Как включить SWG в инфраструктуру организации (Secure Web Gateway)

Как включить Secure Web Gateway в инфраструктуру организации

Как включить Secure Web Gateway в инфраструктуру организации

Расскажем об особенностях размещения системы Secure Web Gateway (SWG) в сети предприятия: выборе схемы подключения (режима работы прокси), обеспечении балансировки трафика, отказоустойчивости и работы в территориально-распределённом режиме. Также ответим на вопросы о том, что такое прокси-сервер, на котором базируется класс решений SWG, и зачем он нужен.

 

 

 

 

 

  1. Введение
  2. Возможные схемы подключения SWG
  3. Возможность работы в территориально-распределённом режиме
  4. Выводы

Введение

Работа прокси-сервера похожа на работу межсетевого экрана, только на уровне приложений в модели OSI. Разница в том, что МЭ фильтрует трафик между клиентом и сервером по IP-адресам, портам и протоколам, а прокси — по URL, запросам в поисковой строке, контенту и ряду других параметров уровня приложений.

Работу прокси-сервера можно представить как одновременное выполнение двух ролей: посредника и представителя.

В роли посредника прокси-сервер занимает место между клиентом и сервером, весь трафик между ними проходит через него. При этом прокси может фильтровать как HTTP-запросы клиента, так и ответы сервера. Таким образом, прокси-сервер в рамках политики ИБ ограничивает запросы пользователя и следит, чтобы злоумышленник не передал вредоносный код в ответе от сервера.

В роли представителя прокси-сервер запоминает клиента и адресата запроса, чтобы сделать этот же запрос уже от своего имени. Технически прокси запоминает, от кого пришёл пакет, вскрывает его до уровня приложений, проводит его через фильтры и формирует запрос к ресурсу, который интересовал пользователя. Таким образом получается скрыть «внутреннюю кухню» от посторонних глаз. Ведь запросы всех клиентов внутренней сети не будут попадать во внешнюю сеть, за клиентов их передаст посредник, то есть прокси-сервер. Злоумышленник, проанализировав трафик внешней сети, не сможет установить количество клиентов во внутренней сети, их ОС и прочие метаданные, чтобы провести атаку через известные уязвимости.

Возможные схемы подключения SWG

Разобравшись, что это за прокси-сервер такой, можно сделать вывод о его расположении в сети предприятия. Самым очевидным кажется, что сервер должен располагаться на пути следования трафика, между клиентом и сервером. С точки зрения физического подключения это не совсем так, ведь поток трафика можно завернуть на прокси-сервер с помощью маршрутизации. Тут мы подходим к режимам работы прокси-серверов, их всего три.

Явный режим работы

В настройках хоста конечного пользователя прописывается адрес прокси-сервера. В этом случае все HTTP-запросы будут инкапсулироваться в IP-пакеты, где получателем указан не адрес сервера в интернете с искомой страницей, а адрес прокси.

Явный прокси подходит, когда требуется аутентификация пользователей и нет ограничений по их адресам, т. е. с одного IP-адреса могут подключаться несколько пользователей.

 

Рисунок 1. Прокси-сервер в явном режиме работы

Прокси-сервер в явном режиме работы

 

Прозрачный режим работы

С точки зрения хоста конечного пользователя никакого прокси-сервера нет и никаких настроек не требуется, всё прозрачно. HTTP-запросы помещаются в IP-пакеты с адресом получателя и отправляются в путь. Дальше пакет попадает на роутер; там протокол WCCP упаковывает его в пакет GRE, где получателем указан прокси-сервер. Ещё одной особенностью такой схемы является отсутствие аутентификации пользователей.

 

Рисунок 2. Прокси-сервер в прозрачном режиме работы

Прокси-сервер в прозрачном режиме работы

 

Прозрачный режим подходит для ситуаций, когда нужно скрыть наличие прокси-сервера в сети. Также отличительной чертой является отсутствие аутентификации пользователей. Недостатками становятся возросшая сложность подключения и отсутствие возможности различить трафик от нескольких пользователей с одного IP-адреса.

Обратный прокси

В этом режиме вектор работы меняется на противоположный. Если два предыдущих режима работы скрывали хосты клиентов от внешнего мира, то обратный прокси скрывает от него серверы. Хост клиента с помощью DNS находит искомый адрес сервера в интернете и отправляет запрос. Вот только никому из них не известно, что на самом деле это не адрес сервера, а адрес прокси. Получив пакет от пользователя, прокси вскрывает его до уровня приложений, проводит через фильтры политики безопасности и передаёт во внутреннюю сеть к искомому ресурсу.

 

Рисунок 3. Прокси-сервер в обратном режиме работы

Прокси-сервер в обратном режиме работы

 

Обратный режим подходит для защиты серверов веб-ресурсов и приложений от тех угроз, которые исходят от пользователей.

Как обеспечить балансировку трафика и отказоустойчивость?

Если предположить, что предприятие, на котором развёртывается прокси, невелико — например, это офис на пару сотен сотрудников, — то прокси может быть реализован единой нодой. А что делать большой корпорации с десятками тысяч сотрудников? Даже самые мощные энтерпрайз-решения, представленные одной нодой, сдадутся перед такой нагрузкой.

На помощь приходит технология балансировки трафика между несколькими серверами. Реализовать такой подход позволяет программа HAProxy, суть её проста: трафик от клиентов попадает на сервер балансировки HAProxy, который распределяет его между несколькими прокси-серверами. При этом сам сервер балансировки может также выполнять функцию прокси-сервера, распределяя трафик между собой и другими серверами, однако так лучше не делать.

 

Рисунок 4. Балансировка трафика с помощью HAProxy

Балансировка трафика с помощью HAProxy

 

Преимущества такого подхода — в масштабируемости и простоте настройки. Если с ростом числа пользователей и трафика прокси-серверы перестают справляться, то можно добавить ещё несколько серверов без особых проблем. И вот теперь можно представить идиллическую картину: достигнуты гармония и равновесие, серверы справляются с нагрузкой, пользователи довольны скоростью работы интернета, все счастливы и беззаботны, как вдруг всё рушится вместе с сервером балансировки. Всё потому, что сервер балансировки может быть только один. Или нет?

Нам нужно, чтобы балансировщиков было несколько, но работал только один. Это значит, что если один сервер балансировки выйдет из строя, его место займёт другой. Таким образом мы плавно подошли к теме отказоустойчивости, а именно — работы протокола VRRP. Virtual Router Redundancy Protocol объединяет несколько серверов в один виртуальный с общим IP-адресом.

Серверов балансировки трафика становится два. Первый находится в активном режиме, держит виртуальный IP-адрес, на который обращаются клиенты, распределяет трафик между прокси-серверами. В это время второй пристально следит за состоянием первого (на самом деле просто ждёт, пока первый перестанет отправлять ему пакеты) и при его падении «подхватывает упавшее знамя» — поднимает виртуальный IP-адрес и продолжает дело павшего товарища. Таким образом слабое место технологии перестает быть таковым.

 

Рисунок 5. Обеспечение отказоустойчивости балансировщика трафика HAProxy с помощью VRRP

Обеспечение отказоустойчивости балансировщика трафика HAProxy с помощью VRRP

 

В случае когда необходимо повысить отказоустойчивость в прозрачном или обратном режимах работы, действуем по сценарию с VRRP. Для прозрачного режима маршрутизатор, который перенаправляет трафик на проверку по протоколу WCCP, строит туннель с виртуальным адресом активной ноды.

В случае с обратным прокси тоже можно использовать VRRP. Таким образом трафик клиента изо внешней сети попадает на виртуальный адрес активного сервера и дальше на искомый ресурс.

Возможность работы в территориально-распределённом режиме

Территориально-распределённый режим работы — это возможность располагать элементы системы на хостах в разных местах. Другими словами, один из элементов системы может располагаться в головном офисе, а другой — в филиале. При этом система сохраняет работоспособность. Нужно это для повышения производительности. Например, прокси-сервер включает в себя потоковый антивирус, а эта функция очень прожорлива в плане вычислительных ресурсов и её лучше перенести на отдельный сервер. Также возможно вынесение сервиса управления на отдельный сервер.

Выводы

Какие выводы можно сделать о положении прокси-сервера в контуре безопасности?

  • Прокси-сервер должен быть расположен на пути течения трафика от источника к получателю. Это условие необязательно выполнять физически, можно завернуть трафик на прокси-сервер с помощью маршрутизации.
  • Прокси может работать во внутренней сети в обратном режиме для защиты серверов компании от пользователей.
  • В прямом или обратном режимах работы прокси-сервер может быть расположен на границе со внешней сетью. В первом случае это делается для защиты внутренних пользователей, а во втором — для защиты серверов ото внешних угроз.
  • Производительность и отказоустойчивость прокси могут быть повышены за счёт использования технологий HAProxy и VRRP. Также некоторые модули комплекса, например потоковый антивирус, можно вынести на отдельные хосты.

В заключение всего сказанного хочется отметить, что единого рецепта применения прокси-сервера нет. Чётко сформулированные требования ко прокси-серверу и знание объекта защиты помогут принять верные решения на этапе проектирования системы.

Предлагаем вашему вниманию материалы, опубликованные ранее: статьи о пилотном внедрении Solar webProxy и о возможностях его интеграции со средствами киберзащиты, обзор Solar webProxy версии 3.7 и сравнение Secure Web Gateway (SWG), а также статью о шлюзах SWG, позволяющую подобрать оптимальный вариант их внедрения в условиях импортозамещения.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru