Требования  к аппаратному  обеспечению

       Требования  к аппаратному обеспечению во многом зависят от количества компьютеров  в сети организации, которым требуется  обращаться к службам, функционирующем на сервере. Минимальные требования включают в себя наличие следующих характеристик:

• Процессор Intel Pentium-IV
• Оперативная память 512 Мб.
• Жесткий диск IDE 40 Гб.
• Ethernet – адаптер 10/100 Мбит/с – 2 шт.

4.2. Описание сервисов

4.2.1. Основные сервисы

• Mail (SMTP, POP3, IMAP)

       Почтовый  сервер, состоящий из транспортной подсистемы SMTP и подсистемы обеспечения  пользовательских обращений по протоколам POP3 и IMAP. Почтовый сервер позволяет  наладить обмен электронной почтой между пользователями локальной сети (без использования транспорта через Интернет), а также получение почты из сети Интернет и отправку почты получателям, находящимся в сети Интернет. Наличие собственного корпоративного почтового сервера позволяет существенно повысить степень защищённости рабочих станций локальной сети против атак из сети Интернет, использующих уязвимости в почтовых программах. Защищённость повышается путём изоляции локальных рабочих станций от внешних неконтролируемых почтовых серверов и благодаря возможности установки Антивирусного программного обеспечения для фильтрации почтовых потоков. 
 

• HTTP

       HTTP-сервер  на базе программного обеспечения  Apache. Наличие собственного HTTP-сервера  позволяет создать полнофункциональный  корпоративный Веб-сайт компании, не прибегая к услугам хостинга и не сталкиваясь с рядом сопутствующих технических ограничений.

• PHP, MySQL, Postgres

       Компоненты PHP и MySQL (Postgres) - популярная технологическая  основа для создания современных  динамических Веб-сайтов. Использование СУБД MySQL и Postgres позволяют создавать сложные корпоративные Веб-порталы, онлайновые базы данных, Веб-приложения и другие широко распространённые в сети Интернет решения.

• Sambafileserver

       Файловый  сервер сетей SMB, предназначенный для  обслуживания рабочих станций Windows, Linux, UNIX и DOS. В комплект файлового сервера входит настройка домашних каталогов пользователей, ресурсов для хранения архивной информации, каталогов для обмена данными между пользователями, рабочих ресурсов для различных приложений, используемых в локальной сети заказчика. В случае необходимости файловый сервер SMB может быть интегрирован в существующий в локальной сети заказчика домен CIFS(NT4) или ADS(Win2000) с целью улучшения взаимодействия с имеющимися в сети серверами, автоматизации учёта пользователей и назначения прав доступа.

• PDC

       Контроллер  домена (PDC) класса CIFS(NT4), предназначенный  для объединения рабочих групп  в домен с единым центром авторизации  и учёта пользователей. При количестве рабочих станций свыше 10 шт. использование PDC даёт ощутимую экономию трудозатрат на системное администрирование рабочей группы, ускоряет работу, повышает уровень безопасности локальной сети и сохранности данных на файловом сервере. В случае необходимости одновременно с PDC может быть установлен WINS-сервер, существенно повышающий производительность и облегчающий администрирование в разветвлённых многосегментных сетях.

• Print server

       Сервер  печати, предназначенный для обслуживания рабочих станций Windows/DOS (SMBprint) и Linux/UNIX (Cups). Возможна поддержка принтеров с различных видов подключений: непосредственно к серверу; сетевые принтеры; принтеры на рабочих станциях. Использование единого сервера печати существенно повышает производительность при больших объёмах печати, снижает нагрузку на рабочие станции, повышает уровень безопасности в локальной сети.

• DNS

       Сервер  имён на базе программного обеспечения BIND. Производится настройка основного  сервера внутренней частной зоны локальной сети. Наличие частной  зоны DNS существенно облегчает управление локальной сетью, предоставляя администратору сети гибкий и надёжный механизм для управления именами компьютеров, входящих в локальную сеть.

• SSH

       Сервер SSH, предназначенный для безопасного  удалённого администрирования "Сервера  рабочей группы" из локальной сети. Использование сервера SSH позволяет существенно сократить трудозатраты по администрированию и поддержке "Сервера рабочей группы" и снизить общую стоимость владения.

• DHCP

       Сервер  динамического конфигурирования сетевых  настроек для рабочих станций локальной сети. Данный сервер позволяет существенно облегчить управление рабочими станциями, сведя все сетевые настройки к централизованному управлению на стороне "Сервера рабочей группы". Одновременно правильно настроенный DHCP-сервер позволяет существенно повысить внутреннюю безопасность локальной сети и улучшить разграничение доступа путём привязки IP-адресов к ARP-адресам. 

• ARP

       Сервис Arpwatch, предназначенный для отслеживания соответствий IP- и ARP-адресов в локальной  сети, ведения базы данных этих адресов и отсылки извещений системному администратору в случае любых изменений содержимого этой базы. Использование Arpwatch совместно с DHCP позволяет повысить внутреннюю защищённость локальной сети от несанкционированных подключений.

• Почтовый антивирус

       Антивирусная  защита для почтовых серверов на базе Dr.Web. 
Для обеспечения защиты рабочих станций от атак, проводимых через почтовые сообщения, необходима установка антивирусного фильтра. Фильтрации подвергаются почтовые потоки, проходящие через сервер во всех направлениях. В случае обнаружения почтового сообщения, содержащего вирус или подозрительный объект, данное сообщение может быть либо уничтожено, либо сохранено в отдельном административном каталоге. Возможна настройка рассылки соответствующих извещений отправителю, получателю и администратору в случае обнаружения вирусной почтовой атаки. Дополнительно могут быть проведены работы по ужесточению системы безопасности почтового сервера, такие как:

• Фильтрация почты по типам вложенных файлов;
• Дополнительное ограничение размеров почтовых ящиков и проходящих сообщений

• Firewall

       Межсетевой  экран и маршрутизатор сетевых IP-пакетов на базе программного обеспечения ipchains или iptables. Предназначен для обеспечения  внутренней и внешней безопасности локальной сети и самого шлюза, маршрутизации, разграничения доступа, подсчёта общего потребления трафика. Существенно повышает степень защищённости рабочих станций локальной сети против разнообразных атак из сети Интернет.

• Proxy

       Proxy-сервер для протоколов HTTP и FTP на базе программного обеспечения squid. Предназначен для радикального уменьшения времени отклика и потребления трафика при повторных обращениях к ресурсам сети Интернет из локальной сети. Позволяет произвести разграничение доступа к ресурсам сети Интернет по протоколам HTTP и FTP из локальной сети. Существенно повышает степень защищённости рабочих станций локальной сети против атак из сети Интернет, использующих уязвимости в веб-браузерах.

• Traffic Accounting (Учет трафика)

       Отображает  статистику трафика IP, проходящего через ALT Linux 2.3 SOHO Server в различных направлениях.

       4.2.2. Дополнительные модули

             Для расширения функциональных возможностей комплекса в целом, используется дополнительное программное  обеспечение, интегрируемое в виде модулей в стандартную поставку комплекса. 

1. Контроль  трафика flowMaster

             flowMaster - это автоматизированная система учета использования Интернет.

       Система  flowMaster обладает следующими возможностями:

• Возможность задания лимитов на использование Интернет как для отдельных сотрудников, так и для целых отделов.
• Автоматическое отключение при исчерпании лимита.
• Просмотр статистики пользователями. Пользователь может зайти на специальную страничку и посмотреть статистику своих соединений при помощи обычного броузера.
• Удобный Web интерфейс администратора. Администрировать программу можно прямо из броузера через систему интуитивно-понятных меню.
• Возможность построения отчета по использованию Интернет и его экспорта в другие системы.
• Все расчеты ведутся в режиме реального времени.
• Поддерживаются операционные системы Linux и FreeBSD.

       Принцип работы flowMaster

             Для доступа пользователей  в Интернет в flowMaster используется технология Virtual Private Network (VPN).  Данная технология обладает рядом преимуществ перед традиционным прямым подключением:

• Надежная аутентификация пользователей
• Защита от подмены ip- и mac-адресов
• Простота отключения пользователей
• Пользователи могут использовать Интернет с любого компьютера в сети
• Возможность надежного учета трафика

       Технология VPN поддерживается всеми операционными системами, включая все версии Windows и не вызывает сложностей у пользователей, так как все диалоги привычны многочисленным пользователям Интернет через модем.

       Существуют  разные технологии VPN.  В последнее  время наибольшее распространение получила технология на основе протокола PPTP (Point to Point Tunneling Protocol), поддерживаемая flowMaster. VPN-соединение представляет собой туннель, имеющий два конца: один находится на стороне клиента, другой располагается на стороне сервера.  Каждому концу туннеля присваивается IP-адрес. Обычно на стороне сервера этот адрес присваивается автоматически демоном PPTP, в то время, как на стороне клиента IP-адрес присваивается flowMaster'ом.

       При установке VPN соединения flowMaster проверяет имя и пароль пользователя, для чего используются надежные криптографические методы, это означает, что злоумышленник не сможет “подсмотреть” чужой пароль с помощью программ мониторинга сети.  После того, как соединение установлено, операционная система клиента начинает отправлять весь трафик через установившейся туннель, за исключением трафика относящегося к локальной сети клиентского компьютера, который посылается напрямую.  Весь прошедший через VPN туннель трафик считается VPN сервером и, через указанные интервалы времени, передается flowMaster'у.  flowMaster получает информацию о трафике, и, в случае необходимости, может принять решение о завершении соединения.

       VPN соединения принимаются программой pptpd, которая в свою очередь  запускает программу ppp, используемую  для организации туннеля. Конструктивно flowMaster представляет собой сервер RADIUS, к которому обращается ppp при установке, завершении или обновлении информации о сеансе связи.  Для отключения пользователей используется демон pdsd 

2. Фильтрация спама  «Спамооборона»

       «Спамооборона»  обладает мощной системой анализа содержимого  письма. Специальный анализатор (парсер) разделяет письмо на «чистую» составляющую, воспринимаемую человеком, и «грязную», содержащую, в частности, невидимый  для пользователя текст и бессмысленные данные (информационный шум). Это позволяет эффективно бороться с трюками спамеров, выявляя характерные особенности оформления и содержимого писем.

       Одновременно  с этим происходит анализ технической  информации о письме – проверяется  достоверность информации об отправителе, анализируется подлинность заголовков письма, учитываются особенности настройки сетей и почтовых систем отправителей.

       Поставщиком данных для системы правил является обновляемая база знаний, которая  включает данные RBL, шинглы и наборы эвристик.

        Решение «спам / не спам» принимается с учетом значимости сработавших правил, каждое из которых по отдельности не обладает достаточным весом.

       Рис. 2 Схема обработки писем.

       «Шингл» — это специальным образом  рассчитываемая метрика письма, позволяющая выявлять массовые рассылки. Алгоритм расчета шинглов основан на определении уникальных характеристик схожих сообщений. RBL (Realtime Blackhole List) — это список IP-адресов открытых почтовых релеев, прокси-серверов и неадминистрируемых сетей, с которых рассылается спам.