Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Проблемы контент-фильтрации в межсетевых экранах

Иван Чернов, 12/10/20

В корпоративных сетях необходимо решать задачи предотвращения утечек информации, фильтрации нежелательного контента, обнаружения и нейтрализации атак. Фильтрация интернет-трафика значительно увеличивает безопасность локальной сети, так как позволяет обеспечить административный контроль за использованием Интернета, закачками и обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.

Автор: Иван Чернов, менеджер партнерского отдела UserGate

Фильтрации HTTPS

Решение задачи фильтрации осложняется ростом объемов SSL-трафика, его доля в российском сегменте Интернета к осени 2020 г. приблизилась к 95%1, а внедрение поддержки TLS 1.3 на многих сайтах внесло дополнительные требования к возможности дешифрования защищенного трафика.

Современное решение этой задачи заключается в использовании технологии "человек посередине" (Man-in-the-Middle, MitM), где роль "человека" играет межсетевой экран.

Упрощенно это происходит так:

  • шлюз инспектирует соединение, использующее протокол TLS 1.3, от клиентского устройства до веб-сайта, на который поступает запрос пользователя;
  • после получения ответа от веб-сайта информация передается шлюзом на клиентское устройство также по защищенному протоколу, но уже с сертификатом, выданным шлюзом безопасности.
Благодаря такой схеме у шлюза имеется возможность инспектировать трафик, передаваемый в защищенный сегмент сети извне, а также и трафик, передаваемый из внутренней сети на внешние адреса.

В результате весь зашифрованный SSL-трафик, включая TLS 1.3, анализируется с применением полного набора методов фильтрации, поддерживаемых шлюзом, в том же режиме, что и нешифрованный.

В UserGate для анализа трафика применяются в том числе сигнатурный анализ, проверка на наличие вирусов и выявление признаков атак на элементы инфраструктуры. Все подозрительные активности записываются в журнал. Кроме того, если необходимо, трафик может передаваться в сторонние средства защиты информации, например в песочницы, чтобы уже там выявлять угрозы определенных типов.

Фильтрация и протоколирование трафика осуществляется в реальном времени, без видимых задержек для пользователей сети или лиц, осуществляющих атаку.

Фильтрация на уровне приложений Классические межсетевые экраны обрабатывают трафик с первого по четвертый уровень модели OSI, то есть с физического уровня по транспортный, и, как правило, оперируют только ip-адресом, портами источника, назначения и типом используемого в соединении транспортного протокола.

Множество приложений сейчас работает по протоколам, использующим открытый 443-й порт межсетевого экрана, и классический экран просто не в состоянии фильтровать или понимать прикладное содержимое этого трафика.

Но дело в том, что приложения сейчас умеют сканировать доступные порты и устанавливать соединение вовне, используя любой открытый внешний порт. Ничего не мешает зловреду получить доступ и передавать данные наружу по открытому 443-му порту.

Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) уже полноценно обрабатывают соединения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализировать трафик приложений и данные, передаваемые приложениями.

Функция контроля приложений на седьмом уровне в UserGate основана на обновляемой базе сигнатур. Сейчас в базе уже более тысячи приложений, и эти данные могут быть использованы в настройке правил межсетевого экрана, что позволяет решать задачи, например, ограничения пропускной полосы для видеоконтента с видеохостингов или, наоборот, настроить приоритизацию трафика для видеоконференцсвязи.

При этом шлюз задействует несколько механизмов фильтрации:

  • фильтрацию по категориям;
  • морфологический анализ;
  • безопасный поиск по черным и белым спискам;
  • блокировку контекстной рекламы на уровне шлюза;
  • запрет загрузки определенных типов файлов;
  • технологию антивирусной проверки трафика на базе Deep Content Inspection.

Решение UserGate предоставляет для контент-фильтрации собственную базу электронных ресурсов – более 500 млн адресов сайтов и более 70 категорий. Разработчик проводит ежедневное обновление списка сайтов, осуществляет повторную проверку уже внесенных ресурсов на предмет изменения контента и актуальности информации о категориях.

Морфологический анализ

Расшифровка SSL-трафика и работа на прикладном уровне модели OSI позволяют шлюзу проводить полноценный морфологический анализ содержимого и распознавать отдельные слова и словосочетания в трафике, идущем со стороны вебсайтов. Если в тексте содержится достаточное для блокировки количество словарных слов и словосочетаний, то соединение определяется как небезопасное, а доступ к сайту блокируется.

Для фильтрации контента применяются морфологические словари, обновляемые разработчиком и содержащие списки материалов, запрещенных Министерством юстиции Российской Федерации, а также материалы, связанные с суицидом, терроризмом, порнографией, нецензурной лексикой, казино, наркотиками, и сведения, подпадающие под действие Федерального закона от 29.12.2010 г. № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию". Словари доступны на русском, английском, немецком, японском и арабском языках.

UserGate также предоставляет свои списки фишинговых сайтов, списки систем, которые не умеют работать с безопасным поиском, списки образовательных учреждений и др.

Дополнительные параметры фильтрации

Администратор может задать дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS:

  • блокировку рекламы;
  • функцию "инжектировать скрипт", позволяющую вставить необходимый код во все вебстраницы, просматриваемые пользователем;
  • принудительное включение безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube для блокировки нежелательного контента;
  • включение журналирования поисковых запросов пользователей;
  • блокировку приложений популярных социальных сетей.

Фильтрация TLS ГОСТ

Развитие этой сферы не стоит на месте, и вопрос доверия к сертификатам и к ресурсам, их использующим, полностью все еще не решен. На данный момент споры на тему "Нужно ли расшифровывать TLS 1.3" утихли, однако появился следующий вопрос: что делать с TLS ГОСТ? Реализация протокола TLS с использованием алгоритмов ГОСТ была придумана для того, чтобы иностранные удостоверяющие центры не имели возможности отозвать сертификат какого-либо ресурса, тем самым нарушая его доступность для посетителей.

В настоящее время организация работы порталов с использованием алгоритмов ГОСТ осложняется другой проблемой: известные зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ, не доверяют им и попросту не пускают пользователей для посещения. Для корректного доступа в такие ресурсы пользователю нужно иметь соответствующий браузер (на данный момент насчитывается два таких браузера на рынке) или импортозамещенную операционную систему.

В использовании TLS с поддержкой ГОСТ-алгоритмов шифрования есть две основные проблемы:

1. Проблема инфраструктуры

Далеко не все устройства готовы к использованию совместимых сертификатов, особенно это касается мобильных устройств. В данном случае UserGate позволяет принять сертификат, совместимый с ГОСТ, расшифровать трафик и отдать внутрь сети уже с понятным внутрикорпоративным сертификатом. Таким образом, отпадает необходимость использовать специальные браузеры для доступа к ресурсам. Пользователи могут не мигрировать с привычных продуктов.

2. Проблема безопасности

К сожалению, наличие сертификата гарантирует только то, что портал относится действительно к той организации, которую он представляет. Если сайт был скомпрометирован, если были украдены сертификаты (такие случаи тоже известны) либо если в рамках защищенного соединения передается зловредный файл, то это все будет спокойно реализовано, даже несмотря на применение шифрования с помощью TLS ГОСТ. При этом ни одно решение не готово раскрывать трафик с отечественными алгоритмами шифрования для детального анализа содержимого.

Решение UserGate умеет работать с таким трафиком, проводить глубокую инспекцию и выявлять опасные, подозрительные и зловредные элементы даже внутри защищенного трафика.

Заключение

UserGate работает на базе специально созданной и поддерживаемой операционной системы, а также на специально спроектированных аппаратных устройствах, позволяющих обеспечить наибольшую эффективность и скорость обработки трафика.

Разработчики уделили много внимания созданию собственной платформы, не базирующейся на использовании чужого исходного кода и сторонних модулей.

UserGate получил ряд наград именно за качество интернет-фильтрации и широко используется для этой цели во многих организациях, вузах и у операторов связи.

Темы:Защита сетейЖурнал "Информационная безопасность" №4, 2020UserGate

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором

More...