UserGate 9/18/20 1:23 PM Page 12
ТЕХНОЛОГИИ
Проблемы контент-фильтрации в межсетевых экранах Иван Чернов, менеджер партнерского отдела UserGate
Межсетевые экраны нового поколения уже полноценно обрабатывают
В корпоративных сетях необходимо решать задачи предотвращения утечек информации, фильтрации нежелательного контента, обнаружения и нейтрализации атак. Фильтрация интернеттрафика значительно увеличивает безопасность локальной сети, так как позволяет обеспечить административный контроль за использованием Интернета, закачками и обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.
соединения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализировать трафик приложений и данные, передаваемые приложениями.
Расшифровка SSL-трафика и работа на прикладном уровне модели OSI позволяют шлюзу проводить полноценный морфологический анализ содержимого и распознавать отдельные слова и словосочетания в трафике, идущем со стороны веб-сайтов.
Фильтрации HTTPS Решение задачи фильтрации осложняется ростом объемов SSL-трафика, его доля в российском сегменте Интернета к осени 2020 г. приблизилась к 95%1, а внедрение поддержки TLS 1.3 на многих сайтах внесло дополнительные требования к возможности дешифрования защищенного трафика. Современное решение этой задачи заключается в использовании технологии "человек посередине" (Man-in-the-Middle, MitM), где роль "человека" играет межсетевой экран. Упрощенно это происходит так: l шлюз инспектирует соединение, использующее протокол TLS 1.3, от клиентского устрой-
ства до веб-сайта, на который поступает запрос пользователя; l после получения ответа от веб-сайта информация передается шлюзом на клиентское устройство также по защищенному протоколу, но уже с сертификатом, выданным шлюзом безопасности. Благодаря такой схеме у шлюза имеется возможность инспектировать трафик, передаваемый в защищенный сегмент сети извне, а также и трафик, передаваемый из внутренней сети на внешние адреса. В результате весь зашифрованный SSL-трафик, включая TLS 1.3, анализируется с применением полного набора методов фильтрации, поддерживаемых шлюзом, в том же режиме, что и нешифрованный. В UserGate для анализа трафика применяются в том числе сигнатурный анализ, проверка на наличие вирусов и выявление признаков атак на элементы инфраструктуры. Все подозрительные активности записываются в журнал. Кроме того, если необходимо, трафик может передаваться в сторонние средства защиты информации, например в песочницы, чтобы уже там выявлять угрозы определенных типов. Фильтрация и протоколирование трафика осуществляется в реальном времени, без видимых задержек для пользователей сети или лиц, осуществляющих атаку.
Фильтрация на уровне приложений Классические межсетевые экраны обрабатывают трафик с первого по четвертый уровень модели OSI, то есть с физического уровня по транспортный, и, как правило, оперируют только ip-адресом, портами источника, назначения и типом используемого в соединении транспортного протокола. Множество приложений сейчас работает по протоколам, 1
12 •
https://radar.yandex.ru/https
использующим открытый 443-й порт межсетевого экрана, и классический экран просто не в состоянии фильтровать или понимать прикладное содержимое этого трафика. Но дело в том, что приложения сейчас умеют сканировать доступные порты и устанавливать соединение вовне, используя любой открытый внешний порт. Ничего не мешает зловреду получить доступ и передавать данные наружу по открытому 443-му порту. Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) уже полноценно обрабатывают соединения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализировать трафик приложений и данные, передаваемые приложениями. Функция контроля приложений на седьмом уровне в UserGate основана на обновляемой базе сигнатур. Сейчас в базе уже более тысячи приложений, и эти данные могут быть использованы в настройке правил межсетевого экрана, что позволяет решать задачи, например, ограничения пропускной полосы для видеоконтента с видеохостингов или, наоборот, настроить приоритизацию трафика для видеоконференцсвязи. При этом шлюз задействует несколько механизмов фильтрации: l фильтрацию по категориям; l морфологический анализ; l безопасный поиск по черным и белым спискам; l блокировку контекстной рекламы на уровне шлюза; l запрет загрузки определенных типов файлов; l технологию антивирусной проверки трафика на базе Deep Content Inspection. Решение UserGate предоставляет для контент-фильтрации собственную базу электронных ресурсов – более
