Учет IP-потоков в корпоративных сетях, подключенных к Интернету

Новикова Н.Ю., Новиков Д.Ю.

Эффективность работы современного предприятия, фирмы повышается при организации качественного доступа к разным службам Интернета (Web, FTP, E-mail, News, ICQ и другим) с каждого рабочего места локальной сети. Однако необходимо не только предоставить пользователям качественный сервис, но и оградить внутреннюю локальную сеть от возможных атак из Интернета, от несанкционированного доступа к корпоративным данным.

Поскольку выход в Интернет приходится оплачивать, нужно учитывать потоки, проходящие через маршрутизатор. Детальный учет потоков позволяет распределять платежи по отделам организации или по сотрудникам, своевременно исключать "лишние" и паразитные потоки.

Таким образом, актуальной является задача построения защищенной системы, позволяющей вести учет IP-потоков в корпоративных сетях, подключенных к Интернету.

Решать данную задачу можно по-разному: на основе аппаратных маршрутизаторов фирм CISCO, Bay, 3COM; на основе серверов под управлением коммерческих версий UNIX фирм Sun, SCO; на основе серверов под управлением некоммерческих версий UNIX (FreeBSD, Linux).

Зачастую наиболее эффективным и гибким решением по критерию "цена/производительность" является решение на основе некоммерческих UNIX-систем. В данных системах есть все необходимое для решения поставленной задачи: управление потоками строится на основе межсетевого экрана, имеется полный набор Интернет-сервисов, можно для разных протоколов подсчитывать количество принятых и посланных байт.

В докладе представлены результаты построения системы управления и учета IP-потоков на основе FreeBSD. Корпоративная сеть была смоделирована на базе учебной сети EECNet (кафедра радиофизики СПбГТУ). В локальной сети был установлен сервер под управлением ОС FreeBSD, был детально изучен и установлен межсетевой экран (брандмауэр ipfw), встроенный в FreeBSD.

Разработана система доступа к службам Интернета и учета IP-потоков, а именно:

· Составлены правила прохождения потоков через экран для сети EECNet - правила для доступа пользователей сети к Интернет, правила для работы распространенных служб (E-mail, ICQ, Web, FTP и других).

· Разработана система учета потоков, проходящих в соответствии с правилами, контролируемыми межсетевым экраном.

Система учета потоков написана на языке Perl и состоит из двух частей: серверной и клиентской. Серверная часть периодически снимает информацию с внутренних счетчиков правил, а затем записывает данные по дням и месяцам в специальные файлы.

Клиентская часть реализована в виде CGI-приложения. Она предоставляет в Интернет-браузере интерфейс для выбора и просмотра различных данных в виде графиков и таблиц. Интерфейс позволяет просматривать данные за день (неделю, месяц) либо по определенному правилу экрана в течение заданного времени. При добавлении нового правила в межсетевой экран система автоматически подсчитывает потоки, отвечающие данному правилу.

Построенная система позволила с одной стороны обеспечить удобный и надежный выход в Интернет пользователям локальной сети, а с другой защитить сеть от атак из Интернет межсетевым экраном. У администратора сети появился удобный инструмент, автоматически осуществляющий учет потоков.

Результаты, представленные в докладе, запланировано внедрить для большой корпоративной сети ЗАО "Ниеншанц" (около 200 компьютеров).