| +38 (048) 731–7335

Як це працює?

Всі підходи до обмеження доступу можна умовно поділити на два класи:

  • "усе, що прямо не дозволено те заборонено". Такий підхід більш притаманний організаціям , які мають чітко визначене коло інтересів та мають перелік цільових ресурсів;
  • "усе що прямо не заборонено те дозволено". Більш характерний для організацій та закладів, які займаються науковою діяльністю та освітою.

На сьогоднішній день існує декілька найбільш розповсюджених механізмів обмеження доступу до нецільових ресурсів мережі Інтернет із комп’ютерних мереж окремих організацій. Серед таких механізмів слід зазначити:

  1. блокування доступу до нецільових ресурсів за IP-адресою (окремого вузла або підмережі в цілому) із використанням міжмережних екранів на маршрутизаторах доступу або робочих станціях;
  2. використання функцій обмеження доступу вбудованих до веб-браузерів;
  3. застосування механізмів фільтрації нецільових ресурсів на proxy-серверах, що розташовуються в межах мережі організації;
  4. фільтрація нецільових ресурсів на DNS серверах які належать провайдеру, організації, або безпосередньо на робочих станціях.

Порівняльний аналіз (із зазначенням основних переваг та недоліків) наведених вище методів наведено в табл. 1.

Таблиця 1 – Порівняння методів обмеження доступу до нецільових ресурсів
Назва методу Переваги Недоліки
Фільтрація на DNS
  • немає необхідності встановлення додаткового програмного забезпечення на кінцеві комп’ютери, у разі використання централізованого серверу DNS;
  • централізоване керування загальними списками обмеження, що полегшує адміністрування системи в цілому;
  • легкість масштабування.
  • необхідно конфігурувати кожну робочу станію окремо;
  • вноситься додаткова затримка при обробці запиту;
  • можливість обходу системи обмеження на клієнтських комп’ютерах, конфігуруванням іншого DNS-серверу або внесенням запису до hosts-файлу.
Блокування за IP-адресою
  • надійний спосіб, котрий повністю обмежує доступ до вузлів, котрі підходять під критерії фільтрації;
  • доступність обладнання та програмного забезпечення, котрі реалізують зазначений механізм фільтрації;
  • можливість реалізації як на вузлових маршрутизаторах так і у кінцевого користувача
  • у разі великої кількості записів у списках фільтрації, зростає навантаження на обладнання, котре реалізує фільтрацію;
  • оптимізація та агрегація не надають великого виграшу і з'являється можливість помилково обмежити доступ до ресурсів, котрі не підпадають під жоден з критеріїв за якими проводиться оцінювання. Також сама задача оптимізації та агрегації не є тривіальною та при великій кількості чинників та критеріїв може буди дуже складною;
  • мала інформативність та відсутність діалогу з користувачем, котрий повідомляє користувачу, що доступ блоковано та причину чому саме.
Блокування за допомогою браузера
  • не потребує високого рівня кваліфікації при конфігуруванні;
  • доцільне використання при невеликому обсягу робочих комп’ютерів та невеликій базі списків обмеження.

складність адміністрування та підтримки списків заборонених ресурсів у разі зростання :

  • кількості робочих вузлів ( в даному випадку під вузлом розуміється робоча станція користувача);
  • кількості записів у списках заборонених ресурсів;
  • обмеження працює тільки для певного браузера, в якому сконфігуроване обмеження;
  • складність збору та обробки статистичної інформації.
Застосування proxy-серверів
  • легкість масштабування. Можливість ієрархічної схеми розміщення proxy-серверів дозволяє легко нарощувати нові підключення;
  • у разі використання розподіленої мережі proxy-серверів, підвищується загальна відмово стійкість системи;
  • наявність адаптивного підходу підчас впровадження та швидкого реагування на появу нових нецільових ресурсів;
  • суттєве зменшення загального http-трафіку, за рахунок кешування інформації;
  • необхідність обмеження навантаження відмінного від HTTP;
  • необхідність застосування додаткових методів оптимізації при великій кількості користувачів в межах однієї мережі.

Усі із перерахованих в табл. 1 технічних засобів в тій чи іншій мірі можливо використати в централізованій чи децентралізованій схемі.

Централізована схема передбачує обробку навантаження на центральному вузлі, котрий надає свої сервіси для користувачів. При цьому обробка може проводитися будь-яким з вищезазначених способів, окрім фільтрування за допомогою функцій вбудованих в веб-браузер. Незважаючи на те, що така схема дозволяє отримати повний контроль та швидко реагувати на появу нових нецільових ресурсів, вона має низку досить суттєвих недоліків:

  • обладнання, яке буде займатися обробкою, повинно мати відповідну потужність, щоб не вносити велику затримку та не створювати незручності користувачам;
  • центральний вузол повинен мати велику пропускну здатність каналів зв'язку;
  • у разі виходу з ладу центрального вузла, система перестає функціонувати.

Децентралізована схема передбачає фільтрацію навантаження безпосередньо на місцях. Це можуть буди як кінцеві робочі станції, так і вузлове обладнання. До центрального вузла передається лише статистична інформація, в простішому випадку – лог-файл зі списком адрес відвповідних ресурсів. У центральному вузлі проводиться обробка статистичної інформації та формування актуальних списків заборонених ресурсів, після чого всі вузли системи оновлюють свої локальні списки зі списками центрального вузла. Така схема дозволяє зменшити вимоги до центрального вузла та підвищити відмовостійкість, оскільки кожен вузол функціонує автономно та лише оновлює з центрального вузла списки заборонених ресурсів. Мінусом є те що оновлення списків заборонених ресурсів проходить повільніше ніж у централізованій системі, це зумовлено періодом формування статистичної інформації.

Виходячи з порівняльного аналізу наведеного в табл. 1, а також враховуючи зазначені вище переваги децентралізованої схеми в основу всеукраїнської системи обмеження доступу до нецільових ресурсів мережі Інтернет покладено принцип встановлення в кожному закладі власного proxy-серверу, який має базу даних заборонених ресурсів.

Базові принципи фільтрації ресурсів із використанням проксі-сервера зображено на рис. 1.

Згідно зображеного принципу користувачі комп’ютерної мережі певної організації одержують доступ до мережі Інтернет виключно через proxy-сервер. Безпосередній доступ до мережі для користувачів мережі повністю заблоковано на маршрутизаторі.

Базові принципи фільтрації

Рисунок 1 – Базові принципи фільтрації нецільових ресурсів на proxy-серверах

При кожній спробі одержання доступу до того чи іншого ресурсу proxy-сервер перевіряє чи не внесено його в перелік заборонених. У разі, якщо такий ресурс позначено в базі нецільових – доступ до нього блокується, а користувачу видається на екран відповідне повідомлення. Приклад такого повідомлення наведено на рис. 2.

Приклад блокування ресурсу

Рисунок 2 – Приклад повідомлення про блокування ресурсу

У разі, якщо запитаний ресурс відсутній в базі заборонених ресурсів то доступ до нього надається, однак запис про відвідування цього ресурсу фіксується в спеціальному службовому журналі. Один раз на день (або в інший термін) proxy-сервер формує перелік найбільш відвіданих ресурсів та надсилає його оператору з обмеження доступу. Оператор (адміністратор) перевіряє надісланий перелік ресурсів та визначає їх характер (нецільові або корисні). У разі, якщо ресурс має нецільовий характер здійснюється його класифікація (порнографічний ресурс, ігровий ресурс, ресурс який використовується для обходу заборони, тощо) та формується доповнення до бази даних.

Загальні принципи функціонування пропонованої системи зображені на рис. 3.

Загальна архітектура

Рисунок 3 – Загальна архітектура єдиної системи обмеження доступу до нецільових ресурсів мережі Інтернет

Використане при реалізації дослідного сегмента програмне забезпечення розповсюджується вільно, тому не потребує додаткових коштів на ліцензування. Такий вибір дозволяє використовувати адаптивний підхід до кожного конкретного випадку та впроваджувати систему мінімальними змінами в існуючій інфраструктурі організації.

Запропонований підхід має низку суттєвих переваг у порівнянні із іншими аналогічними підходами. Зокрема: обробкою лог-файлів та актуалізацією списків заборонених ресурсів займаються спеціалісти та немає необхідності мати кваліфіковану людину в кожній організації; існуюча база характерна для українського та російського сегменту мережі Інтернет; наявність готових рішень для *nix та Windows систем; досвід провадження та експлуатації системи дозволяє обирати оптимальні рішення та розроблювати стандартні схеми впровадження.