протоколы будут работать через proxy-сервер (HTTP, FTP, SOCKS), на каком сетевом интерфейсе они будут прослушиваться и будет ли выполняться каскадирование (необходимые для этого данные вводятся на отдельной закладке окна настройки служб).
Перед началом работы с программой нужно выполнить и другие настройки. Как правило, это делается в такой последовательности:
Создание учетных записей пользователей в Usergate.
Настройка DNS и NAT на системе с Usergate. На данном этапе настройка сводится главным образом к настройке NAT с помощью мастера.
Настройка сетевого соединения на клиентских машинах, где необходимо прописать шлюз и DNS в свойствах TCP/IP сетевого соединения.
Создание политики доступа в Internet.
Для удобства работы программа разделена на несколько модулей. Серверный модуль запускается на компьютере, имеющем подключение к Internet, и обеспечивает выполнение основных задач. Администрирование Usergate осуществляется с помощью специального модуля Usergate Administrator. С его помощью производится вся настройка сервера в соответствии с необходимыми требованиями. Клиентская часть Usergate реализована в виде Usergate Authentication Client, который устанавливается на компьютер пользователя и служит для авторизации пользователей на сервере Usergate, если применяется авторизация, отличная от авторизаций IP или IP + MAC.
Управление
Управление пользователями и группами вынесено в отдельный раздел. Группы необходимы для облегчения управления пользователями и их общими настройками доступа и тарификации. Можно создать столько групп, сколько потребуется. Обычно группы создаются в соответствии со структурой организации. Какие параметры можно назначить для группы пользователей?
С каждой группой связан тариф, по которому будут учитываться расходы на доступ. По умолчанию используется тариф default. Он пустой, поэтому соединения всех пользователей, входящих в группу, не тарифицируются, если тариф не переопределен в профиле пользователя.
В программе имеется набор предопределенных правил NAT, которые изменить нельзя. Это правила доступа по протоколам Telten, POP3, SMTP, HTTP, ICQ и др. При настройке группы можно указать, какие из правил будут применяться для данной группы и пользователей, входящих в нее.
Режим автодозвона может использоваться в том случае, когда подключение к Internet осуществляется через модем. При включении этого режима пользователь может инициализировать подключение к Internet, когда соединения еще нет, — по его запросу модем устанавливает соединение и обеспечивает доступ. Но при подключении через выделенную линию или ADSL необходимость в этом режиме отпадает.
Экран 2. Создание учетной записи пользователя
Добавление учетных записей пользователей не сложнее добавления групп (см. экран 2). А если компьютер с установленным proxy-сервером Usergate входит в домен Active Directory (AD), учетные записи пользователей могут быть импортированы оттуда и затем разнесены по группам. Но как при вводе вручную, так и при импорте учетных записей из AD необходимо настроить права пользователей и правила доступа. К ним относятся тип авторизации, тарифный план, доступные правила NAT (если групповые правила не полностью удовлетворяют потребности конкретного пользователя).
Proxy-сервер Usergate поддерживает несколько типов авторизации, в том числе авторизацию пользователей через Active Directory и окно регистрации Windows Login, что позволяет интегрировать Usergate в существующую сетевую инфраструктуру. Usergate использует собственный драйвер NAT, поддерживающий авторизацию через специальный модуль — модуль клиентской авторизации. В зависимости от выбранного способа авторизации в настройках профиля пользователя необходимо указать либо его IP-адрес (или диапазон адресов), либо имя и пароль, либо же только имя. Здесь же может быть указан электронный адрес пользователя, на который будут высылаться отчеты об использовании им доступа в Internet.
Правила
Система правил Usergate является более гибкой в настройках по сравнению с возможностями Remote Access Policy (политика удаленного доступа в RRAS). С помощью правил можно закрыть доступ к определенным адресам URL, ограничить трафик по тем или иным протоколам, установить временной лимит, ограничить максимальный размер файла, который пользователь может скачать, и многое другое (см. экран 3). Стандартные средства операционной системы не обладают достаточной для решения этих задач функциональностью.
Экран 3. Настройка правил
Правила создаются с помощью помощника. Они распространяются на четыре основных объекта, отслеживаемые системой, — соединение, трафик, тариф и скорость. Причем для каждого из них может быть выполнено одно действие. Выполнение правил зависит от настроек и ограничений, которые для него выбираются.
К их числу относятся используемые протоколы, время по дням недели, когда это правило будет действовать. Наконец, определяются критерии по объему трафика (входящего и исходящего), времени работы в сети, остатку средств на счете пользователя, а также список IP-адресов источника запроса и сетевые адреса ресурсов, на которые распространяется действие. Настройка сетевых адресов также позволяет определить типы файлов, которые пользователи не смогут загружать.
Во многих организациях не разрешается использовать службы мгновенных сообщений. Как реализовать такой запрет с помощью Usergate? Достаточно создать одно правило, закрывающее соединение при запросе сайта *login.icq.com*, и применить его ко всем пользователям.
Применение правил позволяет изменять тарифы для доступа в дневное или ночное время, к региональным или общим ресурсам (если такие различия предоставляются провайдером). К примеру, для переключения между ночным и дневным тарифами необходимо будет создать два правила, одно будет выполнять переключение по времени с дневного на ночной тариф, второе — обратное переключение. Собственно, для чего необходимы тарифы? Это основа работы встроенной биллинговой системы. В настоящее время данной системой можно пользоваться только для сверки и пробного расчета расходов, но после того, как биллинговая система будет сертифицирована, владельцы системы получат надежный механизм для работы со своими клиентами.
Пользователи
Теперь вернемся к настройкам DNS и NAT. Настройка DNS заключается в указании адресов внешних DNS-серверов, к которым будет обращаться система. При этом на компьютерах пользователей необходимо в настройках соединения для свойств TCP/IP в качестве шлюза и DNS указать IP внутреннего сетевого интерфейса компьютера с Usergate. Несколько иной принцип настройки при использовании NAT.
В этом случае в системе нужно добавить новое правило, в котором требуется определить IP приемника (локальный интерфейс) и IP отправителя (внешний интерфейс), порт — 53 и протокол UDP. Это правило необходимо назначить всем пользователям. А в настройках соединения на их компьютерах в качестве DNS следует указать IP-адрес сервера DNS провайдера, в качестве шлюза — IP-адрес компьютера с Usergate.
Настройка почтовых клиентов может быть выполнена как через Port mapping, так и через NAT. Если в организации разрешено использовать службы мгновенных сообщений, то для них должна быть изменена настройка подключения — необходимо указать применение брандмауэра и proxy, задать IP-адрес внутреннего сетевого интерфейса компьютера с Usergate и выбрать протокол HTTPS или Socks. Но надо иметь в виду, что при работе через proxy-сервер будет недоступна работа в Chat rooms и Video Chat, если используется Yahoo Messenger.
Статистика работы записывается в журнал, содержащий информацию о параметрах соединений всех пользователей: время соединения, длительность, затраченные средства, запрошенные адреса, количество полученной и переданной информации. Отменить запись информации о пользовательских соединениях в файл статистики нельзя. Для просмотра статистики в системе существует специальный модуль, доступ к которому возможен как через интерфейс администратора, так и удаленно. Данные могут быть отфильтрованы по пользователям, протоколам и времени и могут быть сохранены во внешнем файле в формате Excel для дальнейшей обработки.
Что дальше
Если первые версии системы были предназначены лишь для реализации механизма кэширования proxy-сервера, то в последних версиях появились новые компоненты, предназначенные для обеспечения информационной безопасности. Сегодня пользователи Usergate могут задействовать встроенный модуль брандмауэра и антивируса Касперского.
Брандмауэр позволяет контролировать, открывать и блокировать определенные порты, а также публиковать Web-ресурсы компании в Internet. Встроенный брандмауэр обрабатывает пакеты, не прошедшие обработку на уровне правил NAT. Если пакет был обработан драйвером NAT, он уже не обрабатывается брандмауэром. Настройки портов, выполненные для proxy, а также порты, указанные в Port Mapping, помещаются в автоматически генерируемые правила брандмауэра (тип auto). В правила auto также помещается порт 2345 TCP, используемый модулем Usergate Administrator для подключения к серверной части Usergate.
Говоря о перспективах дальнейшего развития продукта, стоит упомянуть создание собственного сервера VPN, что позволит отказаться от VPN из состава операционной системы; внедрение почтового сервера с поддержкой функции антиспама и разработку интеллектуального брандмауэра на уровне приложений.
Источник: www.osp.ru
Настройка Usergate — учет интернет трафика в локальной сети
Настройка Usergate — учет интернет трафика в локальной сети
После того, как подключили локальную сеть к интернет, имеет смысл настроить систему учета трафика и в этом нам поможет программа Usergate. Usergate является прокси-сервером и позволяет контролировать доступ компьютеров из локальной сети, в сеть интернет.
Но, для начала давайте вспомним, как мы ранее настроили сеть в видеокурсе «Создание и настройка локальной сети между Windows 7 и WindowsXP», и как предоставили доступ всем компьютеры к сети интернет через один канал связи. Схематично можно представить в следующем виде, есть четыре компьютера, которые мы объединили в одноранговую сеть, выбрали рабочую станцию work-station-4-7, с операционной системой Windows 7, в качестве шлюза, т.е. подключили дополнительную сетевую карту, с доступом в сеть интернет и разрешили другим компьютерам в сети, выходить в Интернет через данное сетевое подключение. Остальные три машины являются клиентами интернета и на них, в качестве шлюза и DNS, указали IP адрес компьютера раздающего интернет. Ну чтож, теперь давайте разберемся с вопросом контроля доступа к сети Интернет.
Установка UserGate не отличается от установки обычной программы, после установки система просит перезагрузиться, перезагружаемся. После перезагрузки, первым делом давайте попробуем выйти в интернет, с компьютера на котором установлен UserGate — выйти получается, а с других компьютеров нет, следовательно, Proxy сервер начал работать и по умолчанию запрещает всем выход в Интернет, по этому требуется его настроить.
Запускаем консоль администратора (Пуск Программы UserGate Консоль администратора) и тут у нас появляется сама консоль и открывается вкладка Соединения. Если мы попробуем открыть какую-либо из вкладок с лева, по выдается сообщение (UserGate Консоль администратора не подключена к UserGate Серверу), по этому при запуске у нас открывается вкладка Соединения, чтобы мы могли сначала подключиться к серверу UserGate.
И так, по умолчанию Имя сервера – local; Пользователь – Administrator; Сервер – localhost, т.е. серверная часть расположена на данном компьютере; Порт – 2345.
Дважды щелкаем на данную запись и выполняется подключение к службе UserGate, если подключиться не удалось, проверьте, запущена ли служба (Ctrl+Alt+Esc Службы UserGate)
При первом подключении запускается Мастер настройки UserGate, жмем Нет, так как будем все настраивать вручную, чтобы было более понятно, что и где искать. И первым делом переходим во вкладку Сервер UserGate Интерфейсы, здесь указываем, какая сетевая карта смотрит в интернет (192.168.137.2 — WAN), а какая в локальную сеть (192.168.0.4 — LAN).
Далее Пользователи и группы Пользователи, здесь есть один единственный пользователь, это сама машина на которой запущен сервер UserGate и называется он Default, т.е. по умолчанию. Добавим всех пользователей, которые будут выходить в интернет, у меня их три:
Группу и тарифный план оставляем по умолчанию, тип авторизации, я буду использовать через IP-адрес, так как у меня они прописаны вручную, и остаются неизменными.
Теперь настроим сам прокси, заходим в Сервисы Настройка прокси HTTP, здесь выбираем IP адрес, который мы указали в качестве шлюза на клиентских машинах, у меня это 192.168.0.4, а также ставим галочку Прозрачный режим, чтобы не прописывать вручную в браузерах адрес прокси сервера, в данном случае браузер будет смотреть какой шлюз указан в настройках сетевого подключения и будет перенаправлять запросы на него.
Далее настроим правила выхода в сеть Интернет Межсетевой экран Правила ПКМ Добавить правило Имя: Интернет доступ Источник: LAN (192.168.0.4) Добавить Далее Назначение:WAN (192.168.137.2) Добавить Сервисы (HTTP; HTTPS) Далее Группа: default ОК
Ну и последнее, нужно настроить DNS пересылку запросов, это необходимо для того, чтобы UserGate перенаправлял запросы клиентов в сеть Интернет (Сервисы Настройка DNS DNS форвардинг Включен) Теперь попробуем зайти на FTP сервер (ftp://ftp.dlink.ru), появляется сообщение мол отсутствует доступ, это по тому, что у нас настроен только HTTP прокси, по этому можно выходить в сеть Интернет только по этому протоколу, давайте настроим FTP прокси (Сервисы Настройка прокси ftp 192.168.0.4 Прозрачный режим) а так же добавим правило для FTP протокола (Межсетевой экран Правила Интернет доступ Далее Далее Выбрать сервисы FTP ОК ОК). Опять заходим на ftp://ftp.dlink.ru и все отлично, доступ есть. Аналогичным образом настраиваются и другие функции, в данной программе много функций и описать их настройку в одном уроке я не смогу, по этому советую изучить инструкцию, которую можно скачать с официального сайта UserGate, слава богу она на русском языке!
