af Gerry Blackgodt
til netværksadministratorer for store netværk er behovet for fuldmægtige servere–formidlere, der står vagt mellem et internt netværk og det åbne Internet–så grundlæggende, det siger næsten sig selv. Men i mindre organisationer, der mangler dedikerede IT-ressourcer, er behovet måske ikke helt så indlysende.
Sådan fungerer de
fuldmagter opfanger anmodninger om internetsider fra brugere i et virksomheds netværk og udfører en række opgaver i forbindelse med beskyttelse af netværket, forbedring af ydeevnen og håndhævelse af virksomhedens internetbrugspolitikker. Dette kaldes undertiden en fremadrettet fuldmægtigserver. Det er den slags, som stort set alle organisationer har brug for.
hvis din virksomhed også er vært for sine egne internetservere i sine lokaler, har du desuden brug for en omvendt fuldmagt til at udføre et komplementært, men noget anderledes sæt sikkerheds – og ydelsesrelaterede opgaver omkring anmodninger, der kommer fra internettet til dine servere.
vi vil i denne artikel fokusere på den første form for fuldmagt–og en servicebaseret variant af interesse for forbrugere og mobile forretningsbrugere.
fuldmagt, der videresender
når en intern bruger anmoder om en hjemmeside, går anmodningen gennem fuldmægtigserveren, så det ser ud til, at internettet kommer fra serveren – fra dens IP – adresse (eller en af dem) – og ikke brugerens enhed. Denne anonymitet giver et vigtigt mål for sikkerhed ved at reducere mængden af information om et netværk og dets brugere, der er let tilgængelige for hackere på internettet.
fuldmægtigserveren kan desuden udføre caching.
hvis dine brugere ofte har brug for at få adgang til bestemte sider på internettet, kan serveren hente og gemme kopier på sin harddisk, i cache og også løbende overvåge siden for ændringer og hente dem, når de vises, så den cachelagrede side er altid opdateret.
konsulent James Kin, ledende analytiker hos forsknings-og konsulentfirmaet Info-Tech Research Inc., siger caching fremskynder tingene for alle:
“så nu, når nogen anmoder om den side eller ressource, siger fuldmægtigserveren: ‘Vent, jeg har det lige her,’ og leverer det tilbage til slutbrugeren uden at skulle gå ud på internettet,” forklarer han.
dette fremskynder visning af cachelagrede sider for brugere og reducerer trafikken, der går ud over virksomhedens Internetport, hvilket potentielt reducerer Båndbreddekrav og overbelastning, der kan forringe den samlede ydelse.
kontrol af internetsurfing
et tredje vigtigt sæt stedfortræderserveropgaver vedrører håndhævelse af virksomhedens politikker og begrænsninger omkring brug af internettet.
i organisationer, der tillader medarbejdere ubegrænset adgang til internettet, men offentliggør politikker, der begrænser personlig brug–ingen spil, porno eller hadlitteratursider, for eksempel eller kun under frokost og pauser–netværksadministratorer kan overvåge stedfortræderserverlogfiler for at få øje på brugere, der sædvanligvis overtræder politikker.
men overvågning af fuldmagter kan være en vanskelig forretning, advarer konsulent Steve Armstrong, teknisk sikkerhedsdirektør hos UK-baseret konsulent LogicallySecure.
nogle virksomheder begår fejlen ved at installere en fuldmagt og derefter aldrig se på den igen og spilder således meget af dets potentielle nytteværdi, siger Armstrong. Men andre bruger for meget tid på at pore over logfiler. “Det kan være næsten som forfølgelse eller chikane af brugere ved fuldmagt.”
hvis medarbejderne får lov til at bruge internettet til personlig surfing, kan for tæt overvågning resultere i privatlivets fred og arbejdsretlige overtrædelser af virksomheden-hvis en medarbejder for eksempel undersøger et medicinsk problem på sin frokosttid.
hvis administratorer nøje overvåger en medarbejders aktivitet uden særlig god grund–især i mangel af klart angivne politikker–og senere forsøger at anlægge disciplinære handlinger for overtrædelser, kan fagforeninger eller advokater muligvis kræve, at virksomheden blev offer for medarbejderen.
Automatiseringskontrol
men hvis politiske begrænsninger og overvågningspraksis er tydeligt angivet og underskrevet af medarbejderne, bør disse slags problemer ikke opstå, siger Armstrong.
alternativet er at bruge de grundlæggende filtreringsfunktioner til at blokere brugere, der går til bestemte steder. Det fungerer på samme måde som forældrefiltrering på hjemmenetværk.
på det enkleste niveau, hvis et begrænset sted føjes til en liste i serverprogrammet, når en bruger forsøger at surfe til det sted, afviser serveren anmodningen og returnerer en fejlmeddelelse.
tilføjelse af forbedrede funktioner med integreret filtreringsprogram eller brug af avancerede produkter som Microsofts Internet Security and Acceleration (ISA) Server gør det muligt at begrænse sider eller surfing generelt efter tidspunkt på dagen eller endda efter jobfunktion eller afdeling.
implementering
hvis du har læst så langt og ser behovet for en fuldmægtigserver, har du sandsynligvis brug for en konsulents tjenester for at hjælpe med at vælge produkter og implementere dem. Du kan købe programmer til at installere på en standard server. Mange sådanne produkter er open source, nogle af dem gratis.
det kunne være en fuldmægtig server apparat, specialbygget udstyr med programmel forudinstalleret. Eller det kan være et virtuelt fuldmægtigserverapparat, en server, der er logisk adskilt, men deler plads på en fysisk server med andre servere i et VM-program eller et andet virtualiseret servermiljø.
nogle fuldmægtige servere står alene, andre integrerer anden funktionalitet. En af de funktioner, der oftest kombineres med grundlæggende fuldmagt, er avanceret filtrering. Han hævder, at stand-alone fuldmægtige servere–som enhver enkelt-formål eller ‘punkt’ løsning – nødvendigvis medføre mere Ledelse overhead, så velsagtens give mindre mening for de fleste organisationer.
valg af fuldmægtig
typen og kvaliteten af fuldmægtigserverproduktet, du vælger, afhænger af en række faktorer, herunder opfattet risiko for ressourcer bag fuldmagten, niveau af risikotolerance og budget.
Info-Tech selv bruger open source fuldmægtig server, fordi det har rimelig høj risiko tolerance – at være godt fyldt med IT og sikkerhed færdigheder – og relativt lette caching og filtrering krav, siger han.
større organisationer med hundreder eller tusinder af brugere, mindre risikotolerance og behov for mere granulær filtrering eller tungere caching, kan kræve en mere robust løsning og kan også være bedre stillet med en, der tæt integreres med et eksisterende Cisco, Microsoft eller andet netværksmiljø, foreslår vi.
en ting at huske på, siger han, er, at fuldmægtigserveren udsættes for internettet. “Det er et meget let mål at angribe, og det er en betroet del af din interne netværksinfrastruktur. Så du skal være meget streng med hensyn til sikkerhed, du er nødt til at holde patches opdaterede og vedligeholde det religiøst.”
fuldmagt til forbrugere
du kan også få fuldmagt som en service, ofte gratis. Sideanmodninger går fra klientenheden ud over Internettet til en server, og derfra til det anmodede sted. Dette er hovedsageligt af interesse for forbrugerne, men kan også have applikationer til mobile brugere.
Hvorfor vil forbrugerne bruge fuldmagtsydelser?
privatliv og sikkerhed var de primære årsager oprindeligt. Online fuldmægtigtjenester giver den samme form for anonymitet som interne virksomhedsrepræsentanter, hvilket forbedrer sikkerheden, men appellerer også til internetsurfere, der gør indsigelse mod, at annoncører og andre kan spore, hvor de går på nettet.
Fuldmægtigstjenester gør også teoretisk et bedre stykke arbejde med at filtrere internetbårne ondsindede programmer. Om alle gør er en anden sag. Og nogle giver VPN-lignende kryptering mellem klienten og deres server for at beskytte mod data, der opfanges, når du bruger offentlige trådløse hotspots. Nogle få kan give caching, men det er usandsynligt, at det er så effektivt som i et virksomheds netværksmiljø.
Online TV
en stadig mere populær grund til at bruge en fuldmagtstjeneste i dag er at omgå regionale begrænsninger for adgang til online medier.
af licensårsager kan videosider som f.eks. De blokerer anmodninger fra IP-adresser, der vides at være uden for landet.
ved at bruge en fuldmagtstjeneste med servere i landet kan en bruger udenfor omgå disse begrænsninger. Din korrespondent, for eksempel, bor og arbejder i øjeblikket i Spanien og bruger fuldmagtstjenester til at streame TV-programmering fra britiske og amerikanske sider.
Sådan fungerer de
Fuldmægtigstjenester fungerer på en af tre måder. Med mange gratis tjenester surfer du blot til tjenesteudbyderens hjemmeside og skriver URL ‘ en til det ønskede sted i et adressefelt på siden. Andre kræver, at brugerne til at hente et lille program. Atter andre kræver, at abonnenter opretter en VPN-forbindelse i vinduer og indtaster et bruger-ID og adgangskode.
valg af fuldmagts service
mange fuldmagtsydelser er gratis. Nogle tilbydes af virksomheder til at fremme andre betalte internettjenester. De fleste understøttes på en eller anden måde. Der er også mange aggregatorer, såsom fuldmagt 4 Gratis, leverer konstant opdaterede lister over gratis fuldmægtige servere. Nogle opkræver endda et abonnementsgebyr for at give nem adgang til de nævnte tjenester. Få gratis tjenester er dog lige så pålidelige, hurtige eller sikre som betalte tjenester. Og mange af de gratis tjenester, vi prøvede, understøttede IKKE Flash i vores test.
din korrespondent bruger to Gratis ad-støttede tjenester fra Anchorfree, en Silicon Valley selskab. De kræver en app Hent. Udstationerede og Hotspot Shield har især påtrængende videoannoncering og omdirigering af sider, samt bannerannoncer indsat øverst på bro.serssider. Men annoncerne kan stoppes, Anchorfree-tjenesterne fungerer rimeligt godt, og de er gratis.
med mange gratis tjenester, reduceret gennemstrømning på grund af den ekstra router humle involveret i at komme til og fra serveren, betyder streaming kvalitet er dårlig til det punkt at gøre video uopnåelig.
Anchorfree – tjenesterne streamer imidlertid video fra BBC-og ITV-siderne i Storbritannien (udstationeret) og Hulu i USA (Hotspot Shield) til Spanien mere eller mindre fejlfrit-i det mindste over en hurtig (12 Mbps) internetforbindelse.
forretningsapplikationer
for vejkrigere, der skal oprette forbindelse til nettet i kaffebarer og andre offentlige hotspots, kan fuldmægtigtjenester med integreret VPN-funktionalitet være en hurtig og beskidt måde at tilføje en vis beskyttelse mod trådløs snooping. Når det er sagt, ville en VPN-tunnel gennem og kontrolleret af virksomhedens servere være mere pålidelig sikker.
på negativsiden, netværksadministratorer måske ønsker at være på udkig efter medarbejdere, der bruger offentlige fuldmægtig tjenester på kontoret. Det er en sandsynlig indikation af uofficiel søgning i bedste fald og muligvis internetbrug, der strider mod virksomhedens politikker.