Данная статья описывает функциональные возможности и особенности программного блейда URL Filtering от компании Check Point, предназначенного для ограничения доступа сотрудников к потенциально опасным и нежелательным ресурсам в интернете.
2. Задачи и проблемы веб-фильтрации
4. Настройка и управление Check Point URL Filtering
Введение
Интернет широко используется практически во всех организациях и развивается столь динамично, что обеспечивать безопасность его использования в корпоративной среде — задача не из легких. Кроме того, почти всегда сотрудники используют интернет не только для решения служебных вопросов — много времени они проводят на сайтах, не относящихся к работе. Поэтому устанавливать программное обеспечение для фильтрации интернет-ресурсов необходимо не только чтобы соответствовать многочисленным законодательным требованиям и обеспечить защиту сети от всевозможных угроз, но и для повышения эффективности работы сотрудников.
Вредоносные программы, кража личной информации, неполадки сети — все это, к сожалению, реальность. По данным аналитиков «Лаборатории Касперского», доля проникновения вредоносных программ через сайты и браузеры составляет почти 50% от общего числа заражений, только за один квартал в 2014 году было зафиксировано почти 700 000 интернет-заражений. Аналогичные цифры приводит и компания Symantec — 76% всех атак осуществлялось через инфицированные сайты, 20% этих атак — критические. В числовом значении антивирусное решение Symantec блокировало доступ к 496 000 вредоносных страниц ежедневно. И это только известная и опубликованная статистика от антивирусных вендоров, общая картина выглядит еще более пугающе, если учесть количество компьютеров, не защищенных веб-фильтрами и антивирусными решениями. Таким образом, задача по фильтрации доступа пользователей к сайтам является более чем актуальной.
К косвенным убыткам можно отнести время, потраченное сотрудниками на развлекательных ресурсах, на общение в чатах и на форумах, покупки в интернет-магазинах и других сайтах. Зачастую ограничение доступа к некоторым сайтам и ресурсам сети может привести к существенному повышению эффективности работы.
Задачи и проблемы веб-фильтрации
Перед администраторами сети и специалистами по информационной безопасности встает задача фильтрации интернет-трафика. Выполнение ее необходимо для предотвращения заражения рабочих станций вирусами и исключения нецелесообразного использования сотрудниками интернета в личных целях.
Еще одна крупная проблема поджидает бизнес-пользователей в виде фишинговых сайтов и страниц, содержащих вредоносный код. Ссылки на такие сайты могут распространяться случайно или намеренно: например, целевая атака может быть реализована путем отправки этих ссылок на корпоративные электронные адреса. Решить подобную проблему и заблокировать доступ сотрудникам к «нехорошим» сайтам — тоже задача службы информационной безопасности.
Но при решении выше озвученных задач возникает ряд проблем. Так, необходимо не просто фильтровать веб-трафик, но и разграничивать доступ пользователей к ресурсам , ведь сотрудники разных отделов выполняют разные задачи. Например, сотрудники отдела маркетинга должны иметь доступ к социальным сетям и форумам, чтобы продвигать корпоративные продукты в этой среде, в то время как для остальных пользователей данные сайты должны блокироваться, чтобы они не использовались в личных целях.
Другая проблема — качество фильтрация трафика, ведь веб-трафик может содержать в себе не только простые страницы с прямыми URL-адресами, но и встроенные скрипты, скрытые переходы и защищенные веб-приложения. К тому же далеко не все пользователи спокойно переносят запреты и блокировки, а интернет предлагает им множество простых решений для обхода фильтров — прокси-серверы, расширения для браузеров, веб-прокси и так далее, с этими обходными путями тоже необходимо бороться.
Учитывая все проблемы и задачи, можно прийти к выводу, что простой веб-фильтр по URL-адресам в межсетевом экране или антифишинговые фильтры, встроенные в антивирусные продукты, не решают проблему комплексно и не могут применяться в полноценных сетевых инфраструктурах, в первую очередь, из-за ограниченного функционала и сложной процедуры настройки. Для полноценной реализации фильтрации сайтов продукт должен обладать широкими функциональными возможностями — поддерживать различные режимы фильтрации, не только блокировку доступа, но и возможность получения доступа по запросу или после предупреждения пользователя об опасности. Также продукт должен обладать гибкой настройкой аудита для отслеживания активности пользователей и системой работы с инцидентами, основанной на степени риска. Кроме этого, в продукте должна быть возможность управлять политиками доступа, и он должен обладать встроенной базой данных сайтов, которая поддерживается в актуальном состоянии и регулярно обновляется. Компанией Check Point разработан специальный продукт для решения задач веб-фильтрации — программный блейд Check Point URL Filtering.
Функциональные возможности
Check Point URL Filtering является программным блейдом, данная технология разработана компанией Check Point и значительно расширяет функциональность аппаратных и программных устройств Check Point. Как и другие программные блейды, некоторые из которых уже обозревались на нашем сайте, Check Point URL Filtering устанавливается и функционирует на всех аппаратных устройствах линейки Check Point, а также может быть развернут на программных и виртуальных решениях Check Point. Check Point URL Filtering не предъявляет системных требований к операционным системам и браузерам пользователей, одинаково поддерживая любые веб-браузеры и другие приложения, использующие протоколы HTTP и HTTPS.
Этот продукт обеспечивает защиту корпоративных ресурсов благодаря ограничению доступа сотрудникам к потенциально опасным сайтам и другим веб-ресурсам. В Check Point URL Filtering встроены средства веб-фильтрации, использующие обширную базу данных URL-адресов по различным категориям угроз. Программный блейд также позволяет задать наиболее подходящую для каждого случая политику защиты от дополнительных угроз, включая шпионские программы, вирусы и другие веб-атаки. Кроме того, продукт обладает возможностью настройки правил доступа пользователей к ресурсам интернета.
Основные возможности Check Point URL Filtering:
- Блокировка доступа пользователей к небезопасным веб-сайтам — база продукта содержит более двадцати миллионов адресов небезопасных страниц. В эту категорию входят страницы, зараженные вредоносными скриптами, фишинговые сайты, т. е. страницы, маскирующиеся под известные сервисы, страницы со ссылками на зараженные файлы и многие другие объекты, доступ к которым для пользователя может быть опасным. Черный список страниц динамически обновляется из облака Check Point, поэтому база вредоносных адресов постоянно находится в актуальном состоянии.
- Динамическая проверка загружаемых страниц — программный блейд проверяет содержимое загружаемых страниц, делает оперативные запросы в облако Check Point и позволяет определить небезопасное содержимое и на лету заблокировать передачу информации к пользователю.
- Поддержка политик доступа к веб-ресурсам — Check Point URL Filtering позволяет назначать и управлять политиками разрешения и запрета доступа к различным веб-ресурсам как для отдельных пользователей, так и для групп.
- База знаний сайтов и веб-приложений — обладая информацией о более чем 4 000 приложений web 2.0, о 300 000 веб-виджетов и более двадцати миллионов веб-сайтов, продукт позволяет через политики безопасности разграничить доступ к отдельным категориям сайтов без необходимости вручную указывать отдельные адреса.
- Ограничение по времени доступа к сайтам и объему передаваемой информации — Check Point URL Filtering поддерживает управление доступом на основе проведенного на сайтах времени и объеме переданного трафика. Например, можно разрешить доступ к сайтам с архивами файлов до определенного лимита загруженного объема информации или разрешить ограниченный по времени доступ к ресурсам, не имеющим отношения к работе.
- Фильтрация веб-трафика, направляемого через прокси-сервер или по нестандартным портам и протоколам — программный блейд не позволяет пользователям применять инструменты для обхода фильтрации, обеспечивая контроль любого трафика, даже отправляемого через прокси-сервера, веб-прокси или нестандартные TCP-порты.
- Проверка HTTPS-трафика — Check Point URL Filtering, в отличие от многих других подобных решений, позволяет фильтровать защищенный шифрованный веб-трафик, передаваемый по протоколу HTTPS.
Check Point URL Filtering способен обеспечивать обработку веб-трафика на скорости до 7 Гбит/сек. и допускает одновременную работу до 500 000 подключений. Решение также поддерживает кластеризацию — несколько Check Point URL Filtering можно объединять в кластеры высокой доступности. Таким образом, продукт подходит для информационных систем любых размеров.
Настройка и управление Check Point URL Filtering
Управление политиками и настройками Check Point URL Filtering осуществляется, как и для других программных блейдов, из консоли управления Check Point SmartDashboard. Интерфейс управления Check Point URL Filtering называется Application & URL Filtering и открывается из соответствующей вкладки в верхнем окне программы.
Рисунок 1. Главный экран управления Check Point URL Filtering
На первом экране управления Check Point URL Filtering представлен перечень устройств Check Point, оснащенных программным блейдом URL Filtering, отображаются важные сообщения и графическая статистика использования интернета — по ресурсам и по пользователям.
Рисунок 2. База веб-приложений и сайтов в Check Point URL Filtering
В боковом меню представлены категории для настройки и управления продуктом. В разделе AppWiki содержится база знаний о веб-приложениях и сайтах. Все веб-приложения поделены на категории — анонимайзеры (веб-прокси), блоги и персональные страницы, страницы плагинов для браузеров, бизнес-приложения, обучение и так далее. Кроме категорий у веб-приложений есть метки-теги, по которым также можно проводить фильтрацию. Теги дополняют категории и проставляются для веб-страниц по типу представленной на них информации. Дополнительно каждый сайт классифицирован по степени риска — от незначительного до критического. Базой сайтов нельзя управлять — она автоматически обновляется из облака Check Point и используется в политиках безопасности. Управление отдельными сайтами осуществляется из раздела Application/Sites, в нем можно добавлять и изменять собственные веб-адреса.
Рисунок 3. Редактирование сайта, заданного администратором, в Check Point URL Filtering
При добавлении сайта указывается его название, добавляются URL-адреса — вручную или из CSV-списка — и указывается категория сайта. При указании URL-адресов поддерживаются регулярные выражения, с помощью которых можно покрыть большое количество страниц одной строкой. Категориями сайтов также можно управлять, добавляя новые по желанию администратора.
Рисунок 4. Настройка HTTPS-шлюза в CheckPointURLFiltering
В разделе Gateways осуществляется управление устройствами Check Point, на которых установлен программный блейд Check Point URL Filtering. В статусе отображается активность компонента и актуальность базы сайтов. В параметрах настраиваются опции HTTP-фильтрации, режимы работы с HTTPS-трафиком, параметры авторизации пользователей и другие. Для анализа HTTPS-трафика необходимо для каждого фильтрующего устройства сгенерировать SSL-сертификат, затем внедрить его на все компьютеры в защищаемой сети и включить анализ трафика на устройстве. При обнаружении запроса к зашифрованному веб-трафику Check Point URL Filtering перехватывает управление запросом и становится инициатором сессии, получая в свое управление ключи для шифрования. При этом браузер пользователя общается только с сервером Check Point URL Filtering и получает трафик в перезашифрованном виде с помощью SSL-сертификата шлюза. Для конечных пользователей данная схема работает прозрачно и не требует дополнительных действий.
Рисунок 5. Настройка выводимых пользователю сообщений в Check Point URL Filtering
Check Point Application Control информирует пользователей о различных аспектах их работы с интернет с помощью информационных сообщений — они отображаются вместо запрашиваемых страниц. Вся выводимая пользователю информация настраивается в разделе UserCheck. Страницы сообщений поддерживают многоязычность, имеют простой и мобильный вид и интерактивны. Check Point Application Control сообщает не только о том, что доступ заблокирован, указывая причину блокировки (нарушение политики безопасности, вредоносный сайт и т. д.), но и предупреждает пользователя, если тот пытается открыть разрешенный, но не доверенный сайт — так можно быть уверенным, что пользователь отдает себе отчет в собственных действиях.
В разделе Limit настраиваются шаблоны лимитов, которые затем применяются в политиках. В каждом элементе шаблона задается его название, объем исходящего и входящего трафика.
Рисунок 6. Управление политиками Check Point URL Filtering
И, наконец, основной раздел управления политиками — Policy. В данном разделе собраны основные правила работы Check Point Application Control. Каждый элемент политики содержит следующие параметры:
- Количество срабатываний политики — параметр, показывающий, сколько раз пользователи активировали срабатывание данной политики.
- Название политики для удобства управления.
- Направление доступа — задает зону действия политики, можно указывать в качестве зоны «Интернет» или ресурсы в локальной сети для разграничения доступа к внутренним веб-порталам.
- Веб-приложение/сайт — выбор сайтов и веб-приложений, для которых применяется политика. Можно указывать один или несколько веб-сайтов, заданные в разделе Application/Sites или из базы данных AppWiki, и набор категорий.
- Действие — поддерживаются действия «Разрешить», «Предупредить пользователя», «Спросить пользователя», «Заблокировать» и ограничения — выбор лимита трафика из раздела Limit или ограничение по количеству разрешенных доступов — раз в неделю, раз в месяц, раз в день или заданное число раз в день. Действия можно комбинировать с ограничениями.
- Отслеживание — поддерживаются различные варианты уведомления администратора: «Запись в лог», «Вывод предупреждения», «Отправка сообщения по электронной почте», «Отправка SNMP-уведомления». Отслеживания можно комбинировать и выбирать несколько вариантов.
- Выбор шлюзов для применения политики.
- Время действия — выбор времени суток, дней месяца и недели, когда политика применяется.
- Комментарий для удобства управления.
Выводы
Программный блейд Check Point URL Filtering эффективно и комплексно решает задачу фильтрации интернет-трафика. Он ограничивает нецелевой доступ сотрудников к посторонним ресурсам, ведущий к нерациональному использованию сети и рабочего времени, и обеспечивает тем самым непрерывность и целостность бизнес-процессов.
При этом кроме фильтрации веб-трафика Check Point URL Filtering поддерживает также разграничение доступа по пользователям, времени работы, объему передаваемой информации и фильтрацию защищенного шифрованного веб-трафика, передаваемого по протоколу HTTPS.
Сильных сторон у данного решения множество — главной из них является система централизованного управления политикой ИТ-безопасности с единой консоли администратора, что позволяет сократить время на обучение персонала и на обслуживание системы, особенно если другие решения Check Point уже используются в компании. База знаний сайтов и веб-приложений позволяет через политики безопасности разграничить доступ к отдельным категориям интернет-ресурсов без необходимости вручную указывать отдельные адреса. А динамически обновляемая из облака Check Point база адресов небезопасных страниц (черный список) облегчает блокировку доступа пользователей к страницам, зараженным вредоносными скриптами, фишинговым сайтам, страницам со ссылками на зараженные файлы и многим другим объектам, доступ к которым может быть опасным для пользователя и компании в целом.