Контроль доступа в Интернет и трафика при работе с терминального сервера - Сети

vgd · 24.08.2006, 09:33

Добрый день, дамы и господа!

Есть у нас проблема - нет нормального решения по контролю доступа в Интернет и подсчета трафика для терминальных пользователей.

Примерные ребования к ней следующие:

1. Система должна уметь работать с трафиком терминальных серверов - т.е. контроль трафика на уровне пользователя, а не на уровне IP (авторизация в AD, а лучше - в любом LDAP\RADIUS).
2. Модуль сбора статистики должен располагаться на Unix-машине (FreeBSD) либо аппаратном роутере, но недорогом (относительно, конечно). Желательно, чтобы движок был многоплатформенным, но unix должен поддерживаться обязательно, т.к. у большинства клиентов стоят программные роутеры на базе FreeBSD.
3. Система НЕ обязательно должна быть бесплатной, хотя это идеальный вариант.
4. Система должна хорошо масштабироваться как по количеству пользователей, так и по цене (никто не будет на 10 пользователей покупать систему за 2-3 тысячи у.е.).
5. В идеале система должна уметь работать со squid (прокси-сервер) и с почтой (считать почтовый трафик). Это опционально, в крайнем случае, для этого можно другие механизмы использовать.
6. Естественно, система должна уметь считать трафик и контролировать доступ и с обычных ПК.

На уровне только http(s) вопрос решается просто и элегантно - squid+ntlm-авторизация в AD. Но вот с остальными протоколами возникает сложность.

Буду благодарен, если сможете помочь!

Решение нужно, конечно, тиражируемое, т.к. такая задача стоит не в одном месте.

P.S. MS ISA сервер предлагать не нужно. Платить за отдельную лицензию за Win2k3+ISA и ставить более мощную машину для обслуживания смысла не вижу никакого. Да и безопасность такого решения вызывает сомнения.

KomatoZo · 24.08.2006, 10:51

Посмотрите в сторону UTM. Не уверен, что это пройдет по всем параметрам или хотя бы по большинству, но вообще в свое время была достойная система.

vgd · 25.08.2006, 16:45

Цитата:

Сообщение от KomatoZo

Посмотрите в сторону UTM. Не уверен, что это пройдет по всем параметрам или хотя бы по большинству, но вообще в свое время была достойная система.

К сожалению, это несколько не то, что нужно. Главное - контроль доступа и подсчет трафика внутри предприятия именно для терминальных пользователей, т.е. пользователей, которые в один момент времени работают с сервера, имеющего один IP адрес.
UPM же - биллинговая система, цели у неё немного другие.

KomatoZo · 25.08.2006, 16:48

Тогда, боюсь, что в поставленных Вами граничных условиях задача решения не имеет. Все таки именно то, что надо предоставляет, по моим, сведениям, только ISA. Впрочем, это только IMHO.

vgd · 25.08.2006, 17:58

Цитата:

Сообщение от KomatoZo

Тогда, боюсь, что в поставленных Вами граничных условиях задача решения не имеет. Все таки именно то, что надо предоставляет, по моим, сведениям, только ISA. Впрочем, это только IMHO.

Грустно, если так. Подождем, может, кто-то еще предложит решение.

@lexey · 30.08.2006, 08:04

Цитата:

vgd:
Грустно, если так. Подождем, может, кто-то еще предложит решение.

Я, конечно извеняюсь, но Ваш вопрос выглядет примерно так "Хочу всего и сразу". Могу сразу сказать для того что описано решения бесплатного нету - слишком велик запрос. Т.е. надо разбивать на подзадачи, определяться что важнее, выделять приоритеты - только так можно помочь в поиске решения.

vgd · 30.08.2006, 09:11

Цитата:

Сообщение от @lexey

Я, конечно извеняюсь, но Ваш вопрос выглядет примерно так "Хочу всего и сразу". Могу сразу сказать для того что описано решения бесплатного нету - слишком велик запрос. Т.е. надо разбивать на подзадачи, определяться что важнее, выделять приоритеты - только так можно помочь в поиске решения.

Не хотелось бы начинать флейм, хочу только обратить внимание на п. 3 (система не обязательно должна быть бесплатной) и опциональность п. 5. В остальном не вижу, в чем тут "всё и сразу".

Кстати, для интересующихся - решение постепенно начинает вырисовываться (в теории). После проведения некоторых практических тестов приведу тут описание.

dr-evil · 30.08.2006, 09:15

а чем squid не устраивает???

vgd · 30.08.2006, 09:32

Цитата:

Сообщение от dr-evil

а чем squid не устраивает???

Squid не устраивает проксированием только определенных протоколов. А нужна возможность контролировать весь трафик, включая программы, которые не могут\ не хотят работать через application level прокси.

dr-evil · 30.08.2006, 10:09

ну в таком случае только пожалуй что-то вида isa + isa agent (или client - непомню)

vgd · 31.08.2006, 08:00

Цитата:

Сообщение от dr-evil

ну в таком случае только пожалуй что-то вида isa + isa agent (или client - непомню)

Т.е. вы предлагаете изначально заплатить около двух тысяч только за лицензию на софт (MS Win2k3 Standart - ~700у.е., MS ISA - ~1300 у.е.), не считая железа, которое понадобится для обслуживания всего этого безобразия?

Я же написал в первом сообщении, что ISA предлагать не стоит...

ЗЫ. "Украсть" Win2k3 и ISA - не выход.

dr-evil · 31.08.2006, 09:30

vgd
тогда как вариант, непосредственно запретить выход в инет с терм. сервака, заставить юзеров подключать внутри-сетевой vpn на ваш шлюз

vgd · 31.08.2006, 10:21

Цитата:

Сообщение от dr-evil

vgd
тогда как вариант, непосредственно запретить выход в инет с терм. сервака, заставить юзеров подключать внутри-сетевой vpn на ваш шлюз

Это первая же мысль, которая приходила в голову. Но увы - при установке vpn меняются системные маршруты и трафик всех пользователей начинает заворачиваться в канал.

Если кто-то знает, как это перебороть - вариант будет найден.

@lexey · 05.09.2006, 09:05

Цитата:

vgd:
Не хотелось бы начинать флейм, хочу только обратить внимание на п. 3 (система не обязательно должна быть бесплатной) и опциональность п. 5. В остальном не вижу, в чем тут "всё и сразу".

Тогда посмотри в сторону Traffic Inspector.

Just_Ice · 05.09.2006, 09:36

Цитата:

@lexey:
посмотри в сторону Traffic Inspector

Кстати да, пишут что

Цитата:

Реализована возможность работы клиентов на терминальном сервере.

почитай полное описание его возможностей, авось и подойтет

vgd · 07.09.2006, 17:15

Цитата:

Сообщение от Just_Ice

Кстати да, пишут что
почитай полное описание его возможностей, авось и подойтет

Смотрел уже в ту сторону. Платформа Windows, исключительно. Что удорожает систему сразу же, да и безопасность под вопросом.

@lexey · 08.09.2006, 08:59

Цитата:

vgd:
Платформа Windows, исключительно. Что удорожает систему сразу же, да и безопасность под вопросом.

Удорожает? Намного ли можно взять 2000 проф и её хватит, а безопасность - всё от рук зависит % )

24.08.2006, 09:33	# 1
vgd Newbie Регистрация: 12.10.2004 Адрес: Урал Сообщения: 35	Контроль доступа в Интернет и трафика при работе с терминального сервера Добрый день, дамы и господа! Есть у нас проблема - нет нормального решения по контролю доступа в Интернет и подсчета трафика для терминальных пользователей. Примерные ребования к ней следующие: 1. Система должна уметь работать с трафиком терминальных серверов - т.е. контроль трафика на уровне пользователя, а не на уровне IP (авторизация в AD, а лучше - в любом LDAP\RADIUS). 2. Модуль сбора статистики должен располагаться на Unix-машине (FreeBSD) либо аппаратном роутере, но недорогом (относительно, конечно). Желательно, чтобы движок был многоплатформенным, но unix должен поддерживаться обязательно, т.к. у большинства клиентов стоят программные роутеры на базе FreeBSD. 3. Система НЕ обязательно должна быть бесплатной, хотя это идеальный вариант. 4. Система должна хорошо масштабироваться как по количеству пользователей, так и по цене (никто не будет на 10 пользователей покупать систему за 2-3 тысячи у.е.). 5. В идеале система должна уметь работать со squid (прокси-сервер) и с почтой (считать почтовый трафик). Это опционально, в крайнем случае, для этого можно другие механизмы использовать. 6. Естественно, система должна уметь считать трафик и контролировать доступ и с обычных ПК. На уровне только http(s) вопрос решается просто и элегантно - squid+ntlm-авторизация в AD. Но вот с остальными протоколами возникает сложность. Буду благодарен, если сможете помочь! Решение нужно, конечно, тиражируемое, т.к. такая задача стоит не в одном месте. P.S. MS ISA сервер предлагать не нужно. Платить за отдельную лицензию за Win2k3+ISA и ставить более мощную машину для обслуживания смысла не вижу никакого. Да и безопасность такого решения вызывает сомнения.

24.08.2006, 10:51	# 2
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Посмотрите в сторону UTM. Не уверен, что это пройдет по всем параметрам или хотя бы по большинству, но вообще в свое время была достойная система. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

25.08.2006, 16:48	# 4
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Тогда, боюсь, что в поставленных Вами граничных условиях задача решения не имеет. Все таки именно то, что надо предоставляет, по моим, сведениям, только ISA. Впрочем, это только IMHO. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

30.08.2006, 09:15	# 8
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	а чем squid не устраивает??? __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

30.08.2006, 10:09	# 10
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	ну в таком случае только пожалуй что-то вида isa + isa agent (или client - непомню) __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

31.08.2006, 09:30	# 12
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	vgd тогда как вариант, непосредственно запретить выход в инет с терм. сервака, заставить юзеров подключать внутри-сетевой vpn на ваш шлюз __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!