Обзор ContentKeeper Web. Часть 2. Расширенные возможности



ContentKeeper Web – это масштабируемое и отказоустойчивое решение корпоративного уровня для осуществления фильтрации веб-контента. Данное решение позволяет организовать мониторинг и управление трафиком в сетях с высокой пропускной способностью для обеспечения безопасной работы всех сотрудников в сети Интернет.

 

Сертификат AM Test Lab

Номер сертификата: 91

Дата выдачи: 18.10.2011

Срок действия: 18.10.2016

Реестр сертифицированных продуктов »

 

1. Введение

2. Аутентификация пользователей

3. Кэширование

4. Потоковый антивирус

5. Отчетность

6. Мониторинг

7. ContentKeeper Web для интернет-провайдеров (ISP)

8. Возможности новой версии

9. Выводы

 

 

Введение

ContentKeeper Web содержит большой набор инструментов как для администрирования системы фильтрации, так и для настроек самой фильтрации трафика. В предыдущем обзоре мы рассмотрели особенности реализации ContentKeeper Web, его функциональные возможности, установку и настройку, создание политик фильтрации. В данном обзоре мы рассмотрим механизмы аутентификации пользователей, дополнительные модули для кэширования данных и проверок трафика на вирусы (потоковый антивирус), а также утилиты для мониторинга работы и создания отчетов.

Расширяемость возможностей ContentKeeper основана на ее модульной структуре, позволяющей гибко настраивать систему фильтрации для решения большого класса различных задач. На аппаратном уровне модульность проявляется в возможности масштабировать систему фильтрации при увеличении количества пользователей в сети. Масштабирование осуществляется при помощи последовательного подключения нескольких устройств (Appliance). Также функциональность устройства можно расширять установкой дополнительных аппаратных модулей. К примеру, модуль High Availability Module выполняет функции моста и позволяет перенаправлять трафик в обход устройств ContentKeeper Web при выходе их из строя.

 

Рисунок 1. Пример системы фильтрации из нескольких устройств

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

На программном уровне расширение функциональности осуществляется при помощи установки дополнительных программных модулей или специальных утилит. Модули интегрируются в ContentKeeper Web (например, модуль для кэширования или потоковый антивирус). Утилиты устанавливаются в виде отдельных приложений (например, программы CK Monitor и ARM). Дополнительные модули можно загрузить из консоли администрирования ContentKeeper Web на странице «Downloadable modules», утилиты могут быть скачаны с официального сайта ContentKeeper Technologies.

 

Рисунок 2. Страница для установки дополнительных модулей

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Загружая набор различных дополнительных модулей, администратор может выстраивать их взаимодействие друг с другом и с ContentKeeper Web.

 

Аутентификация пользователей

ContentKeeper Web работает по принципу шлюза, пропуская через себя весь трафик между локальной сетью организации и Интернетом. ContentKeeper Web может устанавливаться между выходом в Интернет и прокси-сервером или сам может работать в качестве прокси-сервера (в основе работы ContentKeeper Web лежит прокси-сервер Squid (http://www.squid-cache.org)), организуя централизованный доступ из локальной сети в Интернет.

Способ работы задается при настройке параметров Managment-порта в ContentKeeper Web. Переход на страницу настроек осуществляется при помощи ссылки «Management Port Proxy Settings» в основном окне программы.

Если в корпоративной сети уже есть прокси-сервер, то необходимо настроить совместную работу между ним и ContentKeeper Web, после чего на странице Management Port Proxy Setting указать IP и порт используемого прокси-сервера, а также логин и пароль, если на прокси-сервере используется аутентификация. Для использования ContentKeeper Web в качестве прокси-сервера достаточно снять флажки рядом с настройками IP адреса и номера порта прокси-сервер.

 

Рисунок 3. Настройки Managment-порта для работы с прокси-сервером

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Основной задачей администратора при работе с ContentKeeper Web является создание и настройка политик фильтрации и их дальнейшее применение для глобальной или персональной фильтрации. При глобальной фильтрации политики применяются для ограничения всего трафика в сети, при персональной фильтрации ограничивается работа конкретных пользователей или групп пользователей. Для реализации персональной фильтрации нужно сформировать базу пользователей локальной сети, настроить механизм их аутентификации и назначить для них уже созданные политики безопасности.

Формирование базы пользователей

Базу пользователей можно сформировать двумя способами – вручную, задав ее в ContentKeeper Web («Локальные пользователи») или получив ее из одной из служб каталогов («LDAP пользователи»).

Для создания локальных учетных записей нужно сохранить логин и пароль пользователя в хранилище ContentKeeper Web. Доступ к нему можно получить из основного окна, перейдя по ссылке «Authenticate State Settings» и нажав кнопку «Local Users». Добавить аккаунты можно нажав на кнопку «Save and Redisplay».

 

Рисунок 4. Добавление «локальных пользователей»

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Также можно импортировать список пользователей из CSV файла. Файл должен содержать записи в формате «Имя, пароль, активность учетной записи» (например, «Ivanov, 12345, 1»). Количество записей при этом ограничено и не должно превышать 1500. После импорта существующие записи стираются, чтобы избежать этого, нужно предварительно экспортировать список и вносить изменение в него.

 

Рисунок 5. Загрузка CSV файла

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Создав набор аккаунтов, администратор может объединять их в группы.

 

Рисунок 6. Создание локальной группы и добавление в нее пользователей

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Для централизованной работы с уже существующими в локальной сети пользователями их записи можно выгружать непосредственно из служб каталогов (Active Directory, eDirectory и другие LDAP службы каталогов) при помощи протокола LDAP (Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам»). Для работы с данными служб каталогов нужно из главного окна перейти по ссылке «LDAP/eDirectory/AD Configuration» и нажать на кнопку «LDAP Users/Group Enumeration».

 

Рисунок 7. Функции для работы с LDAP

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

На открывшейся странице нужно указать расположение службы каталогов (IP-адрес или домен), используемый порт, аккаунт администратора, имеющего доступ к списку пользователей и паролей (Bind ВТ), а также строку запроса LDAP. При необходимости можно настроить периодическую выгрузку данных пользователей. Сделанные настройки нужно сохранить (кнопка «Save and Redisplay»), а затем нужно запустить процедуру выгрузки записей («Enumerate Now»). После выгрузки отобразится подробный лог со списком выгруженных пользователей и групп.

 

Рисунок 8. Выгрузка записей из Active Directory

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Заданные настройки можно сохранять (кнопка «Clone»). В дальнейшем, в зависимости от поставленной задачи, администратор может воспользоваться одним из используемых ранее наборов настроек выгрузки записей.

 

Рисунок 9. Шаблоны настроек выгрузка записей из Active Directory

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

При необходимости администратор может проверить правильность аутентификации ContentKeeper Web записи любого пользователя. Для этого необходимо указать логин, пароль и нажать на кнопку «Test and Redisplay».

 

Рисунок 10. Проверка аутентификации пользователей

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Разрешение имен пользователей (Username Resolution)

После получения перечня пользователей, необходимо сконфигурировать процесс разрешения имен (username resolution), т. е. процесс соответствия рабочей станции, с которой осуществляется запрос к веб-ресурсу, с конкретным пользователем. Это необходимо для настройки персональных или групповых правил фильтрации, а также фиксации действий пользователей в логах для формирования отчетов.

ContentKeeper Web предлагает несколько методов разрешения имен пользователей, например: DNS, NetBIOS, IDENT-AUTH, Proxy Authentication, Firewall Authentication, аутентификация на рабочей станции пользователем (Workstation Authentication). Некоторые из них можно использовать одновременно, в зависимости от конфигурации корпоративной сети.

 

Рисунок 11. Проверка аутентификации пользователей

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Для демонстрации работы системы аутентификации пользователей мы воспользуемся методом «Workstation Authentication». При его использовании первый запрос URL пользователем инициирует процесс аутентификации, запрашивая в диалоговом окне логин и пароль. После входа пользователь соотносится с конкретным IP-адресом, и все последующие запросы с этого IP идентифицируются как запросы от пользователя до окончания заданного таймаута. Для выбранного метода нужно задать тип используемой базы пользователей и период действия аутентификации.

 

Рисунок 12. Настройка режима «Workstation Auth Only»

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Также можно использовать прокси-аутентификацию. Для этого нужно выбрать пункт «Proxy Header» и режим работы прокси. Если используется несколько прокси с разными настройками, или один - с несколькими видами аутентификации, необходимо выбрать пункт «Automatic».

 

Рисунок 13. Прокси-аутентификация

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Назначение политик для пользователей

Каждой политике можно задать набор пользователей, для которых она будет применяться. Настройка происходит отдельно для каждой из двух баз - «локальных пользователей» и «LDAP пользователей». Задать соответствие можно на странице работы с политиками, перейти к которой можно из главного окна по ссылке «Create & Edit Polices».

Для каждой политики можно задать сферу ее применения: можно задавать по именам пользователей, по группам пользователей, по IP-адресам пользователей или по сегментам виртуальной сети (VLAN-идентификаторам).

 

Рисунок 14. Пример задания политик по именам пользователей

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Рисунок 15. Пример задания политик по группам пользователей

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

При задании политик по IP-адресам пользователей можно импортировать их из CSV файла, что существенно облегчает работу. Наиболее гибким способом является использование VLAN. С его помощью можно разбить локальную сеть на ряд виртуальных подсетей, в соответствии с набором требований к пользователям. В результате можно отдельно назначать правила на разработчиков, менеджеров, бухгалтеров и т.д.

 

Кэширование

Для кэширования трафика между локальной сетью и Интернетом используется дополнительный модуль CK Cache. При использовании кэширования, данные, с которыми происходит работа, сохраняются в памяти устройства и при повторном обращении к ним предоставляются именно сохраненные данные. Это позволяет экономить трафик, уменьшать нагрузку на сервер и увеличивать скорость работы пользователей в Интернете.

Модуль для кэширования получает данные от используемого ContentKeeper Web прокси-сервера. Следует отметить, что функции CK Cache при использовании с ContentKeeper Web выходят за рамки простого кэширования. При использовании потокового антивируса данные для проверки будут браться из CK Cache, что позволит не проводить повторные процедуры для уже проверенных данных. Также в CK Cache есть возможность настраивать правила доступа для работы с трафиком. Поэтому использование CK Cache оправдано даже в локальных сетях с прокси-сервером, включающим в себя функции кэширования.

Для работы с данным модулем в главном окне нужно перейти по ссылке «ContentKeeper Cache». Настройка модуля выполняется в базовом и расширенном режиме. В базовом режиме нужно указать IP-адрес и порт прокси-сервера, а также настроить аутентификацию при работе с данным модулем.

 

Рисунок 16. Базовые настройки CK Cache

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

В расширенном режиме количество настроек существенно больше. Администратор может посмотреть статистику работы CK Cache (кнопка «Show Statistics»), очистить кэш (кнопка «Flush Cache») и настроить запись результатов работы кэша (логов).

 

Рисунок 17. Дополнительные настройки

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Запись логов дает дополнительную информацию о работе пользователей, однако она может замедлять работу в Интернете, т.к. при большом количестве пользователей увеличивается нагрузка на файловую систему.

 

Рисунок 18. Настройка записи логов

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Можно настроить дополнительную аутентификацию для работы с модулем CK Cache – указать параметры основного домена и домена для резервного копирования данных, указать администратора, добавить текст подсказки для аутентификации и т.д.

 

Рисунок 19. Настройка аутентификации

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

На странице «Parent Proxies» можно настроить дополнительный прокси-сервер для управления трафиком.

 

Рисунок 20. Добавление дополнительного прокси-сервера

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Интересной возможностью является задание правил доступа (страница «Access Control»). Администратор может составить набор правил, который применяется ко всем данным в кэше. Составление правила происходит путем «перетаскивания» нужных действий в поле «Rules». Каждое правило включает в себя одно из действий – блокировать, разрешить, направить, перенаправить, а также поток трафика, к которому применяется действие. Правила применяются последовательно от верхней команды к нижней.

 

Рисунок 21. Правила доступа

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Потоковый антивирус

Еще один дополнительный модуль - ContentKeeper Anti-Virus (CK-AV) выполняет функции потокового антивируса. Данный модуль был разработан «Лабораторией Касперского» и внедрен в продукты компании ContentKeeper Technologies. Модуль выпускается как в качестве отдельного устройства (в форм-факторе 1U), так и в виде программного модуля к ContentKeeper Web.

 

Рисунок 22. Выбор способа установки антивирусного модуля

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

CK-AV в реальном времени проверяет весь трафик, обнаруживая и удаляя в нем вирусы и сетевых червей. Также в нем присутствует возможность сканировать архивы и настраивать индивидуальные правила сканирования для разных пользователей. Для работы с CK-AV в главном окне ContentKeeper Web нужно перейти по ссылке «ContentKeeper Anti-Virus» и нажать на кнопку «Proxy mode».

 

Рисунок 23. Основное меню ContentKeeper Anti-Virus

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Настройка работы антивируса осуществляется на страницах «General» и «KeepUp2Data». Администратор может задавать директории для основных модулей антивируса, файла лицензии, временных файлов, антивирусных баз и данных для резервного копирования. Также можно задать сервер для получения обновлений, используемый прокси-сервер и файл для сохранения отчетов.

 

Рисунок 24. Настройка антивируса в окне «ContentKeeper KeepUp2Data».

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

В CK-AV используется ICAP-сервер (Internet Content Adaptation Protocol), который используется для проверки трафика на наличие вредоносного кода. Данный сервер получает по HTTP-протоколу данные от прокси-сервера для обработки, после чего возвращает проверенные данные в кэш прокси-сервера. В окне «Main Settings» можно настроить параметры работы протокола ICAP, сбора статистики и формирования отчетов.

 

Рисунок 25. Настройка ICAP-сервера

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

В окне «Group» можно настроить правила реагирования на обнаруживаемые угрозы и возникающие события для различных групп пользователей. Например, можно настроить пропуск сообщений о завершении лицензии и обнаружении подозрительных объектов и лечение инфицированных объектов.

 

Рисунок 26. Настройка действий ICAP-сервера при обнаружении различных угроз

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Нажав на кнопку «AV Run», можно перейти на страницу, в которой осуществляется запуск работы антивируса и загрузки антивирусных баз. По всем выполненным действиям генерируются отчеты, которые можно посмотреть, нажав на кнопку «Show log».

 

Рисунок 27. Запуск работы антивируса

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Отчетность

Основная система отчетности в ContentKeeper Web реализована достаточно примитивно. Администратор может получить только самые общие данные о результатах фильтрации. Формирование отчета осуществляется в окне «ContentKeeper Webalizer Report», в которое можно перейти по ссылке «Webalizer Report» в главном окне программы. Сформированный отчет показывает количество посещенных сайтов (переходов по ссылкам), скаченных файлов, использованного трафика (в килобайтах).

 

Рисунок 28. Отчетность в ContentKeeper Web

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Для работы с отчетами используется расширенный модуль отчетности ARM (Advanced Reporting Module), который выполнен в виде отдельной утилиты. ARM работает с уже сформированным набором log-файлов, которые были экспортированы из ContentKeeper Web. В зависимости от используемой версии можно загружать до 2 Гб (Silver), до 5 Гб (Gold) или неограниченный объем (Platinum) логов. Обработав логи, ARM создает набор визуальных и табличных отчетов, которые можно использовать для анализа исполнения политик фильтрации, изучения работы в Интернете конкретных сотрудников, учета потребления трафика и т.д. Можно настроить формирование отчетов по расписанию и отправку их на электронную почту администратору или руководству предприятия.

Последовательно рассмотрим этапы создания отчетов. Вначале скачиваем и устанавливаем на компьютер утилиту ARM. После этого нужно настроить выгрузку логов из ContentKeeper Web. Для этого в главном окне нужно нажать на ссылку «Log Offloader». На открывшейся странице нужно задать протокол для выгрузки данных FTP или SFTP, указать периодичность выгрузки данных и формирование данных для ARM.

 

Рисунок 29. Настройка выгрузки данных

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

После этого нужно запустить ARM. Утилита имеет простой интерфейс, большинство настроек выполняется при помощи мастеров.

 

Рисунок 30. Главное окно утилиты ARM

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Для получения логов, нужно сформировать хранилище, из которого ARM будет их загружать. Хранилище создается в разделе «Storages» при помощи команды «Import a new storage».

 

Рисунок 31. Создание хранилища логов

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Создав хранилище нужно импортировать логи (команда «Import log file»). Импорт осуществляется при помощи мастера, в котором указывается директория с логами и генерирующая логи программа. После этого из всего массива данных при помощи фильтров выбираются необходимые данные. Фильтры позволяют выбрать данные по дате и времени события, а также по типу события. Например, можно выбрать только события для конкретного пользователи или группы пользователей, для сайтов с определенным URL или расположенные в нужном конкретном домене.

 

Рисунок 32. Набор событий для задания выбора данных из логов

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

По окончании работы мастера мы получаем набор логов, после чего он становится доступен в ARM.

 

Рисунок 33. Выгруженные логи

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

После этого в разделе «Summaries» нужно запустить процедуру анализа логов, после выполнения которой можно построить отчет по одному из предложенных критериев. Набор критериев достаточно большой — можно построить отчет по пользователям, группам, сайтам, используемым протоколам, времени, политикам и действиям ContentKeeper Web и т. д.

 

Рисунок 34. Критерии для построения отчета

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Полученные данные могут выводиться в виде круговой диаграммы.

 

Рисунок 35. Пример отчета о потребляемом трафике пользователями

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Или в виде гистограммы

 

Рисунок 36. Пример отчета о посещении сайтов

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Рисунок 37. Пример отчета о заблокированных категориях

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Все отчеты можно сохранить в одном из распространенных форматов — HTML, DOC, CSV, TXT для их рассылки администратору и руководству для дальнейшего анализа.

 

Рисунок 38. Отчет в формате html

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Для решения нестандартных задач администратор может создать и настроить собственные шаблоны для генерации отчетов. Создание шаблонов осуществляется в разделе «Templates».

 

Рисунок 39. Создание шаблонов для генерации отчетов

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

При создании отчетов существует возможность заменять имена пользователей и названия групп на псевдонимы. Сформированный с использованием псевдонимов отчет является более информативным и наглядным. Для использования псевдонимов нужно в разделе «Aliases» выгрузить аккаунты пользователей и задать им новые имена.

 

Рисунок 40. Настройка псевдонимов

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Полученный отчет будет выглядеть следующим образом.

 

Рисунок 41. Отчет с использованием псевдонимов

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Еще одной полезной возможностью является создание задач по анализу получаемых данных, созданию и рассылке отчетов. При создании задачи настраиваются все описанные ранее параметры. Созданная задача помещаются в список задач Windows.

 

Рисунок 42. Список задач Windows

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Мониторинг

Получая отчеты, администратор может анализировать результаты работы ContentKeeper Web за определенный промежуток времени. Для получения же данных о работе пользователей в режиме реального времени и о попытках нарушения установленных правил используется утилита ContentKeeper Monitor.

Помимо ситуаций, связанных с нарушением политик, администратор может настроить оповещения о превышении определенного времени работы в Интернете, о загрузках больших файлов или файлов определенного типа (музыка, видео).

ContentKeeper Monitor  загружается с веб-страницы ContentKeeper и устанавливается в качестве отдельной программы. Для получения данных в программе нужно создать хранилище (Storage), в которое будут загружаться логи.

 

Рисунок 43. Главное окно утилиты ContentKeeper Monitor

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Все сообщения приходят администратору на панель статуса, которая по своей структуре похожа на программы мгновенного обмена сообщениями.

 

Рисунок 44. Панель статуса

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Для генерации сообщений используется механизм триггеров. Администратор настраивает набор ограничений по каждому типу активности и при нарушении ограничения возникает сообщение. Набор ограничений достаточно широк: загрузка определенного типа или размера файлов, посещение определенных сайтов, превышение лимита трафика или времени в Интернете, получение электронных писем большого размера и т.д. Также можно создать собственный триггер. В процессе работы с ContentKeeper Monitor мы создали триггер «Shopping» и протестировали его работу.

 

Рисунок 45. Набор триггеров

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

При срабатывании триггера можно просмотреть подробное описание события. Например, созданный нами триггер сработал на попытку зайти на сайт ebay.com, что можно увидеть из описания.

 

Рисунок 46. Описание события

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

В настройках триггеров также можно задать отправку писем на электронную почту – с описанием возникшей ситуации для администраторов и с предупреждениями для «нарушителей». Также для удобства работы с большим объемом информации можно задать псевдонимы для пользователей.

 

Рисунок 47. Окно статуса при использовании псевдонимов

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

ContentKeeper Web для интернет-провайдеров (ISP)

ContentKeeper Web может быть развернут на стороне интернет сервис-провайдера (ISP). Данная возможность становится особенно актуальной в связи с вступлением в силу с сентября 2012 года федерального закона 436-ФЗ «О защите детей от информации, приносящей вред их здоровью и развитию». Требования данного закона обязывают интернет-провайдеров осуществлять фильтрацию интернет-контента при обслуживании организаций, в которых могут находиться дети.

Для решения данной задачи необходимо обеспечивать фильтрацию контента в высокоскоростном канале провайдера с минимальными задержками. ContentKeeper Web может быть развернут на стороне интернет сервис-провайдера и осуществлять фильтрацию на скорости до 10 Гбит с минимальными задержками и высоким качеством фильтрации.

Данный высокопроизводительный вариант реализации ContentKeeper Web построен на кластерной организации модулей фильтрации, нагрузку между которыми распределяет балансировщик (рис. 48). Балансировщик нагрузки, являющийся ключевым компонентом данной схемы – прозрачное, отказоустойчивое решение ContentKeeper, направляющее на фильтрующие серверы только HTTP-трафик.

 

Рисунок 48. Схема фильтрации на стороне ISP

Обзор ContentKeeper Web. Часть 2. Расширенные возможности

 

Поддерживается подключение до 8 фильтрующих серверов. Динамическое перераспределение нагрузки обеспечивает устойчивость к отказам фильтрующих серверов за счет возможности автоматического перераспределения нагрузки. В качестве фильтрующих серверов могут быть использованы устройства от ведущих производителей (IBM, Dell, HP и т.п.). Например, конфигурация может содержать два 6-ядерных процессора, 24 Гб памяти и два 500 Гб диска в RAID 1.

Еще одной проблемой, связанной с фильтрацией на стороне провайдера, является реализация управления политиками. Необходимо обеспечивать различные типы фильтров для разных возрастных групп. Например, для школьников фильтровать одни категории сайтов, для учителей – другие. Для реализации этой функции используется интеграция ContentKeeper Web с системой Radius при реализации доступа посредством PPPoE. Это позволяет идентифицировать пользователей и реализовывать для них индивидуальные или групповые политики.

Для настройки данного режима в строке браузера при вызове административного интерфейса ContentKeeper Web вводится слово «?packet» (например, http://ck-web/cgi-bin/ck/index_new.cgi?packet) и, в качестве Bridge Operational Mode, выбирается режим ISP Bridge with PPPoE Support. После перезапуска ContentKeeper Web становится возможной фильтрация PPPoE трафика пользователей.

 

Возможности новой версии

В последней версии ContentKeeper Web 150.x появился новый модуль для обеспечения безопасности web-доступа: потоковый антивирус без необходимости использования Proxy (CK Cache). Данный модуль обеспечивает антивирусную защиту трафика в потоковом режиме с использованием постоянно обновляемых сигнатур от разных поставщиков антивирусных решений – ContentKeeper, Kaspersky, BitDefender.

В новой версии также представлен усовершенствованный модуль для создания отчетов ContentKeeper ARM Web Edition, который работает как WEB-приложение, и может быть интегрирован в WEB-консоль администратора ContentKeeper Web.

 

Выводы

Дополнительные возможности ContentKeeper Web заслуживают положительной оценки. Структура рассматриваемого решения масштабируема и расширяема. При определенных усилиях администратор может настроить работу ContentKeeper Web и дополнительных модулей для работы полностью в автоматическом режиме. Из минусов следует отметить проблемы с локализацией и пользовательским интерфейсом.

Плюсы

  1. Расширяемость. Модульная структура ContentKeeper Web предоставляет гибкие возможности для создания системы фильтрации и защиты. При увеличении количества пользователей в локальной сети достаточно к уже имеющемуся аппаратному устройству фильтрации подключить еще одно или несколько аналогичных устройств. А для расширения инструментов защиты и администрирования можно скачать и установить дополнительные программные модули или утилиты.
  2. Администрирование. ContentKeeper Web позволяет создавать локальные базы с данными пользователей и загружать данные пользователей из распространенных служб каталогов (Active Directory, eDirectory и другие LDAP службы каталогов). Данные о пользователях дают возможность настраивать персональную и групповую фильтрацию.
  3. Кэширование. Модуль для кэширования позволяет сохранять данные, с которыми работают пользователи для их последующей выдачи из кэша. Это позволяет увеличить скорость работы в Интернете и уменьшить потребляемый трафик. Также интересным решением является настройка правил для дополнительной обработки данных в кэше («Access Control»).
  4. Потоковый антивирус. Антивирус позволяет в реальном времени проверять трафик на наличие вирусов. Данная функция может быть реализованная как аппаратно, при помощи дополнительного устройства, так и программно – при помощи интегрируемого в ContentKeeper Web программного модуля от «Лаборатории Касперского».
  5. Отчетность. Дополнительные утилиты для мониторинга работы пользователей и составления отчетов позволяют анализировать активность пользователей при работе в Интернете. Отчеты могут формироваться в автоматическом режиме и рассылаться всем заинтересованным лицам.

Минусы

  1. Русификация. Отсутствие документации на русском языке затрудняет настройку дополнительных модулей.
  2. Пользовательский интерфейс. Большинство страниц, кроме модуля кэширования, выполнено с использованием старых программных решений, что резко контрастирует с оформлением современных операционных систем. Визуальное оформление графиков в отчетности, хотя и ушло далеко вперед по сравнению с встроенными средствами ContentKeeper Web, но не соответствует современным средствам визуализации. Также неудобство создает необходимость постоянно переходить между страницами при создании и редактировании политик фильтрации. Выходом в данной ситуации является использования мастера для настройки и применения политик фильтрации.
  3. Отчеты. Реализация монитора и модуля отчетов не в виде отдельных утилит, а непосредственно в ContentKeeper Web позволила бы исключить процедуру выгрузки и загрузки логов. Недостатком также можно считать работу данных утилит только под ОС Windows, в других операционных системах функции создания отчетов не поддерживаются.

Авторы:
Михаил Картавенко

Фридон Данелян 

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.