Сертификат AM Test Lab
Номер сертификата: 91
Дата выдачи: 18.10.2011
Срок действия: 18.10.2016
Введение
В данном обзоре мы рассмотрим систему фильтрации корпоративного уровня ContentKeeper Web, разработанную австралийской фирмой ContentKeeper Technologies. Применение таких систем на предприятии позволяет решить ряд важных задач:
- увеличить производительность труда. Блокировка не относящихся к работе ресурсов и ограничения на использования различных сервисов позволяет сократить время, которое сотрудники тратят на работу в Интернете. При этом можно гибко настраивать политики блокировки для разных групп пользователей;
- уменьшить количество трафика. Этому способствует блокировка популярных ресурсов для общения (например, социальных сетей) и скачивания файлов;
- увеличить безопасность внутренней сети предприятия. Вредоносные программы не попадают в локальную сеть, так как доступ к опасным сайтам и веб-страницам блокируется;
- уменьшить риски утечек информации и компрометации фирмы. Фильтрация почтовых сервисов и IM-программы, позволяет контролировать и ограничивать передачу информации за периметр локальной сети компании, а блокировка опасных сайтов (например, фишинговых) позволяет снизить вероятность кражи важных данных.
Решение всех этих частных задач в результате приводит к увеличению производительности труда на предприятии и, как следствие, к увеличению прибыли.
В одном из предыдущих обзоров мы рассмотрели программу ContentKeeper Express, которая работает по принципу SaaS-модели («ПО как услуга») и позволяет пользователям получать фильтрацию промышленного уровня при минимальном использовании аппаратных ресурсов компьютера. Данная система удобна для использования дома, в образовательных учреждениях и на предприятиях малого и среднего бизнеса, где количество защищаемых компьютеров в локальной сети не велика (от 1 до 100 компьютеров). Однако для локальных сетей крупных компаний, с большим количеством компьютеров, сложной архитектурой сети и высоким трафиком, использование только «облака» имеет ряд ограничений. Для таких сетей ContentKeeper Technologies предлагает решение корпоративного уровня – ContentKeeper Web.
В данном решении используется тот же самый алгоритм фильтрации, и та же база URL, что в ContentKeeper Express, однако фильтрация осуществляется на локальном сервере. В основе работы ContentKeeper Web лежит технология, которая называется производителем «Коллаборативная фильтрация замкнутого цикла» (Closed Loop Collaborative Filtering). Она представляет собой систему искусственного интеллекта, располагающуюся на серверах ContentKeeper Technologies и собирающую данные о наиболее посещаемых веб-сайтах и страницах в Интернете. Полученные данные анализируются, URL-адреса категоризируются, и сформулированные решения рассылаются устройствам каждый час, что позволяет реагировать на новые угрозы практически в масштабе реального времени.
Такое решение для защиты крупных сетей имеет ряд преимуществ:
- упрощение администрирования и исключение возможности обойти систему фильтрации (например, из-за «выгрузки» клиента для фильтрации при наличии прав администратора) за счет переноса фильтрации с персонального компьютера каждого пользователя на выделенное устройство;
- возможность обеспечивать фильтрацию при доступе к веб-ресурсам в локальной сети предприятия;
- возможность создания гибких настроек для любых групп пользователей и любых установленных политик. Например, администратор может создать правило, в котором для заданной группы пользователей не будут доступны новостные ресурсы в течение рабочего дня, кроме обеденного перерыва.
Особенности реализации ContentKeeper Web
ContentKeeper Web может поставляться в виде отдельного специализированного устройства (ContentKeeper Web Appliance) или программного обеспечения, которое можно развернуть на сервере компании. ContentKeeper Web подключается к сети предприятия в качестве моста (bridge) между конечными пользователями и Интернетом (корпоративным прокси-сервером или брандмауэром) и блокирует трафик на основе заданных администратором политик доступа к web-ресурсам. Устройства ContentKeeper Web Appliance имеют форм-фактор 1U и 2U и могут монтироваться в стойки, расположенные в серверной.
Важной особенностью ContentKeeper Web является то, что фильтрация осуществляется не через прокси-сервер, а через мост, что дает ряд преимуществ:
- безопасность использования. Устройство не имеет IP-адресов на портах моста, что позволяет исключить большую часть атак на него. В сети устройство может «видеть» только администратор, для всех остальных устройство невидимо;
- минимизация задержек. Использование ContentKeeper Web не вносит задержек в работу пользователей и не оказывает влияние на полосу пропускания. При использовании сервера рекомендуется выделять его целиком под задачу фильтрации, т.к. при большом размере сети данная функция будет «мешать» всем остальным выполняющимся на сервере процессам;
- масштабируемость. В зависимости от модели устройство позволяет обрабатывать сетевой трафик при одновременном доступе к Интернету от 50 до нескольких миллионов пользователей. Однако создание систем с высокой пропускной способностью (более 80 тысяч) возможно только с использованием устройств ContentKeeper Web Appliance, которые при необходимости могут объединяться в наборы серверов с балансировщиком нагрузки.
Существует несколько моделей ContentKeeper Web Appliance, отличающихся максимальным количеством пользователей, для которых может осуществляться фильтрация. Например, для небольших сетей до 250 пользователей используется модель Small Business 3, для сетей от 500 до 50000 пользователей используется модель ContentKeeper Universal Appliance, а для крупных сетей от 500 тысяч пользователей используется ContentKeeper Web Security Gateway Appliance.
Рисунок 1. Устройство ContentKeeper Web Security Gateway Appliance
Для обеспечения отказоустойчивости в случае аппаратного или программного сбоя автоматически осуществляется перенаправление трафика в «обход» устройства или сервера. Это позволяет продолжать работу с Интернетом до того момента, пока работа системы фильтрации не будет восстановлена. Для реализации данной функции используется модуль High Availability Module (H.A.M.), который представляет собой обходной Ethernet-коммутатор. В старших моделях ContentKeeper Web Appliance обходной мост является встроенным, для младших моделей и при использовании сервера его нужно устанавливать дополнительно. В случае внешнего H.A.M., управление им осуществляется при помощи интерфейса RS-232.
Рисунок 2. Схема подключения H.A.M.
Системные требования ContentKeeper Web
Требования к аппаратуре, на которой разворачивается ContentKeeper Web, зависят от количества пользователей в сети.
Таблица 1. Требования к аппаратуре сервера
Количество пользователей | Конфигурация сервера |
Меньше 250 (трафик до 2 Мбит/c) |
|
От 25 до 3000 (трафик до 50 Мбит/c) |
|
От 3000 до 80000 (трафик до 200 Мбит/c) |
|
Более 80000 (трафик более 200 Мбит/c) | Использование сервера не рекомендуется. |
Данные требования распространяются только на использование функции фильтрации, без включения потокового антивируса.
Для любой конфигурации необходимо наличие трех сетевых адаптеров 10/100Mbs Gigabit Intel Pro (UTP). Рекомендуется использовать сетевые адаптеры одного типа. В случае использования сервера, также рекомендуется использовать модуль H.A.M.
При использовании ContentKeeper Web Appliance программное обеспечение устанавливать не нужно, оно уже установлено на работающей в устройстве операционной системе KeeperOS. При установке на сервер ContentKeeper Web нужно развернуть на нем образ с операционной системой CentOS, с предустановленным ContentKeeper Web.
Также для работы ContentKeeper Web необходимо постоянное интернет-соединение (для скачивания обновлений) и наличие интернет-браузера - Internet Explorer, Opera, Google Chrome или Mozilla Firefox (для работы с веб-интерфейсом).
Функциональные возможности ContentKeeper Web
В ContentKeeper Web реализованы следующие основные возможности:
- Фильтрация контента. Поддерживается фильтрация на основе «черных» и «белых» списков, а также с использованием классификационных списков ContentKeeper Technologies. Осуществляется блокировка по URL, категории сайта, типам загружаемых файлов. Администратор может настроить различные механизмы действий при обнаружении запрещенного контента.
- Ограничение доступа. Осуществляется ограничение доступа по IP-адресу пользователя, по времени, по количеству трафика.
- Установка ограничений на работу поисковых машин, социальных сетей, программ для мгновенного обмена сообщениями.
- Управление протоколами передачи данных на основе политик.
- Отчетность. В течение всей работы протоколируется активность всех пользователей. Полученные данные представляются в виде графических отчетов по заданным администратором критериям (конкретный пользователь, временной период, группа сайтов и т.д.).
- Антивирус (дополнительный модуль). Антивирусный модуль обеспечивает защиту от вредоносных программ, используя для этого технологии «Лаборатории Касперского». В данном случае используется «потоковый» антивирус, анализирующий проходящий через ContentKeeper Web трафик.
- Кэширование страниц (дополнительный модуль). Использование кэширования позволяет увеличить скорость работы с часто используемыми ресурсами.
- Администрирование. Изначально поставляется система, которая «по умолчанию» настроена для решения наиболее типовых ситуаций фильтрации веб-контента. В процессе работы администратор может гибко настраивать ее работу - задавать категории сайтов для их дальнейшей фильтрации, задавать правила и политики фильтрации, настраивать параметры фильтрации как для всего трафика, так и для групп пользователей, определенных в службах каталогов (например, в Active Directory), вплоть до конкретного пользователя.
Подготовка к работе ContentKeeper Web
Подключение
Существует несколько типовых способов подключения ContentKeeper Web (Appliance или выделенного сервера) в локальную сеть компании (рисунок 3). Bridge 1 и Bridge 2 используются для передачи трафика, Management port используется для администрирования ContentKeeper Web.
Рисунок 3. Способы подключения в локальную сеть
Для тестирования ContentKeeper Web был собран стенд, в котором использовалась более простая схема. Стенд состоял из двух персональных компьютеров и ADSL-маршрутизатора QDSL-1040. На первом компьютере, который использовался как сервер, был развернут ContentKeeper Web. Второй компьютер использовался в качестве компьютера пользователя, работающего в локальной сети и для администрирования. DSL-маршрутизатор был подключен к сети Интернет по технологии ADSL, а также использовался для создания сети, в которую были включены Managment port и порт Bridge 1. Порт Bridge 2 был подключен к компьютеру пользователя. Схема подключения представлена на рисунке 4.
Рисунок 4. Схема подключения тестового стенда
В ADSL-маршрутизаторе был отключен DHCP-сервер, чтобы клиенты могли использовать статические IP-адреса, а в качестве IP-адреса маршрутизатора по умолчанию указан 192.168.1.1. Для Management port и для сетевой карты компьютера пользователя были указаны несовпадающие статические IP-адреса из диапазона 192.168.1.2 – 192.168.1.224.
Установка
Устанавливать ContentKeeper Web нужно только при использовании сервера. Пользователи ContentKeeper Web Appliance получают устройство с уже устанволенным и настроенным программным обеспечением.
Для установки нужно создать загрузочный диск с операционной системой CentOS, в которой предварительно уже установлен ContentKeeper Web. Для создание такого диска нужно выполнить следующую последовательность действий:
1. Скачать архив с образом загрузочного диска по ссылке. Полученный архив содержит образ загрузочного диска CentOS, инструкцию по его созданию и программу WinImage, предназначенную для записи образа на диск.
Рисунок 5. Содержание скачанного архива
2. Вставить в USB-порт флеш-накопитель, который будет выступать в качестве загрузочного диска. Его объем должен быть не менее 1 Гб.
3. Запустить программу WinImage (в архиве имеются две версии – для работы под 32 и 64-разрядные операционные системы) с правами администратора. В главном окне выбираем меню «Disk», а в нем подменю «Restore Virtual Hard Disk image on physical drive…» (рисунок 6). В появившемся окне нужно выбрать наименование флеш-диска и в открывшемся диалоговом окне выбрать файл с образом загрузочного диска.
Рисунок 6. Главное окно программы WinImage
После этого программа выдаст предупреждение о том, что диск будет отформатирован и на него будет записан указанный образ. Следует иметь ввиду, что после этого вне зависимости от объема флеш-накопителя его размер будет определяться в системе как 700 Мб.
Созданный загрузочный диск нужно вставить в USB-порт сервера и в BIOS выбрать приоритет загрузки с флеш-диска. После перезагрузки начнется установка ContentKeeper Web.
Рисунок 7. Меню установочной программы
В меню нужно выбрать пункт «Install ContentKeeper» и нажать на кнопку Enter. В результате появиться предупреждение об удалении всех данных с жесткого диска компьютера, в котором нужно выбрать пункт «Yes».
Рисунок 8. Предупреждающее сообщение перед началом установки
После этого начнется процесс установки операционной системы CentOS. По завершении установки нужно будет извлечь установочный диск и перезагрузить систему. На этом установка завершена.
Настройка
После установки необходимо провести конфигурирование оборудования. При первой загрузке будет запущена работа ContentKeeper Web и на экран монитора будет выведено информационное окно. Пока настройка не проведена, большая часть его полей будет пустой. Для перехода к настройкам нужно нажать сочетание клавиш «Shift+Q» и в появившемся окне выбрать команду «Stop CK & Exit to Login Prompt». После этого запустится консоль (оболочка Bash), в которой и нужно будет проводить процесс настройки ContentKeeper Web.
Перед проведением настроек нужно авторизоваться. По умолчанию в системе установлен логин: root, пароль: ck2001. После успешной авторизации нужно запустить конфигурирование, набрав в командной строке команду «setup».
Рисунок 9. Запуск конфигурирования ContentKeeper Web из консоли
Процесс конфигурации выполнен в виде диалога, в процессе которого администратор должен задать параметры сети и данные о компании. Для остановки конфигурирования и выхода в консоль нужно нажать сочетание клавиш «Shift+C».
Рисунок 10. Начальное окно конфигурации
Вначале выводится общая информация об оперативной памяти и жестких дисках. После этого, если все сетевые карты обнаружены, нужно указать назначение каждой платы: первый Bridge-порт, Management-порт и второй Bridge-порт.
На следующем этапе предлагается перечислить номера портов, которые будут фильтроваться. «По умолчанию» порты 80 и 8080 назначены для фильтрации http, а порт 3128 для прокси. После этого нужно указать, запускать ли ContentKeeper Web в «тихом» режиме (Silent Mode), его мы рассмотрим далее. В начале работы с программой рекомендуется включить этот режим.
Рисунок 11. Задание соответствия портов
Далее нужно задать параметры сети и сервера – IP-адреса для порта управления, прокси-сервера, DNS-сервера, доменное имя и имя хоста управления и т.д. Также указываются данные организации – название, адрес, телефон и т.д.
Рисунок 12. Настройка портов фильтрации и включение «тихого» режима
В заключении предлагается выбрать способ запуска ContentKeeper Web:
- При помощи консоли. Администратору будет предоставлен синий экран с информацией о текущем состоянии программы.
- Программа будет запущена как фоновый процесс, администратор сможет работать с командной строкой.
- Запуск вручную
Рисунок 13. Указание параметров сети и сервера
Выбираем вариант «а» и на предложение перезагрузить компьютер отвечаем согласием. На этом процесс конфигурации закончен и можно приступать к работе с ContentKeeper Web.
Работа с продуктом
Работа с ContentKeeper Web производится через административную панель, доступ к которой осуществляется через веб-интерфейс. Для доступа к панели нужно в адресной строке браузера ввести IP-адрес порта управления (Management port), в нашем случае это 192.168.1.10. Затем пройти процедуру авторизации, «по умолчанию» используется логин «admin» и пароль «ck2001». После авторизации открывается главная страница программы, которая представляет собой навигационную панель. Большую часть панели занимают команды для управления различными функциями программы, в правой части панели представлена информация о программе.
Рисунок 14. Главное окно ContentKeeper Web
Так как большую часть времени администратор работает с этим окном, рассмотрим его подробно. Все команды распределены на 8 групп по 6 команд в каждой:
- Current Status (текущий статус) – команды для получения информации о работе различных модулей ContentKeeper Web.
- Restart (перезапуск) – команды для перезагрузки или выключения ContentKeeper Web Appliance, для перезапуска программы ContentKeeper Web, а также для просмотра телеметрии работы сервера (количество пользователей, использование ОЗУ и т.д.). Если установлены программные модули для антивирусной защиты и кэширования, то из данной группы можно управлять их работой.
- Administration (администрирование) – команды для администрирования.
- Miscellaneous (разнообразные опции) – различные команды, не попавшие не под одну из категорий.
- Blocking/Reporting (блокирование/отчетность) – группа команд для управления основной функцией ContentKeeper Web – фильтрованием.
- General Settings (общие настройки) – команды для настройки параметров работы ContentKeeper Web и работы с сертификатами.
- Operational Settings (эксплуатационные настройки) – команды для настройки параметров работы оборудования и управления категориями фильтрации.
- Authentication (аутентификация) – набор команд для управления настройками авторизации пользователей, групп пользователей, служб каталогов и т.д.
Пользовательский интерфейс главного окна сделан достаточно просто, в нем нет отвлекающих эффектов и анимации, что удобно в работе администратора. К минусам можно отнести следующее: одновременное предъявление всех доступных команд, что мешает поиску нужной команды; отсутствие иерархии команд – главные/второстепенные; отсутствие русификации; отсутствие пиктограмм для быстрого поиска нужных команд; отсутствие всплывающих подсказок (хинтов). Все это несколько затрудняет постоянную работу с главным окном и при исправлении является ресурсом для улучшения эргономичности программы.
Следует заметить, что в поставляемом в Россию продукте представлено всего два языка пользовательского интерфейса – английский и китайский.
Silent Mode («тихий» режим)
ContentKeeper Web может работать в трех режимах:
- Обычном. В этом режиме происходит блокирование ресурсов в соответствии с правилами выбранной политики;
- Coach Mode. В этом режиме выдается только предупреждение о нарушении политик, но реального блокирования не происходит. Это режим позволяет избежать отрицательного влияния блокировок на работу пользователей и может применяться на начальных этапах внедрения системы фильтрации в работу предприятия;
- Silent Mode («тихий» режим). Данный режим предназначен для сбора информации о трафике без блокирования страниц. В этом режиме ведется учет посещаемых страниц, страниц попадающих под категории блокировки, время работы в Интернете и т.д. «Тихий» режим полезен на этапе оценки эффективности ContentKeeper Web для принятия решения о его дальнейшей покупке. Его также можно использовать при внедрении ContentKeeper Web в работу компании для анализа активности пользователей с целью формулирования оптимальных настроек программы.
Для включения «тихого» режима нужно в главном окне из группы «General Settings» выбрать команду «General Parameters». В открывшейся странице установить параметр «ContentKeeper Blocking» в значение «Off». После этого нажать кнопку «Save and Restart» и дождаться перезагрузки системы.
Рисунок 15. Страница для настройки общих параметров работы
После включения «тихого» режима в левом углу главной страницы отобразиться предупреждающая надпись «Warning! Silent Mode is Enabled», указывающая, что фильтрация отключена. Для сбора статистики ContentKeeper Web должен поработать в таком режиме определенное время (от одного дня до месяца). После этого можно формировать отчет.
Для формирования отчета нужно в главном окне из группы «Blocking/Reporting» выбрать команду «Silent Mode Savings Report». В открывшейся странице нужно задать интервал времени для формирования отчета.
Рисунок 16. Страница для сохранения отчета работы ContentKeeper Web в «тихом» режиме
После этого нужно нажать на кнопку «Cost Parameters» и в открывшейся странице ввести цену трафика за мегабайт, цену использования Интернета за 1 час и используемую национальную валюту (можно выбрать как российский рубль, так и у.е.). По завершению заполнения формы нужно нажать кнопку «Save and Redisplay».
Рисунок 17. Настройка стоимости трафика
Теперь осталось только нажать кнопку «Generate Report» и изучить результаты работы «тихого» режима. Из него мы можем узнать количество посещенных страниц, количество условно заблокированных страниц, объем разрешенного и заблокированного трафика, и самое главное – сколько денег могла сэкономить компания при использовании ContentKeeper Web. Также можно просмотреть подробный отчет по условно заблокированным категориям.
Рисунок 18. Результаты работы «тихого» режима
Полученная информация нужна не только для демонстрации возможностей ContentKeeper Web, но и для настройки администратором параметров фильтрации.
Управление правилами фильтрации
Настройка параметров фильтрации является основной деятельностью администратора при работе с ContentKeeper Web. Большинство настроек выполняется на странице «Create and Edit Policies» (создание и изменение политик), к которой можно перейти, нажав одноименную команду в группе «Blocking/Reporting».
Рисунок 19. Страница для создания и изменения правил фильтрации
Данная страница содержит два раздела: «Create and Edit Policies» (создание и управление политиками) и «View or Edit Policy Blocking Rules» (просмотр и редактирование правил). Политики включают в себя правила работы различных модулей - фильтрации контента, ограничения по времени работы в Интернете и с различными категориями ресурсов, квот на использования Интернета, прохождения аутентификации пользователем, типов разрешенных для закачки файлов контента и т.д.
В поле «Select Policy» находится название текущей политики, а в строке «Policy Description» находится ее описание «По умолчанию» используется политика «default». Мы можем просматривать и настраивать правила ее работы или создать новую политику. Для создания новой политики нужно на кнопку «Clone», в результате чего будет создана копия текущей политики. После этого в открывшемся окне ввести имя и описание новой политики, а затем настроить правила ее работы. Количество используемых политик ограниченно цифрой 200.
Рисунок 20. Страница для создания новой политики
Рассмотрим правила, которые мы можем задавать для политик.
На странице «Categories» (категории) можно выбрать категории сайтов, которые нужно блокировать, а также указать действия для сайтов, не попавших в данные категории. Всего доступно 32 категории, позволяющие ограничить доступ к сайтам, которые могут отвлечь сотрудников от работы или привести к угрозам безопасности компьютеру. Также администратор может настроить до 94 дополнительных категорий. Категории выбраны достаточно логично, однако работе мешает отсутствие их сортировки по какому-либо критерию, например по алфавиту или уровню угрозы.
Рисунок 21. Настройки категорий для фильтрации
В процессе настройки администратор должен выбрать тип действия, которое нужно использовать при обнаружении веб-страницы из соответствующей категории. Типы действий представлены на рисунке 22.
Рисунок 22. Способы блокирования веб-страниц
Также можно указать время, на которое распространяется выбранное действие и страницу, которая используется для сообщения пользователям о произведенной блокировке. Настройка страницы позволяет добавить в процесс блокирования элемент педагогики – сотруднику можно объяснить, почему произошла блокировка и что его отвлечения от работы протоколируются и могут привести к неприятным последствиям, например, к уменьшению премии.
Рисунок 23. Пример страницы при блокировке
На странице «Custom File Types» можно разрешить или заблокировать загрузку определенных типов файлов. Это могут быть различные типы аудио- и видео-файлов, исполняемых файлов, скриптов, инсталляторов, архивов и т.д. Для каждого из типов файлов можно выбрать конкретные расширения файлов, которые будут блокироваться и временные интервалы блокирования.
Рисунок 24. Страница для настройки блокировки различных типов файлов
На странице «Custom URLs» можно задать набор конкретных URL, которые нужно блокировать или разрешать. Это позволяет вручную организовать «белый» и «черный» списки веб-сайтов, которые по каким-то причинам наиболее актуальны для конкретной компании. Для каждой политики можно вносить до 1000 таких URL или объединять их в пользовательские категории, в которых количество URL не ограничено.
Рисунок 25. Формирование «белых» и «черных» адресов веб-сайтов
На странице «Protocols for Policy» можно настроить блокировку работы различных протоколов передачи данных. Можно контролировать работу следующих протоколов:
- Instant Messaging (протоколы для мгновенного обмена сообщениями);
- Network OS (протоколы для удаленного управления операционными системами сетевых операционных систем);
- Peer to Peer / File Sharing (пиринговые сети);
- Proxy (блокирование работы в Интернете через прокси-сервер);
- Web (просмотр веб-старниц при помощи защищенных протоколов);
- Mail and Cooperation (почтовые протоколы)
- Audio and Video Streams (потоковое аудио и видео данные);
- User Defined Protocols (пользовательские протоколы). Возможность блокировать указанные пользователем TCP и UDP порты.
Рисунок 26. Пример протоколов для блокирования
Можно выбрать конкретные протоколы для блокировки и задать время их блокирования с дискретом в 1 час. При настройке имеет смысл заблокировать возможность работы через прокси-сервер, так как это дает возможность обходить блокировки ContentKeeper Web.
Рисунок 27. Задание временных интервалов для блокирования протоколов
На странице «PSU» (Personal Surfing Units) можно настроить квоты на доступ к определенным категориям сайтов. Квоты можно вводить по времени (сколько минут и часов в день можно просматривать сайты) и/или по количеству трафика. После превышения квот будет применено выбранное администратором действие (блокирование, аутентификация и т.д.).
Рисунок 28. Настройка квот доступа
На странице «Other Rules» настраиваются различные дополнительные правила, не попавшие в остальные категории настройки. Мы можем включить регистрацию всех события для создания отчета, показ информационных страниц при блокировке, возможность анонимного анализа трафика. Также можно задать методы управления запросами GET и POST для HTTP на нестандартных портах.
Рисунок 29. Дополнительные правила
На странице «SSL Filtering» можно включить контроль и блокировку данных, передаваемых по протоколу SSL (Secure Sockets Layer, уровень защищённых сокетов) и действия при обнаружении различных сертификатов SSL.
Рисунок 30. Включение контроля протокола SSL
На странице «Social Networks» можно задавать блокирование работы различных модулей социальной сети Facebook. Работа с остальными социальными сетями отсутствует.
Рисунок 31. Блокирование модулей Facebook
На этом описание правил для фильтрации заканчивается. В зависимости от имеющихся задач можно создавать различные политики для разных групп пользователей и применять их как для всего трафика, так и для определенных администратором ситуаций.
По каждой из политик можно сгенерировать отчет, в котором будут указаны настройки правил для конкретной политики. Для этого нужно нажать на команду «Display Policies» в группе «Blocking/Reporting».
Рисунок 32. Пример отчета с настройками политики
Настройка учетных записей администраторов
По умолчанию задана одна учетная запись – «admin», которую нельзя удалять или изменять. Для нее доступно только изменение пароля, который после начала работы рекомендуется изменить на более сложный. Для добавления новых администраторов нужно нажать на команду «Administration Accounts» в группе «Administration». После этого ввести имя и пароль для нового администратора и нажать кнопку «SaveandRedisplay».
Рисунок 33. Создание учетной записи для нового администратора
Для каждого созданного администратора можно установить функции, доступ к которым он может получить.
Рисунок 34. Настройка прав доступа администраторов к функциям ContentKeeper Web
Динамическая статистика
Для контроля данных о работе за какой-то период времени используются различные рапорты и отчеты. А для получения динамической информации используется специальная информационная панель, доступ к которой можно получить, нажав команду «Go to Dashboard» в главном окне программы.
Рисунок 35. Информационная панель с информацией о работе ContentKeeper Web
На информационной панели представлен ряд графиков, который позволяет увидеть изменение различных параметров – результаты работы антивируса, количество заблокированных страниц, загрузку процессора, временные характеристики работы портов и т.д. Выводимые на графики параметры можно менять (всего доступно 28 параметров), а их представление настраивать (изменять масштаб, время обновления и т.д.).
Данная информация может быть полезна для фиксации временных интервалов максимальной загрузки сети или отслеживания наиболее активных пользователей. При необходимости текущее состояние графиков можно сохранять в pdf-файл нажатием кнопки «GeneratePDF».
В первой части обзора были рассмотрены принципы работы ContentKeeper Web, его подключение в локальную сеть предприятия, установка и конфигурирование, а также основные функции по настройке фильтрации. Во второй части обзора будут рассмотрены дополнительные настройки программы, настройка оборудования, работа с дополнительными модулями для кеширования информации, проверки на наличие вредоносных программ, составления отчетов и т.д. Однако даже сейчас мы можем сформулировать предварительные выводы о плюсах и минусах работы с ContentKeeper Web.
Выводы
Работа с программой показала, что у нее есть как заметные достоинства, так и заметные недостатки. К положительным сторонам можно отнести большой набор инструментов для фильтрации контента, позволяющий гибко настраивать работу ContentKeeper Web под конкретные задачи предприятия. К отрицательным сторонам стоит отнести отсутствие русификации и локализации, а также недостатки реализации пользовательского интерфейса. Хотя стоит сказать, что для программ, работа с которыми производится только администратором в основном в режиме настройки, эргономичность пользовательского интерфейса не играет такой роли, как в персональных продуктах.
Плюсы:
- Функциональность. ContentKeeper Web предоставляет большой набор инструментов для организации фильтрации контента – блокировка по времени, по трафику, по категориям сайтов, видам файлов, типам протоколов и т.д. Предоставляется большой набор действий для реагирования на обнаруженный запрещенный контент. Также программа имеет возможность защититься от «обхода» систем фильтрации, например путем блокирования доступа к прокси-серверам.
- Наличие дополнительных модулей. При необходимости ContentKeeper Web может не только фильтровать контент, но и обеспечивать кеширование веб-страниц и поиск вредоносных программ.
- Наличие аппаратных устройств для обеспечения фильтрации. Аппаратные устройства позволяют снизить нагрузку на сервера компании и уменьшить время ввода системы в эксплуатацию, за счет использования уже предустановленного программного обеспечения.
- Администрирование. Администратору предоставляется большой набор инструментов для настройки как аппаратуры, так и параметров фильтрации. При этом администратор может не только использовать готовые правила фильтрации, но и создавать свои.
- Рапорты и отчеты. ContentKeeper Web предоставляет подробные отчеты о работе всех модулей фильтрации и настройках программы. При использовании дополнительных модулей возможно формирование красочных отчетов в виде графиков и диаграмм.
Минусы:
- Проблемы с локализацией. В ContentKeeper Web не учтены особенности русскоязычных пользователей – нет контроля популярных в РФ программ мгновенного обмена сообщениями (ICQ, Miranda, QIP), временные метки при блокировании доступа по расписанию сделаны на основе 12-ти часового формата времени (не учтён 24-часовой рабочий формат). Также из социальных сетей, на которые накладываются ограничения, присутствует только Facebook. Тут следует указать, что речь идет именно о неудобстве использования, а не о принципиальной невозможности контроля IM-программ или социальных сетей. Так работу IM-программ можно блокировать путям закрытия соответствующих портов, а работу в социальных сетях ограничивать при помощи блокирования конкретных URL.
- Отсутствие русификации. Пользовательский интерфейс программы и документация не русифицированы, что затрудняет работу. Отсутствие работы с кириллицей также не позволяет вводить названия для категорий, а также настроить блокировку URL в зоне кириллицы (домен .рф).
- Пользовательский интерфейс. Главное окно программы перегружено большим набором команд, отсутствует иерархия команд, а часть команд для работы с одной функциональностью разбросана по разным категориям, на многих страницах отсутствует контекстная справка. Также в программе используются устаревшие программные компоненты (выпадающие списки, поля ввода и т.д.), которые резко контрастируют с оформлением современных операционных систем. Использование стандартных компонент влияет не только на эстетические параметры программы, но снижает удобство ее использования. Например, для выбора временных интервалов используется 672 флажка, которые нужно установить независимо. Намного удобнее было бы использовать поле индикаторов, которое бы подсвечивало нужные временные интервалы и реагировало на движение мыши с зажатой на ней клавишей.
Авторы: Михаил Картавенко, Фридон Данелян