Контакты
Подписка 2025
Статьи по информационной безопасности

Проблемы контент-фильтрации в межсетевых экранах

Иван Чернов, 12/10/20

В корпоративных сетях необходимо решать задачи предотвращения утечек информации, фильтрации нежелательного контента, обнаружения и нейтрализации атак. Фильтрация интернет-трафика значительно увеличивает безопасность локальной сети, так как позволяет обеспечить административный контроль за использованием Интернета, закачками и обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.

Автор: Иван Чернов, менеджер партнерского отдела UserGate

Фильтрации HTTPS

Решение задачи фильтрации осложняется ростом объемов SSL-трафика, его доля в российском сегменте Интернета к осени 2020 г. приблизилась к 95%1, а внедрение поддержки TLS 1.3 на многих сайтах внесло дополнительные требования к возможности дешифрования защищенного трафика.

Современное решение этой задачи заключается в использовании технологии "человек посередине" (Man-in-the-Middle, MitM), где роль "человека" играет межсетевой экран.

Упрощенно это происходит так:

  • шлюз инспектирует соединение, использующее протокол TLS 1.3, от клиентского устройства до веб-сайта, на который поступает запрос пользователя;
  • после получения ответа от веб-сайта информация передается шлюзом на клиентское устройство также по защищенному протоколу, но уже с сертификатом, выданным шлюзом безопасности.
Благодаря такой схеме у шлюза имеется возможность инспектировать трафик, передаваемый в защищенный сегмент сети извне, а также и трафик, передаваемый из внутренней сети на внешние адреса.

В результате весь зашифрованный SSL-трафик, включая TLS 1.3, анализируется с применением полного набора методов фильтрации, поддерживаемых шлюзом, в том же режиме, что и нешифрованный.

В UserGate для анализа трафика применяются в том числе сигнатурный анализ, проверка на наличие вирусов и выявление признаков атак на элементы инфраструктуры. Все подозрительные активности записываются в журнал. Кроме того, если необходимо, трафик может передаваться в сторонние средства защиты информации, например в песочницы, чтобы уже там выявлять угрозы определенных типов.

Фильтрация и протоколирование трафика осуществляется в реальном времени, без видимых задержек для пользователей сети или лиц, осуществляющих атаку.

Фильтрация на уровне приложений Классические межсетевые экраны обрабатывают трафик с первого по четвертый уровень модели OSI, то есть с физического уровня по транспортный, и, как правило, оперируют только ip-адресом, портами источника, назначения и типом используемого в соединении транспортного протокола.

Множество приложений сейчас работает по протоколам, использующим открытый 443-й порт межсетевого экрана, и классический экран просто не в состоянии фильтровать или понимать прикладное содержимое этого трафика.

Но дело в том, что приложения сейчас умеют сканировать доступные порты и устанавливать соединение вовне, используя любой открытый внешний порт. Ничего не мешает зловреду получить доступ и передавать данные наружу по открытому 443-му порту.

Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) уже полноценно обрабатывают соединения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализировать трафик приложений и данные, передаваемые приложениями.

Функция контроля приложений на седьмом уровне в UserGate основана на обновляемой базе сигнатур. Сейчас в базе уже более тысячи приложений, и эти данные могут быть использованы в настройке правил межсетевого экрана, что позволяет решать задачи, например, ограничения пропускной полосы для видеоконтента с видеохостингов или, наоборот, настроить приоритизацию трафика для видеоконференцсвязи.

При этом шлюз задействует несколько механизмов фильтрации:

  • фильтрацию по категориям;
  • морфологический анализ;
  • безопасный поиск по черным и белым спискам;
  • блокировку контекстной рекламы на уровне шлюза;
  • запрет загрузки определенных типов файлов;
  • технологию антивирусной проверки трафика на базе Deep Content Inspection.

Решение UserGate предоставляет для контент-фильтрации собственную базу электронных ресурсов – более 500 млн адресов сайтов и более 70 категорий. Разработчик проводит ежедневное обновление списка сайтов, осуществляет повторную проверку уже внесенных ресурсов на предмет изменения контента и актуальности информации о категориях.

Морфологический анализ

Расшифровка SSL-трафика и работа на прикладном уровне модели OSI позволяют шлюзу проводить полноценный морфологический анализ содержимого и распознавать отдельные слова и словосочетания в трафике, идущем со стороны вебсайтов. Если в тексте содержится достаточное для блокировки количество словарных слов и словосочетаний, то соединение определяется как небезопасное, а доступ к сайту блокируется.

Для фильтрации контента применяются морфологические словари, обновляемые разработчиком и содержащие списки материалов, запрещенных Министерством юстиции Российской Федерации, а также материалы, связанные с суицидом, терроризмом, порнографией, нецензурной лексикой, казино, наркотиками, и сведения, подпадающие под действие Федерального закона от 29.12.2010 г. № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию". Словари доступны на русском, английском, немецком, японском и арабском языках.

UserGate также предоставляет свои списки фишинговых сайтов, списки систем, которые не умеют работать с безопасным поиском, списки образовательных учреждений и др.

Дополнительные параметры фильтрации

Администратор может задать дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS:

  • блокировку рекламы;
  • функцию "инжектировать скрипт", позволяющую вставить необходимый код во все вебстраницы, просматриваемые пользователем;
  • принудительное включение безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube для блокировки нежелательного контента;
  • включение журналирования поисковых запросов пользователей;
  • блокировку приложений популярных социальных сетей.

Фильтрация TLS ГОСТ

Развитие этой сферы не стоит на месте, и вопрос доверия к сертификатам и к ресурсам, их использующим, полностью все еще не решен. На данный момент споры на тему "Нужно ли расшифровывать TLS 1.3" утихли, однако появился следующий вопрос: что делать с TLS ГОСТ? Реализация протокола TLS с использованием алгоритмов ГОСТ была придумана для того, чтобы иностранные удостоверяющие центры не имели возможности отозвать сертификат какого-либо ресурса, тем самым нарушая его доступность для посетителей.

В настоящее время организация работы порталов с использованием алгоритмов ГОСТ осложняется другой проблемой: известные зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ, не доверяют им и попросту не пускают пользователей для посещения. Для корректного доступа в такие ресурсы пользователю нужно иметь соответствующий браузер (на данный момент насчитывается два таких браузера на рынке) или импортозамещенную операционную систему.

В использовании TLS с поддержкой ГОСТ-алгоритмов шифрования есть две основные проблемы:

1. Проблема инфраструктуры

Далеко не все устройства готовы к использованию совместимых сертификатов, особенно это касается мобильных устройств. В данном случае UserGate позволяет принять сертификат, совместимый с ГОСТ, расшифровать трафик и отдать внутрь сети уже с понятным внутрикорпоративным сертификатом. Таким образом, отпадает необходимость использовать специальные браузеры для доступа к ресурсам. Пользователи могут не мигрировать с привычных продуктов.

2. Проблема безопасности

К сожалению, наличие сертификата гарантирует только то, что портал относится действительно к той организации, которую он представляет. Если сайт был скомпрометирован, если были украдены сертификаты (такие случаи тоже известны) либо если в рамках защищенного соединения передается зловредный файл, то это все будет спокойно реализовано, даже несмотря на применение шифрования с помощью TLS ГОСТ. При этом ни одно решение не готово раскрывать трафик с отечественными алгоритмами шифрования для детального анализа содержимого.

Решение UserGate умеет работать с таким трафиком, проводить глубокую инспекцию и выявлять опасные, подозрительные и зловредные элементы даже внутри защищенного трафика.

Заключение

UserGate работает на базе специально созданной и поддерживаемой операционной системы, а также на специально спроектированных аппаратных устройствах, позволяющих обеспечить наибольшую эффективность и скорость обработки трафика.

Разработчики уделили много внимания созданию собственной платформы, не базирующейся на использовании чужого исходного кода и сторонних модулей.

UserGate получил ряд наград именно за качество интернет-фильтрации и широко используется для этой цели во многих организациях, вузах и у операторов связи.
Темы:Защита сетейЖурнал "Информационная безопасность" №4, 2020UserGateNGFW

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Защищенный удаленный доступ: технологии безопасной дистанционной работы
Материалы конференции Форума ITSEC 2025 →
Статьи по той же темеСтатьи по той же теме

  • NDR + NAC: практическая стратегия сетевого реагирования
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    Скорость развития современных сетевых атак такова, что системы защиты не успевают адекватно реагировать. При этом им не только важно быстрее “стрелять”, но и точнее ”прицеливаться”, иначе можно парализовать работу всей инфраструктуры. Как совместить скорость и точность, чтобы защитить инфраструктуру, а не навредить ей? Все больше специалистов находят ответ в тандеме NDR и NAC, и давайте разберемся, почему.
  • Эволюция NTA/NDR от базовой линии к контексту
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Фиксируй норму, ищи отклонения – концепция базовой линии долго считалась естественным фундаментом для поведенческой аналитики. Но чем сложнее становились сети и разнообразнее поведение пользователей, тем очевиднее становились ограничения этого подхода. И вот в центре внимания оказывается не средняя арифметика трафика, а совсем иные способы понимать происходящее.
  • NGFW Novum от Ideco: 20 лет опыта кибербезопасности в одном решении
    Дмитрий Хомутов, директор компании “Айдеко”
    Ideco NGFW Novum – это комплексная система защиты, интегрирующая передовые технологии и проверенную временем экспертизу, а не просто межсетевой экран.
  • Управление правилами межсетевых экранов: от хаоса к гармонии
    Мария Кудрявцева, менеджер продукта Efros DefOps, “Газинформсервис”
    Процесс настройки нового МЭ, включая перенос правил, отнимает время, ресурсы и несет высокие риски, обусловленные человеческим фактором, – ошибка, связанная с некорректным переносом, может привести к серьезным последствиям вплоть до недоступности МЭ. А если на устройстве сотни тысяч правил, то ручной вариант перехода практически исключен.
  • Компания UserGate рассказала про защиту в открытую
    В апреле прошла конференция UserGate Open Conf 2025. Лейтмотивом многих выступлений стала ключевая идея: информационная безопасность не существует изолированно. Она – органичная часть цепочки бизнес-процессов, где каждый следующий элемент зависит от предыдущего: бизнес инициирует изменения, ИТ реализует инструменты, а безопасность обеспечивает устойчивость и надежность всей системы.
  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Материалы конференции →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Материалы конференции →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных