Проблемы контент-фильтрации в межсетевых экранах
Иван Чернов, 12/10/20
В корпоративных сетях необходимо решать задачи предотвращения утечек информации, фильтрации нежелательного контента, обнаружения и нейтрализации атак. Фильтрация интернет-трафика значительно увеличивает безопасность локальной сети, так как позволяет обеспечить административный контроль за использованием Интернета, закачками и обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.
Автор: Иван Чернов, менеджер партнерского отдела UserGate
Фильтрации HTTPS
Решение задачи фильтрации осложняется ростом объемов SSL-трафика, его доля в российском сегменте Интернета к осени 2020 г. приблизилась к 95%1, а внедрение поддержки TLS 1.3 на многих сайтах внесло дополнительные требования к возможности дешифрования защищенного трафика.
Современное решение этой задачи заключается в использовании технологии "человек посередине" (Man-in-the-Middle, MitM), где роль "человека" играет межсетевой экран.
Упрощенно это происходит так:
- шлюз инспектирует соединение, использующее протокол TLS 1.3, от клиентского устройства до веб-сайта, на который поступает запрос пользователя;
- после получения ответа от веб-сайта информация передается шлюзом на клиентское устройство также по защищенному протоколу, но уже с сертификатом, выданным шлюзом безопасности.
В результате весь зашифрованный SSL-трафик, включая TLS 1.3, анализируется с применением полного набора методов фильтрации, поддерживаемых шлюзом, в том же режиме, что и нешифрованный.
В UserGate для анализа трафика применяются в том числе сигнатурный анализ, проверка на наличие вирусов и выявление признаков атак на элементы инфраструктуры. Все подозрительные активности записываются в журнал. Кроме того, если необходимо, трафик может передаваться в сторонние средства защиты информации, например в песочницы, чтобы уже там выявлять угрозы определенных типов.
Фильтрация и протоколирование трафика осуществляется в реальном времени, без видимых задержек для пользователей сети или лиц, осуществляющих атаку.
Фильтрация на уровне приложений Классические межсетевые экраны обрабатывают трафик с первого по четвертый уровень модели OSI, то есть с физического уровня по транспортный, и, как правило, оперируют только ip-адресом, портами источника, назначения и типом используемого в соединении транспортного протокола.
Множество приложений сейчас работает по протоколам, использующим открытый 443-й порт межсетевого экрана, и классический экран просто не в состоянии фильтровать или понимать прикладное содержимое этого трафика.
Но дело в том, что приложения сейчас умеют сканировать доступные порты и устанавливать соединение вовне, используя любой открытый внешний порт. Ничего не мешает зловреду получить доступ и передавать данные наружу по открытому 443-му порту.
Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) уже полноценно обрабатывают соединения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализировать трафик приложений и данные, передаваемые приложениями.
Функция контроля приложений на седьмом уровне в UserGate основана на обновляемой базе сигнатур. Сейчас в базе уже более тысячи приложений, и эти данные могут быть использованы в настройке правил межсетевого экрана, что позволяет решать задачи, например, ограничения пропускной полосы для видеоконтента с видеохостингов или, наоборот, настроить приоритизацию трафика для видеоконференцсвязи.
При этом шлюз задействует несколько механизмов фильтрации:
- фильтрацию по категориям;
- морфологический анализ;
- безопасный поиск по черным и белым спискам;
- блокировку контекстной рекламы на уровне шлюза;
- запрет загрузки определенных типов файлов;
- технологию антивирусной проверки трафика на базе Deep Content Inspection.
Решение UserGate предоставляет для контент-фильтрации собственную базу электронных ресурсов – более 500 млн адресов сайтов и более 70 категорий. Разработчик проводит ежедневное обновление списка сайтов, осуществляет повторную проверку уже внесенных ресурсов на предмет изменения контента и актуальности информации о категориях.
Морфологический анализ
Расшифровка SSL-трафика и работа на прикладном уровне модели OSI позволяют шлюзу проводить полноценный морфологический анализ содержимого и распознавать отдельные слова и словосочетания в трафике, идущем со стороны вебсайтов. Если в тексте содержится достаточное для блокировки количество словарных слов и словосочетаний, то соединение определяется как небезопасное, а доступ к сайту блокируется.
Для фильтрации контента применяются морфологические словари, обновляемые разработчиком и содержащие списки материалов, запрещенных Министерством юстиции Российской Федерации, а также материалы, связанные с суицидом, терроризмом, порнографией, нецензурной лексикой, казино, наркотиками, и сведения, подпадающие под действие Федерального закона от 29.12.2010 г. № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию". Словари доступны на русском, английском, немецком, японском и арабском языках.
UserGate также предоставляет свои списки фишинговых сайтов, списки систем, которые не умеют работать с безопасным поиском, списки образовательных учреждений и др.
Дополнительные параметры фильтрации
Администратор может задать дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS:
- блокировку рекламы;
- функцию "инжектировать скрипт", позволяющую вставить необходимый код во все вебстраницы, просматриваемые пользователем;
- принудительное включение безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube для блокировки нежелательного контента;
- включение журналирования поисковых запросов пользователей;
- блокировку приложений популярных социальных сетей.
Фильтрация TLS ГОСТ
Развитие этой сферы не стоит на месте, и вопрос доверия к сертификатам и к ресурсам, их использующим, полностью все еще не решен. На данный момент споры на тему "Нужно ли расшифровывать TLS 1.3" утихли, однако появился следующий вопрос: что делать с TLS ГОСТ? Реализация протокола TLS с использованием алгоритмов ГОСТ была придумана для того, чтобы иностранные удостоверяющие центры не имели возможности отозвать сертификат какого-либо ресурса, тем самым нарушая его доступность для посетителей.
В настоящее время организация работы порталов с использованием алгоритмов ГОСТ осложняется другой проблемой: известные зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ, не доверяют им и попросту не пускают пользователей для посещения. Для корректного доступа в такие ресурсы пользователю нужно иметь соответствующий браузер (на данный момент насчитывается два таких браузера на рынке) или импортозамещенную операционную систему.
В использовании TLS с поддержкой ГОСТ-алгоритмов шифрования есть две основные проблемы:
1. Проблема инфраструктуры
Далеко не все устройства готовы к использованию совместимых сертификатов, особенно это касается мобильных устройств. В данном случае UserGate позволяет принять сертификат, совместимый с ГОСТ, расшифровать трафик и отдать внутрь сети уже с понятным внутрикорпоративным сертификатом. Таким образом, отпадает необходимость использовать специальные браузеры для доступа к ресурсам. Пользователи могут не мигрировать с привычных продуктов.
2. Проблема безопасности
К сожалению, наличие сертификата гарантирует только то, что портал относится действительно к той организации, которую он представляет. Если сайт был скомпрометирован, если были украдены сертификаты (такие случаи тоже известны) либо если в рамках защищенного соединения передается зловредный файл, то это все будет спокойно реализовано, даже несмотря на применение шифрования с помощью TLS ГОСТ. При этом ни одно решение не готово раскрывать трафик с отечественными алгоритмами шифрования для детального анализа содержимого.
Решение UserGate умеет работать с таким трафиком, проводить глубокую инспекцию и выявлять опасные, подозрительные и зловредные элементы даже внутри защищенного трафика.
Заключение
UserGate работает на базе специально созданной и поддерживаемой операционной системы, а также на специально спроектированных аппаратных устройствах, позволяющих обеспечить наибольшую эффективность и скорость обработки трафика.
Разработчики уделили много внимания созданию собственной платформы, не базирующейся на использовании чужого исходного кода и сторонних модулей.
UserGate получил ряд наград именно за качество интернет-фильтрации и широко используется для этой цели во многих организациях, вузах и у операторов связи.