Настройка сервера (подробно)

Как настроить сервер таким образом, чтобы всё работало, и ваши данные были в безопасности? В этой статье мы расскажем Вам, какие элементы сети обязательно должны присутствовать в организации, как защитить документы от вирусов, воровства и какие программы использовать.

Приведём пример для интрасети в несколько десятков компьютеров соединенных витой парой. Первое к чему приступим – это настройка сервера. Сервера должны стоять в хорошо проветриваемом помещении, они работают круглосуточно и поэтому в ваших интересах хорошо их охлаждать. Обязательно чтобы сервера были подключены через блок бесперебойного питания. Предлагаем вам иметь три сервера – сервер локальной сети, интернет сервер и сервер безопасности наблюдения службы охраны. Они должны работать независимо. Зачем покупать три компьютера вместо одного? Так безопаснее и проще всего, если у вас выйдет из строя интернет сервер, то просто некоторое время не будет интернета, а сеть будет работать, если что-то случиться с сервером безопасности, то пока будет идти настройка сервера безопасности, сотрудники все равно смогут работать в 1С и интернете. На сервере локальной сети обычно хранаят основную базу данных, к примеру, базу 1С Предприятия и общие папки документов сотрудников.

Лучше использовать 100 мегабитную сеть или если есть техническая возможность, которая обычно заключается в цене сетевого оборудования – гигабитную сеть. Причем рекомендуем на все сервера ставить антивирусные пакеты разных фирм, например Касперского на интернет сервер, а на сервер сети другой – к примеру, Avira. Такой подход, еще сильнее обезопасит вашу сеть, так как даже очень хороший антивирусный пакет всё равно может пропустить вирус не находящийся у него в базе. И учитывая то, что в интернете новые вирусы появляются сотнями в час, иногда в базе одного антивируса сигнатура добавлена, а в базе обновлений другого ещё нет! Разберем более подробно настройку сервера.

Настраиваем сервер локальной сети

Функции сервера локальной сети:
- хранит серверную часть баз данных, саму базу данных и пользовательские документы, именно к нему будет осуществляться максимальное число запросов;
- дополнительная проверка и фильтрация данных антивирусом, расположенным на сервере сети.
- Хранение архивов базы данных и документов. Создавайте архивы, например, Acronis True Image Server или просто программой WinRar и храните их на отдельном жестком диске в сервере локальной сети. Копируйте эти архивы каждый день на внешний накопитель.

Настройка сервера будет выглядеть следующим образом: рабочая станция через маршрутизатор (желательно тоже со встроенным firewall) обращается к серверу сети и получает от него результат обработки.

Настраиваем интернет сервер!

Интернет сервер должен быть настроен для подключения к сети интернет всех компьютеров сети – только через него должен идти весь внешний трафик. На интернет сервере рекомендую настроить анонимный прокси сервер для выхода в интернет. Конечно же анонимные прокси сервера продаются и стоят от 5 долларов в месяц. Зачем же нужны прокси? Прокси сервер или просто proxy таинственное словосочетание, которое всё чаще и чаще упоминается в мире компьютерных сетей. Прокси сервер – это обычный сервер в сети или в интернете на который можно зайти используя логин, пароль, ip адрес и порт для подключения. Естественно вся эта информация предоставляется за деньги конечному пользователю. Зачем же мне прокси сервер спросите вы? Ответ прост – используя прокси, вы скрываете свой ip адрес и получаете весь свой трафик через этот сервер. Зачастую прокси сервера не ведут логов посещения ваших страниц или историю других операций в сети – такие прокси называются анонимными. В интернете существует огромное количество сайтов например американских на которые не может зайти пользователь с русским ip, купив ip адрес США на прокси сервере – вы без труда будете заходить на такие адреса. При обратной ситуации можно купить русский адрес и заходить на русские адреса с иностранных провайдеров, даже если вы находитесь за границей. Для владельцев фирм не всегда приятно, то что их мгновенную переписку или почту кто то читает. Купив ip адрес на анонимном прокси – вы платите за безопасность. Прозрачный прокси обычно используется на предприятиях и главная его задача разграничить доступ к сетевым ресурсам сотрудников. С помощью прозрачного прокси сервера вы можете раздавать трафик интернет с заданных вами адресов и запрещать сотрудникам пользоваться многими сайтами и программами. Прозрачный прокси тоже скрывает реальный ip провайдера, но транслирует внутренний ip вышедшего в сеть человека. Если вы выходите в интернет используя цепочку из прозрачного и анонимного прокси сервера или нескольких таких серверов, то вся эта цепочка называется анонимным прокси сервером. Однако это совсем не означает, что вы будете безнаказанно совершать преступления по сети интернет – сотрудники специальных служб смогут вас найти в случае взлома или других вредоносных действий, но на это они потратят некоторое время. А вот обычные рядовые злоумышленники пытающиеся найти уязвимость в вашей системе безопасности навряд ли смогут к вам подобраться. Анонимные прокси сервера хороши ещё и тем, что зачастую имеют мощные антивирусные пакеты и сетевые экраны на своих удалённых серверах и сканируют весь ваш трафик на наличие вирусов и шифруют его.

Интернет для сотрудников будет раздаваться следующим образом – рабочая станция через прозрачный прокси сервер подключается к интернет серверу, а интернет сервер подключается через анонимномный прокси в интернет. Зачем нужен прозрачный прокси сервер:
- его можно настроить так, чтобы сотрудники смогли выходить не на все сайты, к примеру, заблокировать игровые сервера, социальные сети и пиринговые сети для обмена трафиком;
- прозрачный прокси сервер позволяет протоколировать кто из участников сети выходил на какой сайт и сколько мегабайт было скачано;
- прозрачный прокси кэширует данные на диске, что позволяет сократить расходы трафика и получить более быструю работу приложений в интернет, например на всех клиентских машинах стоит одна версия антивируса настроенного на обновление из папки на прокси сервере, обновление баз нужно скачать всего один раз и выложить в сеть, при этом если скорость скачивания антивирусных баз с внешнего ресурса у вас 2, 3 ,4 или 10 мегабит в зависимости от тарифа, то остальные участники сети получат обновление со скоростью 100 мегабит, и при этом каждая рабочая станция совсем не будет «забивать» внешнюю полосу пропускания интернет, а использовать только локальную сеть. При использовании участниками сети обозревателей сайтов – Mozilla Firefox, Opera, Google Chrome и других будет производится кэширование часто используемых сайтов на прокси сервере сети и браузеру будут только «докачивать» недостающие данные с интернет страниц, что ускорит работу интернета в разы и позволит разгрузить сеть.

Если у вашего предприятия достаточно денег, то обязательно приобретите аппаратный сетевой экран и поставьте его между интернет сервером, и интернетом. Сетевой экран – это устройство, внешне похожее на модем, блокирующее доступ извне и зачастую проверяющее весь входящий трафик на распространённые опасные вирусы. Вот несколько производителей аппаратных сетевых экранов - Cisco, Zyxel, D-Link. Запомните – интернет это главный источник опасности для вашего предприятия, поэтому вам нужно хорошо его защитить. Программное обеспечение интернет сервера может быть подобрано на вас вкус, но обязательно должны быть следующие элементы:
- программный платный антивирус с сетевым экраном и спам фильтром, подойдут Kaspersky EnterpriseSpace Security, ESET NOD32 Smart Security Business Edition, Avira AntiVir Server и другие;
- настроен внешний почтовый сервер и сервер обмена мгновенными сообщениями.

Настройка сервера безопасности!

Сервер безопасности – самый привилегированный сервер сети. Не один сотрудник не должен в него войти.

Для защиты своей сети начальник фирмы четко должен создать приказ по предприятию или отделу информационной безопасности, в котором должно быть указано:
- время использования сети;
- кому можно использовать права администратора сети, для установки программ и настройки Internet, а кому для просмотра программ информационной безопасности;
- кто имеет право пользоваться сменными носителями и ввести меры наказания, например штраф если сотрудник пользовался флэшкой, а в приказе ему это запрещено (зачастую сотрудники приносят вирусы на флешке, или проверяют на вирусы свои сотовые телефоны);
- ввести материальное наказание за умышленную сотрудниками порчу оборудования или программ, несанкционированный доступ к серверам;
- штрафы за работу под чужой учётной записью;
- ответственность за хищение и передачу третьим лицам документов предприятия.

На сервере безопасности должны быть:
- Видеосервер, например AceCop для наблюдения за действиями сотрудников с помощью камер видеонаблюдения. Каждый день снимайте показания с видеосервера и храните их в сейфе, это может пригодиться в суде;
- программ показывающих время прихода и ухода сотрудников с работы;
- Антивирусный пакет того же класса как и у сервера сети;
- Логи посещения сайтов и скачивания программ всех участников сети;
- Программы для обеспечения дополнительной безопасности, например блокирующие использование флэшек на рабочих станциях.

Сервер безопасности должен быть защищен паролем входа в сеть, паролем на включение компьютера, а ещё лучше ключом таблеткой без которого не запускается.

Хочется отдельно написать про настройку рабочих станций сотрудников.

Лучше всего чтобы на каждой рабочей станции было установлено следующее программное обеспечение и сделаны следующие настройки:
- настроена локальная политика безопасности на запрет запуска всех программ с корня локальных дисков, что предотвратит распространение «червей»;
- установлен качественный бесплатный антивирус, например Avira AntiVir Personal Edition Classic, avast! Free Antivirus или AVG AntiVirus Free Edition;
- установлен качественный сетевой экран - Comodo Firewall, Jetico Firewall, или Filseclab Personal Firewal;
- пакет Microsoft Office или OpenOfficeOrg;
- Бесплатный браузер Google Chrome, Mozilla Firefox или Opera;
- легко настраиваемый интернет пейджер без рекламы – QIP или Miranda;
- почтовый клиент – рекомендую The Bat;
- обязательно назначьте каждому пользователю сети индивидуальный логин и пароль на включение компьютера, логин и пароль на базу 1С Предприятие, логины к доступу настроек программ и логин прокси сервера для использования интернет. Учетные записи должны быть без администраторских полномочий, для того чтобы сотрудники не могли самостоятельно устанавливать софт или изменять реестр Windows. Заводите безымянные логины – например для администраторов – AdminOhr, AdminLan, AdminEternet и для простых пользователей без прав администратора manager, manager1, meneger2… Распечатайте все логины и уберите в сейф, не храните логины и пароли в файле на рабочем столе;
- клиентский вариант 1С Предприятие.

Непременно покупайте почтовые адреса для предприятия, например, во всемогущем Google. Там вам с радостью продадут пакет из пятидесяти или больше ящиков в аренду на год или более за достаточно небольшую сумму. Обязательно используйте у себя на предприятии почтовые программы, а не просто вход в почтовый ящик используя обозреватель. В качестве почтовой программы предлагаю вам использовать The Bat. Преимущество почтовой программы в том, что открывая письмо со спамом, скачанное с сервера на локальный компьютер вы не рискуете запустить скрипт внутри вашего почтового ящика в интернете и потерять ваши личные данные или вообще свой почтовый ящик. Почтовые программы соединяются по защищенному шифрованному протоколу к почтовому серверу и дают возможность при получении почты поработать спам фильтрам антивирусных пакетов. Преимуществами почтовых программ является ещё и тот факт, что они имеют настраиваемые правила сортировки писем, и возможности архивации полученной почты.

Конечно, если ваше предприятие готово выделять деньги на обслуживание сети лучше пользоваться платными антивирусными решениями со встроенными файрволами и спам фильтрами. Можно экономить и купить только одну лицензию на антивирус и использовать его на всех рабочих станциях, всё равно при использовании прокси, сайт антивируса будет считать, что отдаёт базу только одному IP адресу.

Настраивая сеть предприятия по моему совету, вы можете избежать многих трудностей и избежать очень большого количества проблем.