Навигация:  Traffic Inspector > О программе > Основные функции >

Авторизация

Previous pageReturn to chapter overviewNext page

Авторизация - это решение задачи, чей это трафик. В программе поддерживаются следующие типы авторизации:

 

По сетевым адресам: IP, MAC, IP + MAC, диапазон IP-адресов.
По имени.
По e-mail-адресу получателя: используется в SMTP-шлюзе для учета почтового трафика пользователя (см. далее).

 

При авторизации по сетевым адресам пользователя всегда считается авторизованным, т.к. его адреса заранее известны. Этот тип авторизации наиболее подходит, например, к серверам.

 

При авторизации по имени пользователя должен пройти аутентификацию.

 

Трафик в программе снимается двумя способами: с сетевого драйвера и прокси-сервера (HTTP и SOCKS). При соединении пользователя с прокси-сервером через HTTP-прокси или SOCKS версии 5 используется аутентификация в рамках сетевого протокола. В трафике, снятом с драйвера, никакой аутентификации не подразумевается - в этом случае для авторизации могут использоваться только сетевые адреса - IP и MAC.

 

Для реализации возможности авторизации по имени для любого трафика применяется принцип сквозной авторизации. Из чего следует, что если с какого-то IP-адреса пользователь прошел процедуру аутентификации, то в дальнейшем весь трафик с этого IP-адреса уже относится к данному пользователю. Состояние авторизации пользователя будет удерживаться некоторое время - в течение заданного в настройках тайм-аута или пока не закроются все TCP- соединения HTTP прокси-сервера или SOCKS.

 

Для более общего случая работы пользователя предусмотрена отдельная программа - клиентский агент. Агент запускается на компьютере пользователя, производит аутентификацию с сервером программы, и после этого весь трафик с IP-адреса пользователя считается авторизованным.

 

Агент может работать по протоколам:

 

UDP с сервером авторизации. Используется порт 999. Сервер авторизации доступен на всех IP-адресах внутренних интерфейсов.
HTTP/SSL, c использованием встроенного web-сервера. Подробности смотрите в разделе, где он описан.

 

Можно пройти авторизацию с помощью функции API, с возможным использованием сторонними приложениями.

 

При авторизации по имени допустима аутентификация:

 

Встроенная учетная запись: имя и пароль задаются в программе. При аутентификации агентом по UDP данные шифруются, но для HTTP (без SSL) и SOCKS5 пароли передаются открытым текстом - тип аутентификации BASIC. Пользователь может быть предоставлено право самому менять пароль через агента.
Интегрированная Windows аутентификация: применяются встроенные учетные записи Windows или Active Directory. Поддерживается работа с несколькими доменами. При аутентификации агентом используется NTLM, а для HTTP - как NTLM, так и BASIC.

 

Вариант авторизации по имени наиболее предпочтителен, т.к. позволяет вести учет, в каком случае несколько пользователей работают на одном компьютере, а в каком - пользователь может работать на разных компьютерах. Это типичная ситуация при работе в сети предприятия.

 

Для провайдера при подключении пользователей к сети Интернет (например, домовой сети) также рекомендуется авторизация по имени, т.к. IP-адрес или MAC очень легко подделать. Предпочтительней обратиться к агенту - он для аутентификации использует методы криптозащиты. С целью лучшей защищенности предусмотрена возможность запретить аутентификацию открытыми паролями через прокси, встроенный web-сервер или SOCKS.

 

Авторизация по имени подразумевает работу одновременно только с одного IP-адреса. Попытка войти под именем пользователя, который уже работает, с другого IP-адреса, будет пресечена.

 

Также недопустима авторизация нескольких пользователей с одного IP-адреса - нарушается принцип сквозной авторизации. Хотя в некоторых случаях это может потребоваться: например, при работе нескольких пользователей с сервера терминалов. Для такого случая предусмотрен запрет сквозной авторизации с определенных IP-адресов. В этом режиме возможна работа только через HTTP-прокси и SOCKS с обязательной аутентификацией в каждой HTTP-(SOCKS-)сессии.

 

Ограничения авторизации и контроль политики

 

При авторизации по имени можно задать ограничения:

 

IP-адрес или диапазон адресов, с которых допускается авторизация.
MAC-адрес.
VLAN Id.

 

Может быть включен контроль политики авторизации - будут фиксироваться все попытки авторизации при несовпадении сетевых адресов, заданных в параметрах авторизации пользователя. Эти события фиксируются в логах программы, администратор может быть оповещен по электронной почте, а подробные данные учитываются в отдельной сетевой статистике.

 

В качестве предупреждающей меры пользователь может быть автоматически заблокирован на заданное время.

 

Если у пользователя в параметрах авторизации прописан MAC- и IP-адрес, то может быть включено назначение статических ARP-записей в стеке TCP/IP системы. В таком случае служба программы сама создает и ведет ARP-таблицу системы. Эта мера ускоряет работу сети, т.к. системе не надо рассылать ARP-запросы, а также значительно повышает безопасность сети в целом.

 

Программа отслеживает появление пользователей с параметрами авторизации, которые дублируют друг друга. Такое возможно при ошибках администратора, что позволяет исключить различные коллизии. Если авторизация по имени, то отслеживается уникальность имени; если авторизация по сетевым адресам, то по ним. Уникальность не отслеживается для пользователей в состоянии "запрещен", что позволяет держать в списке несколько пользователей одинаковыми параметрами авторизации, но работа разрешена будет только одному.

 

Автоматическое добавление пользователей

 

Для пользователей Windows может быть использована функция автоматического добавления пользователей в программу. Эта возможность упрощает труд администратора программы при большом количестве пользователей. Заменяет инструменты импорта пользователей из Windows, делая эту задачу более удобной. Подробнее функция описана в разделе настроек пользователей.

 


Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?howworkauth.htm

Сайт разработчиков Traffic Inspector