Как закрыть торренты в организации
Почему необходимо блокировать торренты
Реально ли закрыть доступ к пиринговым сетям
Способы блокирования пиринговых приложений
Когда задача не поддается разрешению
Стоит ли бороться с торрент-клиентами
Почему необходимо блокировать торренты
Пиринговые сети, в отличие от сетей социальных, не несут в себе прямой угрозы рабочему процессу. «Убийцами рабочего времени» их не назовешь, скорее это вор-растратчик, несанкционированно потребляющий сетевые ресурсы организации. Если канал в Интернете оплачивается в зависимости от объема потребленного трафика, то пара-тройка любителей скачать многогигабайтный контент существенно увеличит эту статью расходов. Но даже если канал безлимитный, «качальщики» несут другую проблему: пиринговый многопоточный трафик мгновенно загружает внутрисетевые ресурсы и негативно влияет на качество передачи информации в локальной сети. Казалось бы, что мешает этим лицам качать дома, где практически у каждого из них безлимит? Не останавливает даже угроза наказания вплоть до увольнения. Извечное стремление получать что-то «на шару», а может, нежелание перегружать личную сеть трафиком – неясно. Но что бы ни было, проблема имеет место, и бороться с ней очень тяжело.
Реально ли закрыть доступ к пиринговым сетям
Торрент, как и многие другие пиринговые сети, полностью заблокировать непросто: концепция этой технологии такова, что при желании можно воспользоваться массой обходных маневров и маленьких хитростей, позволяющих обойти как прямые, так и косвенные запреты.
На сегодняшний день есть только один действенный способ прекратить эту практику: издать приказ по организации, устанавливающий строжайший запрет сотрудникам на использование несанкционированных сетевых приложений (и лучше перечислить при этом список исключительно разрешенных). Как говорится, «все что не разрешено – запрещено». Разумеется, в том же документе следует предусмотреть виды наказаний нарушителей. Банальные штрафы и лишение премии не произведут нужного воздействия, гораздо лучше обязать пойманного на месте преступления оплатить перерасход трафика или погасить ущерб от неправомочных действий (объем ущерба легко подсчитает бухгалтерия). Поверьте, сумма штрафа, вдвое превышающая среднемесячную зарплату, способна утихомирить самого злостного нарушителя, а упоминание о том, что четверть этой суммы уйдет тому, кто его «сдаст», ликвидирует эту порочную практику в корне. Впрочем, последняя мера может привести к неуютной рабочей атмосфере. Как бы то ни было, даже при внедрении административных методов нелишне озаботиться и мерами технического порядка.
Способы блокирования пиринговых приложений
На сегодняшний день можно назвать лишь ряд полумер, рассчитанных на то, что торрент-клиенты не поддерживают тот или иной сценарий работы. Например, можно требовать, чтобы любой сетевой трафик был аутенфицирован, но этот способ пригоден только для крупных организаций с развитой сетевой инфраструктурой. Несколько проще установить прокси-сервер и требовать от пользователей работать только через него, однако наверняка найдутся варианты обхода. В этом случае можно как минимум запретить торрент-клиенты по строке user-agent через http filter (но часть клиентов может это подделать) или через другую оригинальную для конкретного торрент-трафика сигнатуру.
Более действенными средствами считаются наборы политик, регламентированные предприятием, например разрешение посещать только определенный перечень интернет-ресурсов или контроль запуска только определенных приложений. Полезно также применение брандмауэров ISA и TMG, в которых следует реализовать аутентификацию трафика и прочие методы контроля.
Вообще, рассматривая возможные методы блокировки нежелательного трафика, можно выделить два ключевых подхода: индивидуальный (для каждого рабочего места) и групповой, или сетевой (для всех пользователей). Первый пригоден при небольшом количестве ПК (а при развитой структуре ИТ-подразделения – и для большого количества) и предполагает установку средств контроля на каждый компьютер в сети. В перечень таких средств входят брандмауэры, позволяющие заблокировать доступ к настройкам паролем: с их помощью запрещается как запуск и работа с сетью определенным приложениям, так и использование специфических портов (в идеале оставляется открытым только необходимый минимум) в сочетании с запретом пользователю устанавливать собственные программы (что опять-таки легко обходится). Кроме того, устанавливаются средства контроля, мониторинга и удаленного управления, автоматически сообщающие администратору об активизации неопознанного приложения или превышении квоты на сетевой трафик. Не стоит забывать и о персональных средствах доступа: подключение к локальной сети таким устройствам, как смартфоны, планшеты, ноутбуки и им подобным должно иметь жестко регламентированный характер.
Для большого количества рабочих мест проще применить глобальные (централизованные) методы, среди которых наиболее простым и действенным считается блокирование специфических портов. К сожалению, и это не панацея: опытные пользователи найдут способ перенаправить потоки на другие порты, но какая-то часть менее технически подкованных нарушителей все же отпадет. Второе действие – перенаправление внешних запросов на прокси-сервер, а также прохождение их через стандартный шлюз и брандмауэр, в которых должно быть реализовано все что возможно из методов защиты: блокирование портов (открытие только разрешенных), аутентификация трафика (с последующим запретом неразрешенного application/x-bittorrent), ограничение количества потоков, формируемых каждым компьютером в сети.
Кстати, последняя мера, наряду с шейпингом (ограничением) трафика, если и не прекратит доступ к торрент-сервисам, то сделает его бесполезным: скачивание даже небольшого МР3-файла может затянуться на сутки, что рано или поздно вынудит нарушителя отказаться от использования пирингового клиента на рабочем месте.
В качестве дополнительного средства можно применить сетевые снифферы и с их помощью отслеживать (вручную или автоматически) рабочие места, на которых используются пиринговые клиенты. Естественно, с последующим принятием как административных, так и технических мер.
Когда задача не поддается разрешению
Любое действие порождает противодействие, и нередко попытки наложить табу на те или иные права пользователей выливаются в тотальную войну с применением всех видов тяжелого вооружения. Противник вырабатывает все новые и новые методы обхода запретов, сетевые и системные администраторы совершенствуют способы защиты, руководство изобретает способы наказаний – а в итоге все стороны оказываются в проигрыше.
В этой ситуации гораздо разумнее последовать принципу «если невозможно что-то победить, его следует возглавить».
Иными словами, зачастую выгоднее всего изыскать разумный компромисс. Например, если внешний сетевой трафик компании не тарифицируется помегабайтно, достаточно организовать пользование торрент-ресурсами во внерабочее время. Этот способ неплохо подходит и для компаний, которым провайдеры готовы предоставить неограниченный трафик только в ночное время (скажем, с 00:00 до 8:00). Но и здесь предоставлять неограниченный доступ к ресурсам торрент-сервисов каждому пользователю с его персонального рабочего места не стоит. Куда более оптимальным решением станет установка торрент-сервера как централизованного ресурса, с предоставлением к нему авторизованного доступа сотрудникам на основе единой политики безопасности предприятия посредством веб-интерфейса. Получается, что сотрудник сможет в любое время разместить на сервере свои закачки, но активизируются они только в оговоренное время. Что называется, и волки сыты, и овцы целы: помимо того что сеть компании в рабочее время не будет загружена избыточным трафиком, так еще и появляется возможность контролировать предпочтения отдельных пользователей. А это, в свою очередь, предполагает устранение возможного конфликта с законом (например, в отношении распространения порнографии или нелицензионного ПО) и поощрение сотрудника. Скажем, тому, кто регулярно загружает специфический контент, можно на день рождения подарить «от компании» что-нибудь специфическое из области его интересов. Да и HR-отделу может быть весьма интересна дополнительная информация о сотрудниках.
Стоит ли бороться с торрент-клиентами?
Ответ один: однозначно стоит. Пиринговые сети весьма показательны как источник «конфликтного» контента в правовом плане. Пиратский софт, незаконные видео- и аудиоматериалы, другая информация, полученная посредством P2P-технологий, не просто аморальны, но и ставят организацию, в которой подобное нарушение допускается, в один ряд с нарушителями закона: ведь основной принцип торрент-сетей – «скачал сам, отдай другому». В итоге крупная уважаемая фирма рискует прослыть распространителем детской порнографии или подпасть под действие норм о нарушении лицензионного права.
Выбрать, какими методами бороться с подобной угрозой, забота исключительно руководства компании. Единственное, чего не следует делать ни в коем случае, так это превращать борьбу с нарушителями в затяжное противостояние с собственными сотрудниками. Выход – найти компромиссное решение, устраивающее обе стороны: установить строжайший контроль за разумным использованием рабочего времени, состоянием и работой локальной сети. А для поощрения «хорошего поведения» сотрудников не лишним будет и дополнительный бонус к заработной плате – хотя бы в виде законного права на скачивание кинофильма.
Опубликовано 07.09.2011