IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Сети (http://www.imho.ws/forumdisplay.php?f=145)
-   -   Контроль доступа в Интернет и трафика при работе с терминального сервера (http://www.imho.ws/showthread.php?t=107446)

vgd 24.08.2006 09:33
Контроль доступа в Интернет и трафика при работе с терминального сервера
 
Добрый день, дамы и господа!

Есть у нас проблема - нет нормального решения по контролю доступа в Интернет и подсчета трафика для терминальных пользователей.

Примерные ребования к ней следующие:

1. Система должна уметь работать с трафиком терминальных серверов - т.е. контроль трафика на уровне пользователя, а не на уровне IP (авторизация в AD, а лучше - в любом LDAP\RADIUS).
2. Модуль сбора статистики должен располагаться на Unix-машине (FreeBSD) либо аппаратном роутере, но недорогом (относительно, конечно). Желательно, чтобы движок был многоплатформенным, но unix должен поддерживаться обязательно, т.к. у большинства клиентов стоят программные роутеры на базе FreeBSD.
3. Система НЕ обязательно должна быть бесплатной, хотя это идеальный вариант.
4. Система должна хорошо масштабироваться как по количеству пользователей, так и по цене (никто не будет на 10 пользователей покупать систему за 2-3 тысячи у.е.).
5. В идеале система должна уметь работать со squid (прокси-сервер) и с почтой (считать почтовый трафик). Это опционально, в крайнем случае, для этого можно другие механизмы использовать.
6. Естественно, система должна уметь считать трафик и контролировать доступ и с обычных ПК.

На уровне только http(s) вопрос решается просто и элегантно - squid+ntlm-авторизация в AD. Но вот с остальными протоколами возникает сложность.

Буду благодарен, если сможете помочь!

Решение нужно, конечно, тиражируемое, т.к. такая задача стоит не в одном месте.

P.S. MS ISA сервер предлагать не нужно. Платить за отдельную лицензию за Win2k3+ISA и ставить более мощную машину для обслуживания смысла не вижу никакого. Да и безопасность такого решения вызывает сомнения.

KomatoZo 24.08.2006 10:51
Посмотрите в сторону UTM. Не уверен, что это пройдет по всем параметрам или хотя бы по большинству, но вообще в свое время была достойная система.

vgd 25.08.2006 16:45
Цитата:
Сообщение от KomatoZo
Посмотрите в сторону UTM. Не уверен, что это пройдет по всем параметрам или хотя бы по большинству, но вообще в свое время была достойная система.
К сожалению, это несколько не то, что нужно. Главное - контроль доступа и подсчет трафика внутри предприятия именно для терминальных пользователей, т.е. пользователей, которые в один момент времени работают с сервера, имеющего один IP адрес.
UPM же - биллинговая система, цели у неё немного другие.

KomatoZo 25.08.2006 16:48
Тогда, боюсь, что в поставленных Вами граничных условиях задача решения не имеет. Все таки именно то, что надо предоставляет, по моим, сведениям, только ISA. Впрочем, это только IMHO.

vgd 25.08.2006 17:58
Цитата:
Сообщение от KomatoZo
Тогда, боюсь, что в поставленных Вами граничных условиях задача решения не имеет. Все таки именно то, что надо предоставляет, по моим, сведениям, только ISA. Впрочем, это только IMHO.
Грустно, если так. Подождем, может, кто-то еще предложит решение.

@lexey 30.08.2006 08:04
Цитата:
vgd:
Грустно, если так. Подождем, может, кто-то еще предложит решение.
Я, конечно извеняюсь, но Ваш вопрос выглядет примерно так "Хочу всего и сразу". Могу сразу сказать для того что описано решения бесплатного нету - слишком велик запрос. Т.е. надо разбивать на подзадачи, определяться что важнее, выделять приоритеты - только так можно помочь в поиске решения.

vgd 30.08.2006 09:11
Цитата:
Сообщение от @lexey
Я, конечно извеняюсь, но Ваш вопрос выглядет примерно так "Хочу всего и сразу". Могу сразу сказать для того что описано решения бесплатного нету - слишком велик запрос. Т.е. надо разбивать на подзадачи, определяться что важнее, выделять приоритеты - только так можно помочь в поиске решения.
Не хотелось бы начинать флейм, хочу только обратить внимание на п. 3 (система не обязательно должна быть бесплатной) и опциональность п. 5. В остальном не вижу, в чем тут "всё и сразу". :rolleyes:

Кстати, для интересующихся - решение постепенно начинает вырисовываться (в теории). После проведения некоторых практических тестов приведу тут описание.

dr-evil 30.08.2006 09:15
а чем squid не устраивает???

vgd 30.08.2006 09:32
Цитата:
Сообщение от dr-evil
а чем squid не устраивает???
Squid не устраивает проксированием только определенных протоколов. А нужна возможность контролировать весь трафик, включая программы, которые не могут\ не хотят работать через application level прокси.

dr-evil 30.08.2006 10:09
ну в таком случае только пожалуй что-то вида isa + isa agent (или client - непомню)

vgd 31.08.2006 08:00
Цитата:
Сообщение от dr-evil
ну в таком случае только пожалуй что-то вида isa + isa agent (или client - непомню)
Т.е. вы предлагаете изначально заплатить около двух тысяч только за лицензию на софт (MS Win2k3 Standart - ~700у.е., MS ISA - ~1300 у.е.), не считая железа, которое понадобится для обслуживания всего этого безобразия? :confused:

Я же написал в первом сообщении, что ISA предлагать не стоит...

ЗЫ. "Украсть" Win2k3 и ISA - не выход.

dr-evil 31.08.2006 09:30
vgd
тогда как вариант, непосредственно запретить выход в инет с терм. сервака, заставить юзеров подключать внутри-сетевой vpn на ваш шлюз

vgd 31.08.2006 10:21
Цитата:
Сообщение от dr-evil
vgd
тогда как вариант, непосредственно запретить выход в инет с терм. сервака, заставить юзеров подключать внутри-сетевой vpn на ваш шлюз
Это первая же мысль, которая приходила в голову. Но увы - при установке vpn меняются системные маршруты и трафик всех пользователей начинает заворачиваться в канал. :(

Если кто-то знает, как это перебороть - вариант будет найден.

@lexey 05.09.2006 09:05
Цитата:
vgd:
Не хотелось бы начинать флейм, хочу только обратить внимание на п. 3 (система не обязательно должна быть бесплатной) и опциональность п. 5. В остальном не вижу, в чем тут "всё и сразу". :rolleyes:
Тогда посмотри в сторону Traffic Inspector.

Just_Ice 05.09.2006 09:36
Цитата:
@lexey:
посмотри в сторону Traffic Inspector
Кстати да, пишут что
Цитата:
Реализована возможность работы клиентов на терминальном сервере.
почитай полное описание его возможностей, авось и подойтет

vgd 07.09.2006 17:15
Цитата:
Сообщение от Just_Ice
Кстати да, пишут что
почитай полное описание его возможностей, авось и подойтет
Смотрел уже в ту сторону. Платформа Windows, исключительно. Что удорожает систему сразу же, да и безопасность под вопросом.

@lexey 08.09.2006 08:59
Цитата:
vgd:
Платформа Windows, исключительно. Что удорожает систему сразу же, да и безопасность под вопросом.
Удорожает? Намного ли можно взять 2000 проф и её хватит, а безопасность - всё от рук зависит % )


Часовой пояс GMT +4, время: 04:51.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.