Правила игры изменились. Еще вчера мы специализировались на решениях для малого и среднего бизнеса, и не из-за того, что обладали какими-либо техническими ограничениями, а лишь потому, что на рынке было засилие тяжеловесов в IT отрасли. Наше ПО попросту не рассматривали корпорации, как комплексное решение в области безопасности, хотя и устанавливали Traffic Inspector для защиты отдельных офисов и небольших подразделений.

Но с середины 2014 года, в связи с изменением рыночной конъюнктуры и санкционной политики западных компаний, в наш офис стали все чаще поступать запросы о возможности объединения наших программно-аппаратных устройств в единое решение для корпораций. В результате чего, нами был разработан новый продукт Traffic Inspector Enterprise – комплексная система защиты разветвленной сети под управлением единой консоли.



Итак, как мы к этому пришли?

Обязательно к прочтению всем, кто предоставляет бесплатный доступ к Интернету своим клиентам.

С января 2016 года владельцев открытых сетей Wi-Fi будут штрафовать за отсутствие обязательной идентификации пользователей. Запрет на анонимный Wi-Fi изложен в Постановлении Правительства РФ № 758 о доступе к публичному Интернету. Документ вступил в силу еще в августе прошлого года, но владельцы сетей не торопятся следовать его требованиям. Штрафы призваны исправить положение.

Совсем скоро проблемы с правоохранительными и контролирующими органами могут возникнуть у тех, кто предоставляет своим клиентам бесплатный доступ к сети. Это коснется кафе, баров, ресторанов, гостиниц, кинотеатров, спортивных клубов, авто- и железнодорожных вокзалов, аэропортов, торговых центров и других публичных заведений, которые не выполнят требование по обязательной авторизации пользователей.

“Что для вас современное программное обеспечение для офиса? Какие IT-задачи поставлены перед вами?” — именно с такими вопросами мы обратились к представителям малого и среднего бизнеса (SMB) с целью понять их осведомленность, степень готовности и способы решения IT-проблем. В результате опроса обнаружилась довольно низкая информированность о возможных предложениях на рынке софта.

Почему так происходит? — Догадаться не сложно. Во-первых, в условиях высокой конкуренции в приоритете производственная деятельность и продажи, на продумывание поиска и выбора ПО для офиса элементарно не остается времени. Во-вторых, цена популярных продуктов для сегмента SMB кусается.

Именно для таких компаний мы подготовили выборку из 11 надёжных, недорогих и простых, но в то же время нужных решений для организации эффективной работы офиса, а также провели тестирование совместимости некоторых из них между собой, а также с корпоративным решением IT-безопасности — Traffic Inspector.

В последний год одним из самых обсуждаемых вопросов на многих IT-мероприятиях, включая InfoSecurity Russia 2014, РИФ+КИБ 2015 и Связь-Экспокомм-2015, стал закон об импортозамещении ПО, призванный ограничить долю импортного программного обеспечения к 2025 году размером не более 50%. Законом живо интересуются не только сами производители отечественного софта, но и другие участники рынка: потребители, эксперты отрасли и государство.

Корпоративный интернет-шлюз — голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?

Привет всем! Сегодня я хочу рассказать о моем опыте организации Интернет-доступа в школе и обеспечении информзащиты.
 

 
Не так давно был Cyber Security Forum 2015, где на секции «Информационная безопасность в образовании» меня увлек доклад Юрия Кантемирова из Роскомнадзора. Он говорил о строгости проверок, осуществляемых под его управлением и посетовал на нерадивость некоторых школ, которых не особо парит защита от сетевых и информационных угроз. После доклада от участника форума прилетел интересный и довольно простой вопрос: «А где же собственно те стандарты, соблюдать которые нас призывают?» После короткой дискуссии выяснилось: «Проверки есть, а вот стандартов… нет».

Привет, Хабр! Откладываем ноуты в сторону – код никуда не убежит. Сегодня мы поговорим о самой страшной перспективе карьеры программиста, которая может заставить вздрогнуть даже бывалых прогульщиков IT-вузов и поспешно начать допиливать несданный код. Нет, вы не угадали, это не касса МакДоналдса, это техподдержка. О ней, любимой, и пойдёт сегодня речь.

Итак, это обзор. Точнее – обзор показателей доступности техподдержки, ещё точнее – техподдержки ключевых игроков рынка IT-продуктов в сфере сетевой безопасности и контроля нежелательного доступа.

Привет, Хабр! Почти 12 лет назад мы, компания Смарт-Софт, выпустили первую версию своего флагманского продукта Traffic Inspector. За это время он превратился из обычного прокси-сервера в универсальный шлюз безопасности, сочетающий в себе функционал прокси, почтового, антиспам, веб серверов со служебными модулями Phishing Blocker, RBL, RAS Dialer, плагином фильтрации контента NetPolice, продвинутой системой биллинга, прошедшей сертификацию ССС и ФСТЭК, и возможностью учёта разных типов трафика (IMAP, SMTP, POP, NAT и прокси).

Как и в любом серьезном продукте, в Traffic Inspector с течением эволюции наблюдались недостатки. Сегодня мы резюмируем работу над ошибками, которая была проведена специалистами нашей компании за последние пару лет.

В предыдущих материалах мы рассмотрели размещение программы в памяти – одну из центральных концепций, касающихся выполнения программ на компьютерах. Теперь обратимся к стеку вызовов – рабочей лошадке большинства языков программирования и виртуальных машин. Нас ожидает знакомство с удивительными вещами вроде функций-замыканий, переполнений буфера и рекурсии. Однако всему свое время – в начале нужно составить базовое представление о том, как работает стек.

Каким образом ты защищаешь сервер своей организации от входящего трафика, способного принести вред психическому и физическому здоровью ребенка? Если этот вопрос не удивил, значит ты работаешь в системе образования и начиная с 1 сентября 2012 года в твоем образовательном учреждении существует система администрирования входящего трафика.



Согласно законам 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» и 114-ФЗ «О противодействии экстремистской деятельности» для просмотра детьми запрещена любая информация, пропагандирующая так называемые «антигуманистические» ценности – все виды зависимостей, насилие, жестокость, любые формы дискриминации, экстремизм, порнографию.
Обеспечивать в процессе обучения недопущение неокрепших умов к социально-негативным материалам в Сети должно, собственно, учебное заведение в соответствии с законом «Об образовании». В связи с чем на плечи администраторов возложена обязанность по созданию четко выстроенной системы администрирования, включающей контроль и учет запрашиваемых и поступающих на сервер школы данных из Интернета.

Действуя в интересах детей мы защищаем их от разного рода негативной информации – учебные учреждения обязаны снабжать доступ в Интернет специальным программным обеспечением, фильтрующим контент. Ответственность за формирование у детей культуры медиапотребления лежит и на родителях, и на образовательных учреждениях, предоставляющих доступ к информации.



Всё же в интересах детей или в интересах проверяющих из прокуратуры мы организуем системы защиты школьных серверов от входящего и исходящего трафика?

Человечество в своем развитии идет все дальше — многое из того, что казалось фантастикой ещё 100 лет назад, уже стало реальностью. Если при Иване Грозном достаточно было спросить: «Кто вы родом, сколь вам лет, вы женаты али нет?» — то современные бояре на подобные вопросы уже не отвечают каждому встречному, подобные сведения о себе назвали «персональными данными», а за разглашение если на кол и не посадят, то в острог упечь могут.

Пожалуй, всем опытным сисадминам хорошо известно, что многие интернет-провайдеры любят учитывать трафик в стиле «плюс-минус трамвайная остановка» (а любые расхождения, как правило, трактуют в свою пользу), поэтому возможность вести собственный учет сетевой активности не только облегчит регулярную сверку данных с провайдером, но и позволит компаниям избежать неоправданных расходов.

Из-за специфики стека TCP/IP практически невозможно вручную отделить именно тот трафик, за который начисляет плату провайдер, от остальных типов трафика – ведь для этого нужно анализировать заголовки пакетов, а также фиксировать объем потерянных и тестовых пакетов и другой служебной информации. Именно поэтому большинство программных решений по учету сетевой активности включают в себя различные варианты реализации такой возможности.

В Traffic Inspector такая функциональность тоже есть, и представлена она в виде счетчиков двух типов – информационных и контролируемых. Информационные счетчики служат для детального учета различных типов трафика и сбора статистики для последующего анализа. При их конфигурировании, кроме внешних сетей и интерфейсов, можно задать тип IP-протокола, а также порты TCP и UDP. Контролируемые счетчики предназначены, главным образом, для управления потреблением трафика от вышестоящего провайдера как платного ресурса, причем для разных подсетей и типов трафика можно задать индивидуальные правила тарификации и блокировки. О контролируемых счетчиках далее и пойдет речь.

Информатизация образования, школа будущего, федеральная целевая программа развития образования… Эти и подобные заголовки, использующиеся как лозунги, встречаются все чаще и чаще. И вроде бы, что-то даже делается. Школам поставляют оборудование (пусть и немного), программное обеспечение, их подключили к Интернету. Однако все эти благие начинания сталкиваются с катастрофической нехваткой нормальных специалистов, которые могли бы решить все возникающие в ходе информатизации школ проблемы. Может быть, для Москвы и Питера это и не столь критично. Но в регионах до сих пор во многих школах обязанности сисадмина выполняет учитель информатики (если он вообще есть в школе). А если и есть отдельный специалист, то это либо приходящий пару раз в неделю человек, либо студент, просто подрабатывающий параллельно учебе.

К чему весь этот разговор? А к тому, что если школы своими силами могут справиться с некими обычными ИТ-проблемами, то решение других задач может оказаться им не по зубам. Взять хотя бы требования к защите обучающихся от доступа к нежелательной информации. О том, что это нужно сделать, всем школам объявили (да и в законах это прописано). И о том, что за этим пристально следит прокуратура и наказывает «нарушителей» тоже (а многие школы это уже испытали «на своей шкуре»). Но вот о том, КАК это сделать, никто не говорит. По сути, школы предоставлены сами себе. И решают проблему контроля доступа детей к нежелательным сайтам как могут. А поскольку «можется» далеко не всегда хорошо (см. написанное выше), то у прокуратуры постоянно находится, кого «публично выпороть» и оштрафовать.

Предлагаем решение – серию видеоуроков, в которых максимально подробно расписан процесс настройки прокси-сервера Traffic Inspector для защиты школьников от нежелательной информации. Просмотрев их, можно самостоятельно выполнить все необходимые действия и создать надежную систему защиты, которая будем удовлетворять всем действующим нормативным актам.

В первом рассматривается процесс создания «черного» и «белого» списков. В нем подробно показано, как можно запретить доступ к определенным веб-проектам или, наоборот, запретить загрузку вообще всех сайтов, кроме явно указанных.

Ранее мы познакомились с тем, как ядро управляет виртуальной памятью процесса, однако работу с файлами и ввод/вывод мы опустили. В этой статье рассмотрим важный и часто вызывающий заблуждения вопрос о том, какая существует связь между оперативной памятью и файловыми операциями, и как она влияет на производительность системы.

В предыдущей нашей статье были рассмотрены основные возможности системы Traffic Inspector, включая прокси-сервер, SMTP-шлюз, правила тарификации, сетевую защиту, балансировку нагрузки, а также учет и фильтрацию трафика. Теперь мы бы хотели сравнить функциональность Traffic Inspector с возможностями аналогичных комплексных решений для управления ИТ-инфраструктурой.

Несмотря на большое количество весьма качественных прокси-серверов (например, Handycache) и систем учета трафика (таких как BWMeter и Internet Access Monitor), большинство из них являются, по сути, узкоспециализированными продуктами и решают, как правило, одну-две задачи. Между тем действительно комплексных решений, которым можно полностью доверить управление сетевой активностью, не так уж и много. Наиболее известные из них (помимо Traffic Inspector) – это Kerio Control, Lan2net, UserGate и Microsoft ForeFront TMG, разработка и продажа которого, к сожалению, прекращена в 2012 году. О них мы и поговорим.

Введение

Как известно, технология VPN служит для организации прямого безопасного соединения между клиентами (конечным пользователем и корпоративным офисом) или двумя локальными сетями через общедоступный интернет-канал. С помощью VPN удаленные пользователи могут обращаться к серверам предприятия и связываться с различными офисами своей компании.

Для VPN не нужны выделенные линии, поэтому пользоваться ею может каждый, кто располагает доступом к Интернету. Как только соединение установлено, сотрудник может работать со всеми сетевыми ресурсами, как если бы он находился в офисе. Но, пожалуй, важнейшее преимущество этой технологии заключается в том, что, несмотря на общедоступную инфраструктуру, прямое соединение VPN (так называемый VPN-туннель) защищено столь надежно, что украсть данные или получить несанкционированный доступ к географически распределенной сети практически невозможно.

В этой статье мы рассмотрим, как с помощью Traffic Inspector контролировать совместную работу по VPN в корпоративной сети и отслеживать сетевую активность.

Конфигурация

Пусть в нашей компании есть головной офис в Москве и филиал в Санкт-Петербурге. Допустим, нам нужно объединить питерский офис с московским в единую корпоративную сеть посредством VPN, а также организовать доступ в Интернет через московский офис и контролировать сетевую активность в обоих офисах. Предположим также, что VPN создается программно и что каждая клиентская машина подключается по отдельности.

Общий принцип

В самом общем виде алгоритм настройки будет следующим:

• Создать и настроить VPN-сервер в головном офисе.
• Создать и настроить VPN-подключения к головному офису со стороны филиала.
• Проверить работу по VPN.
• Установить и активировать Traffic Inspector на шлюзе в головном офисе.
• Создать в Traffic Inspector разрешения во внешнем сетевом экране для VPN.
• Добавить в Traffic Inspector пользователей из филиала.
• Назначить правила отдельным пользователям и их группам (например, запретить доступ на определенные ресурсы, настроить учет и тарификацию дневного трафика и т. д.).
• Проверить работу правил и корректность настроек.

Настройка VPN-сервера

Итак, теперь мы знаем общий порядок настройки и можем переходить к описанию конкретных действий. Для примера мы взяли систему Windows Server 2012, но все то же самое применимо и для более ранних версий (Windows 2003 и 2008).

В службе Маршрутизация и удаленный доступ щелкните правой кнопкой мыши свой сервер и выберите пункт Настроить и включить маршрутизацию и удаленный доступ.

Ранее мы увидели как организована виртуальная память процесса. Теперь рассмотрим механизмы, благодаря которым ядро управляет памятью. Обратимся к нашей программе:

Система Traffic Inspector уже давно завоевала популярность среди системных администраторов благодаря своей гибкости, модульной архитектуре, простоте администрирования и мощным функциям для контроля сетевой активности. Такие возможности Traffic Inspector, как защита сети, контроль интернет-трафика, статистика доступа, работа с VPN, NAT, прокси-сервером и Active Directory, блокировка сайтов и фильтрация контента, интеллектуальная маршрутизация и динамическая балансировка нагрузки, сделали это решение ключевым элементом сетевой безопасности во многих организациях малого, среднего и крупного бизнеса.
Однако, как показывает практика, даже профессиональные сисадмины, которые не первый год работают в Traffic Inspector, знают далеко не обо всех возможностях нашего продукта. Поэтому в этой статье мы хотели бы привести полный перечень возможностей системы и кратко прокомментировать наиболее интересные из них. Надеемся, что здесь найдут для себя что-то новое все читатели — и новички, которые еще только присматриваются к Traffic Inspector’у, и опытные сетевые инженеры, которые активно используют Traffic Inspector для управления ИТ-инфраструктурой компании.

Управление памятью – центральный аспект в работе операционных систем. Он оказывает основополагающее влияние на сферу программирования и системного администрирования. В нескольких последующих постах я коснусь вопросов, связанных с работой памяти. Упор будет сделан на практические аспекты, однако и детали внутреннего устройства игнорировать не будем. Рассматриваемые концепции являются достаточно общими, но проиллюстрированы в основном на примере Linux и Windows, выполняющихся на x86-32 компьютере. Первый пост описывает организацию памяти пользовательских процессов.