SSL Bump: что это такое и когда применяется
Узнать больше
Ограничение доступа в интернет остается одним из основных методов обеспечения безопасности в информационной среде. Проблема в большинстве случаев решается программными методами. На аппаратном уровне ограничение редко применяется, так как очень сложно отличить нежелательные пакеты данных от тех, к которым доступ разрешен, а вот с помощью софта эта задача решается недорого и эффективно. Рассмотрим подробнее как это происходит.
Методы ограничения доступа, анализ трафика
Интернет состоит из множества сайтов, поэтому контроль доступа к сайтам — основной метод ограничения доступа. Распространенных способов здесь два, и они подходят к проблеме с противоположенных концов: белый список и черный список. В первом случае ограничивается всё, кроме сайтов из белого списка. Во втором, наоборот, доступ ко всем сайтам разрешен, кроме черного списка.
Ввиду специфики интернета, постоянного пополнения числа нежелательных сайтов, технология с черным списком практически устарела. Тем не менее web-фильтрация продолжает оставаться действенным методом контроля доступа. Для корпоративных нужд пользуются готовыми программными решениями, открывая доступ только необходимым для рабочего процесса ресурсам.
Ограничение доступа в интернет в корпоративных масштабах выполняется через установку специальной программы на каждую рабочую станцию.
Основные способы контроля доступа в интернет
- Белый и черный список. Избирательный контроль доступа к сайтам с идентификацией по доменному имени и адресу, но не по содержимому, за счет чего экономятся аппаратные ресурсы.
- Интеллектуальный анализ содержимого сайтов. Применяются методы ассоциации, классификации, кластеризации данных.
- Ограничение доступа в интернет по времени.
- Контроль доступа к приложениям, ограничения на установку приложений (требуются права администратора).
- Отслеживание местоположения.
- Проверка переписки (контроль сообщений в мессенджерах).
Технических методов, обеспечивающих контроль доступа к сайтам, более чем достаточно. Применять их следует в соответствии с законом и задачами коммерческого субъекта, или частного лица/лиц.
Правовые аспекты ограничения доступа в интернете
Регулирование ограничения доступа в интернете может быть выполнено провайдером в случае нарушения пользователями действующего законодательства, или руководителем организации согласно внутренним правилам поведения и режима работы сотрудников. Также в трудовом договоре часто прописано, что сотрудник в рабочее время имеет право посещать только те сайты, которые непосредственно связаны с его деятельностью.
Частные лица также вправе удалять информацию из сети, в случаях, если имеется решение суда о том, что указанные сведения являются клеветой, порочат репутацию или же попадают под иные федеральные законы.
Функцию контроля и ограничения доступа в интернет в РФ по большей части реализует Роскомнадзор. Это касается как физических, так и юридических лиц. Если речь идет про корпоративные сети и доступ, то ограничение действий пользователей здесь чаще всего добровольное – это важно для обеспечения целей собственной безопасности, например, с помощью систем SWG предлагаемых нашей компанией. В этом случае доступ к нежелательной и потенциально опасной информации закрыт изначально согласно политикам и настройкам SWG-системы.
Однако стоить помнить, что за защиту интернета отвечает далеко не только один Роскомнадзор, но и много других органов безопасности в основном международного уровня – интернет-пространство глобально. Среди тех, кто так или иначе причастен к управлению и контролю за мировой паутиной можно причислить In-Q-Tel, ICANN, IANA, IRTF.
SWG-системы надежно защищают крупный, средний бизнес за счет автоматизированного контроля, гибких настроек, совершенствования функционала. Так, в числе первоочередных функций – блокировка доступа к контенту, не соответствующему политикам допустимого использования, защита конфиденциальных данных от несанкционированной передачи.
Способы реализации ограничения сетевого доступа
Контроль доступа в интернет – повсеместная мера, к которой прибегают коммерческие и государственные организации. Разработана масса методов, как для частного, так и для коммерческого применения. Среди них:
- использование одной из функций SWG-системы;
- установка кэширующего прокси-сервера;
- использование файрвола, межсетевого экрана (может быть реализован в аппаратном виде);
- временное отключение интернета, например, 4-6 часов рабочего времени;
- использование таймера запуска и закрытия приложений, планировщика заданий Windows;
- настройка пользовательских профилей на сайтах, например, на YouTube.
Каждый из способов рассмотрим подробно. Наиболее часто ограничение доступа к сайтам для ребенка реализуется установкой специального приложения, а также антивируса. Встроенная функция родительского контроля есть далеко не на всех устройствах. Этот способ практически бесплатный, но для коммерческих детских учреждений недостаточный.
Аппаратный межсетевой экран (файрвол)
Это наиболее надежный способ реализации ограничения доступа. Работа межсетевого экрана основана на самом надежном принципе сетевой безопасности – белый список, через который проходят только пакеты данных с адресами из разрешенного списка и не более того. Межсетевые экраны очень хороши, но применяются ограниченно, например, в финансовых учреждениях, органах безопасности и там, где необходима самая надежная защита.
Файрвол – это программный маршрутизатор с функцией глубокого анализа пакетов. При небольшом числе пользователей корпоративной сети это недорогая достаточно надежная стандартная защита, но уже в средних компаниях ее цена не идет ни в какое сравнение с чисто программными решениями.
DNS-сервер
Фактически, DNS-сервер, это программный файрвол. Он выполняет те же функции, что и коммутатор с глубоким анализом пакетов. Родительский контроль доступа в интернет может быть реализован с помощью DNS-сервера достаточно просто и недорого. Способ защиты подходит для образовательных учреждений, школ и кружков. IP-адреса из белого списка прописываются в настойках вручную. Это могут быть, например, только серверы программ для обучения, а доступ ко всем остальным сайтам будет надежно заблокирован.
С точки зрения безопасности, DNS-сервер не сильно уступает аппаратному межсетевому экрану, поэтому также используется в качестве защитного решения. Он представляет собой специальную программу, которая устанавливается на внутрикорпоративный сервер небольшой мощности, где и происходит обработка IP-адресов.
Кэширующий прокси-сервер – усложненный вариант DNS сервера с функцией накопления и анализа содержимого пакетов. Коммерческого применения данная технология почти не имеет, так как требуется подменять SSL-сертификаты сайтов, а это далеко не всегда возможно и эффективно.
Приложения для ограничения доступа
Это самый простой способ реализовать ограничение доступа к сайтам для ребенка. Для массового потребителя большую сложность представляют незнакомые англоязычные интерфейсы настройки DNS-серверов. Такой проблемы нет при использовании простых русифицированных приложений. Они настраиваются легко и просто, и это под силу персоналу детских образовательных учреждений.
Список запрещенных сайтов скачивается из специальной базы. Обычно эта возможность есть в таких приложениях по умолчанию, без указания конкретных сайтов в реестре. Помимо этого, можно вручную закрыть доступ, например, к социальным сетям, которые, несмотря на общее разрешение использования их несовершеннолетними, могут существенно помешать осуществлению процессов обучения.
Отдельного внимания заслуживает ограничение доступа к сетевым играм. Такие функции тоже включены в список стандартных ограничений для доступа во многих приложениях и имеют гибкие ручные настройки.
Родительский контроль в Windows и на сайтах
В ОС Windows 10 представлен довольно обширный набор функций родительского контроля, обеспечивающий:
- фильтрацию трафика с анализом содержимого;
- фильтрацию трафика по IP-адресам;
- ограничения по времени просмотра;
- сохранение истории всех действий.
Пользоваться встроенными функциями OC достаточно удобно, но, по мнению многих пользователей, эффективности этих средств недостаточно, чем и объясняется популярность других приложений для решения той же самой задачи.
Выводы
Ограничение доступа в интернет – необходимая мера обеспечения безопасности. Она используется в комплексе с другими средствами защиты от внутренних и внешних угроз, антивирусами и DLP-системами. В случаях, когда к компьютерам имеют доступ несовершеннолетние, родительский контроль доступа в интернет обеспечивается силами физического или юридического лица самостоятельно, с помощью недорогих программных средств.