Kilka miesięcy temu, na fali rosnącej popularności serwisu Nasza-klasa.pl, rozgorzała w Polsce dyskusja na temat blokowania dostępu do portalu w firmach i instytucjach publicznych. Pracownicy skarżyli się na niedopuszczalne naruszanie ich wolności osobistych, a pracodawcy argumentowali swoje posunięcia dbałością o własne interesy. Każda ze stron przedstawiała rozsądne argumenty, jednak problem pozostał. Nie ma co ukrywać – przeglądanie stron WWW poświęconych rozrywce, sprawdzanie prywatnej poczty czy robienie zakupów w godzinach pracy zdarza się bardzo często.

Wyniki badań pokazują, że ograniczanie internetowej aktywności osób zatrudnionych w sektorze małych i średnich przedsiębiorstw jest zjawiskiem powszechnym. Według ankiety przeprowadzonej na zlecenie firmy D-Link przez International Data Group ponad 80% firm stosuje różnego rodzaju działania regulujące. Do najczęściej blokowanych aplikacji należą oczywiście programy obsługujące wymianę plików:

Najpopularniejsze spośród blokowanych usług i aplikacji w firmach z sektora MSP (według badania przeprowadzonego przez International Data Group na zlecenie D-Link Polska).

Motywacje pracodawcy

Śledzenie i ograniczanie działań pracowników ma zapewnić nie tylko wysoką efektywność i kulturę pracy, ale także ochronić infrastrukturę informatyczną i zasoby firmy przed niepożądaną ingerencją. Pomijając już kwestię wydajności pracy podwładnych oraz oszczędności związane na przykład z racjonalnym wykorzystaniem przepustowości łącza internetowego, bezpieczeństwo informacji jest wystarczającym powodem do podjęcia określonych działań regulujących.

Beztroskie korzystanie z zasobów Sieci sprzyja niewątpliwie nie tylko wyciekowi poufnych danych, ale i naraża infrastrukturę informatyczną na ataki wirusów oraz szkody spowodowane działaniem oprogramowania typu malware i spyware, rozpowszechnianego przez niektóre witryny.

Kontrolowanie aktywności internetowej najczęściej dotyka osoby zatrudnione na stanowiskach najniższego i średniego szczebla i jest zazwyczaj powiązane z innymi działaniami monitorującymi: ewidencjonowaniem czasu pracy czy analizą billingów telefonicznych. Niektóre formy kontroli, jak na przykład weryfikacja korespondencji e-mailowej, dotyczyć mogą wszystkich zatrudnionych pracowników – oczywiście tych wykorzystujących w swojej pracy komputer.

W większości wypadków są oni powiadamiani o monitorowaniu ich stanowisk już w regulaminie pracy lub w formie specjalnych komunikatów, choć zdarza się także, że cały proceder odbywa się bez wiedzy i zgody zainteresowanych. Decyzje dotyczące sprawowania nadzoru nad aktywnością pracowników zapadają zwykle na najwyższych szczeblach organizacji, przy czym obowiązek wdrożenia odpowiednich narzędzi spoczywa najczęściej na zatrudnionych w firmie informatykach i administratorach sieci.

Bez narzędzi ani rusz

W zależności od przyjętych założeń przedsiębiorstwa i instytucje publiczne stosują różne środki kontroli i ograniczania aktywności pracowników. Do najmniej „inwazyjnych” należą na przykład: wprowadzanie w życie regulaminów i procedur korzystania z Internetu oraz tworzenia, składowania i rozpowszechniania danych, zbieranie informacji na temat wykorzystania łączy przez analizę logów routera i firewalla czy blokowanie ruchu na poziomie adresów IP, portów lub analizy pakietów.

Znacznie głębiej w sferę prywatności pracownika ingerują pozostałe metody: podglądanie pracy przy komputerze z wykorzystaniem usług zdalnego Pulpitu, zbieranie danych o wykorzystaniu komputera (programy, dokumenty, faktyczny czas pracy) za pomocą narzędzi szpiegujących czy też tworzenie kopii wiadomości e-mailowych i komunikatorów elektronicznych na poziomie serwerów usług.

W tym artykule przyjrzymy się podstawowym rozwiązaniom technicznym, które umożliwiają pracodawcy kontrolowanie wykorzystania infrastruktury informatycznej. Omówimy między innymi, na przykładzie urządzenia Linksys RV082, zalety routerów z wbudowanym firewallem, przeznaczonych dla małych i średnich przedsiębiorstw, routerów programowych budowanych na bazie Linuksa oraz dedykowanej dystrybucji Untangle, a także możliwości aplikacji do zdalnego podglądu ekranu TightVNC.

Kolejny odcinek tego krótkiego cyklu wypełni omówienie oprogramowania stworzonego specjalnie po to, by kontrolować wykorzystanie zasobów stacji roboczych przez ich użytkowników.

Reguły DHCP

Konfigurację zabezpieczeń firmowej sieci lokalnej warto zacząć od przypisania poszczególnym komputerom stałych adresów IP. W ten sposób będziemy mogli przyporządkować daną stację roboczą do konkretnego pracownika (pracowników). Ułatwi to nam chociażby późniejsze filtrowanie ruchu sieciowego za pomocą firewalla czy łączenie się ze zdalnym Pulpitem przy użyciu TightVNC. Postawione przed nami zadanie możemy wykonać na dwa sposoby – wprowadzając bezpośrednio parametry konfiguracyjne połączeń sieciowych dla każdego komputera z osobna lub zmieniając ustawienia DHCP (ang. Dynamic Host Configuration Protocol).

W tym drugim wypadku przypisujemy stałe adresy IP do unikatowych adresów MAC kart sieciowych – jest to rozwiązanie znacznie bardziej wydajne i elastyczne. Z puli adresów IP możemy także wydzielić kilka przydzielanych dynamicznie, na przykład gościom odwiedzającym naszą firmę. W uzasadnionych wypadkach, na poziomie serwera DHCP, ograniczymy także przydzielanie adresów IP do tych kart sieciowych, których adresy zostały jawnie zapisane na liście konfiguracyjnej DHCP (opcja Block MAC address not on the list), oraz zablokujemy te, które próbują użyć adresu innego niż wcześniej zdefiniowany (Block MAC address on the list with wrong IP address).

Warto jednak pamiętać, że zastosowanie statycznego adresowania komputerów w sieci lokalnej nie zabezpiecza nas w pełni przed nadużyciami. Sprytny użytkownik może zmienić adres MAC swojej karty i tym samym obejść reguły dostępu. Aby tego uniknąć, pracownicy firmy powinni korzystać z kont z ograniczonymi uprawnieniami, bez możliwości samodzielnej konfiguracji połączeń sieciowych.

 Przypisanie stałych adresów IP komputerom ułatwi ich identyfikacje w sieci. Wygodniej zrobić to na poziomie serwera DHCP, a nie za pomocą opcji konfiguracyjnych protokołu TCP/IP, dla każdej stacji roboczej z osobna.