Политика доступа в Интернет. Или к чему все эти сложности?

в 10:29, , рубрики: безопасность в сети, системное администрирование, метки:
Усложнение политик доступа в Интернет, и к чему это приводит?

Приветствую уважаемое сообщество.

В течении четырёх лет я занимаюсь системным администрированием корпоративной локальной сети, и всё время так или иначе всплывает вопрос: «А какими политиками должен регламентироваться доступ в сеть Интернет для сотрудников компании?», каждый год лично мои ответы на данный вопрос постоянно меняются. И сегодня я бы хотел опубликовать статью которая предложит обсуждение данного вопроса, а также отразит моё мнение на этот вопрос.

В начале своей работы системным администратором когда я приходил в компанию, я считал, что доступ в Интернет должен быть очень строго регламентирован, что всё должно быть учтено, и подконтрольно. Никто не должен получать социальные медиа на рабочих местах, к таким медиа я относил социальные сети, видеохостинги, и всё прочее. Когда я только начинал, я находил понимание в глазах коллег, также это понимание было и отражено в серверной комнате наличием: squid с контролем доступа, с полной системой отчётов, с большим набором динамических ограничений для посещения сайтов. Группы доступа с ограничением по скорости. С лимитами трафика. С временными лимитами. С ограничением на загрузку файлов. — И мне казалось, что это здорово, и это очень, очень хорошо. Ведь таким образом сотрудники работают более продуктивно, а системные администраторы становятся своего рода «Богами Интернета», ведь так было здорово повесить всем в день сис. админа при первом входе в Интернет страницу заглушку вида: «Поздравьте своих Админов! Сегодня их день.». А Васе из отдела продаж за плохое лицо выставить скорость в 10кб/сек. — Всё это было ещё и до моего прихода в организацию, и казалось, что это то, что надо. Но на практике…

На последнем месте работы мой начальник всегда говорит мудро: «не надо закрывать соц. сети, не нужно лишних ограничений и сущностей» — но я всегда восклицал в ответ — «Нет! Нужно! Они ничего не делают, только и ходят по соц. сетям! Нужно всё закрыть.». Шло время, и вскоре старые администраторы стали уходить, и их прежние обязанности стали доставаться мне что называется «по наследству». Сначала я был очень рад! — «Ооо… Думал я. Так теперь ведь я Бог Интернета, теперь рубильник у меня».

Но что из этого вышло..?

А на практике оказывается что: все эти ограничения сильно мешают жить простым людям, которые не понимают ничего в компьютерах и ничего не посещают особо, и им нужно загружать документы, прайсы, программы — по работе, за неимением таких возможностей они постоянно звонили в ИТ отдел и просили «Богов Интернета», загрузить им файлы. — Через какое-то время мне это всё стало надоедать, и пришлось открывать людям полный доступ на загрузку файлов, так-как заниматься всей этой бессмысленной работой попросту не хотелось. И что я обнаружил в файлах конфигурации...? Оказывается уже большая часть народу и без меня была давно переведена на полный доступ.

А хитрые люди..? — А хитрые и так могут скачать всё что угодно наплевав на различные ограничения.
Вирусы..? — Как было много, так и есть много. Ничего не спасёт от этого на должном уровне, кроме светлой головы и антивируса на конечном рабочем месте.
А сетевая безопасность..? — А есть-ли она при таком подходе? Нету. И вот почему:

Порт 443, и ряд других портов пришлось открыть, ведь очевидно всякому, что ряд портов просто невозможно проксировать и тем более кешировать на высоком уровне. — Очень мне понравилась ситуация, когда в одной очень крупной организации мне человеку нужно было предоставить доступ к нашим серверам — и каково было моё удивление, когда я для Windows нашёл Portable версию SOCKS прокси сервера не требующую никаких прав, и тут же был предоставлен доступ к нашему серверу по 443 порту. — А меня убеждали, что в этой компании всё очень сложно с безопасностью. — Надо-ли говорить, что Radmin client шифрует трафик, а значит очень врядли мы попадёмся на этой схеме. — Но мы не балуем, нам надо было один раз и не надолго.

Что было дальше? — А дальше руководство затребовало отчёт о посещаемости сайта одного из сотрудников. — И мною честно были предоставлены красиво оформленные логи squid, но кому в голову пришло бы смотреть распечатанный мною отчёт на 50 страницах о посещённых URL..? Ведь всякому известно, что посещение одного лишь сайта ведёт за собой массу URL. — Ограничились все лишь общей суммой трафика — и сразу пришло понимание, что исходя из обязанностей сотрудника такой объём трафика явно превышает все разумные рамки.

А помогает-ли кеширование в современном Web динамическом контенте? — Я думаю очень мало.

В итоге спустя несколько лет, я стал понимать всю мудрость слов своего начальника. И стал приходить к выводу, что умничать и быть Богом на уровне L7 трафика практически нет никакой необходимости. И всё более и более я склонен к той мысли, что гораздо эффективнее вести подсчёт L2/L3 трафика, и смотреть общее количество потреблённого трафика на хост (неделя/месяц). Хост — может быть привязан при этом DHCP + MAC — в обычной сети этого достаточно. В крайнем случае можно настроить умные свитчи с фильтрацией портов по MAC.

Мне кажется что жёсткие политики доступа в Интернет потеряли свою актуальность, а фильтрация трафика на L7 уровне приносит больше проблем чем пользы… Ведь это всё дело нужно сопровождать, постоянно что-то разрешать, что-то запрещать. А сухой остаток — практически нулевой от всего этого.

P.S. конечно при всём при этом нужно понимать, что иногда простота — хуже воровства. И необходимо соблюдать здравый баланс и закрывать всё что явно не требуется для работы сотрудников. Речь про небольшие офисные организации, которые не работают с секретными данными.

А что думает уважаемое сообщество по-этому поводу? Не развивает-ли жёсткая политика синдром консьержки, от которого нет никакого проку, кроме кучи лишних проблем сопровождения и усложнения? Какие преимущества даёт вся эта усложнённая система политик доступа? — Домен Windows это хорошо, но всё больше и больше появляется *Pad техники, так что и домены уже потеряли можно сказать свой первоначальный смысл — единый ландшафт.

Автор: VGusev2007

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js