Контакты
Подписка 2024
Статьи по информационной безопасности

Проблемы контент-фильтрации в межсетевых экранах

Иван Чернов, 12/10/20

В корпоративных сетях необходимо решать задачи предотвращения утечек информации, фильтрации нежелательного контента, обнаружения и нейтрализации атак. Фильтрация интернет-трафика значительно увеличивает безопасность локальной сети, так как позволяет обеспечить административный контроль за использованием Интернета, закачками и обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.

Автор: Иван Чернов, менеджер партнерского отдела UserGate

Фильтрации HTTPS

Решение задачи фильтрации осложняется ростом объемов SSL-трафика, его доля в российском сегменте Интернета к осени 2020 г. приблизилась к 95%1, а внедрение поддержки TLS 1.3 на многих сайтах внесло дополнительные требования к возможности дешифрования защищенного трафика.

Современное решение этой задачи заключается в использовании технологии "человек посередине" (Man-in-the-Middle, MitM), где роль "человека" играет межсетевой экран.

Упрощенно это происходит так:

  • шлюз инспектирует соединение, использующее протокол TLS 1.3, от клиентского устройства до веб-сайта, на который поступает запрос пользователя;
  • после получения ответа от веб-сайта информация передается шлюзом на клиентское устройство также по защищенному протоколу, но уже с сертификатом, выданным шлюзом безопасности.
Благодаря такой схеме у шлюза имеется возможность инспектировать трафик, передаваемый в защищенный сегмент сети извне, а также и трафик, передаваемый из внутренней сети на внешние адреса.

В результате весь зашифрованный SSL-трафик, включая TLS 1.3, анализируется с применением полного набора методов фильтрации, поддерживаемых шлюзом, в том же режиме, что и нешифрованный.

В UserGate для анализа трафика применяются в том числе сигнатурный анализ, проверка на наличие вирусов и выявление признаков атак на элементы инфраструктуры. Все подозрительные активности записываются в журнал. Кроме того, если необходимо, трафик может передаваться в сторонние средства защиты информации, например в песочницы, чтобы уже там выявлять угрозы определенных типов.

Фильтрация и протоколирование трафика осуществляется в реальном времени, без видимых задержек для пользователей сети или лиц, осуществляющих атаку.

Фильтрация на уровне приложений Классические межсетевые экраны обрабатывают трафик с первого по четвертый уровень модели OSI, то есть с физического уровня по транспортный, и, как правило, оперируют только ip-адресом, портами источника, назначения и типом используемого в соединении транспортного протокола.

Множество приложений сейчас работает по протоколам, использующим открытый 443-й порт межсетевого экрана, и классический экран просто не в состоянии фильтровать или понимать прикладное содержимое этого трафика.

Но дело в том, что приложения сейчас умеют сканировать доступные порты и устанавливать соединение вовне, используя любой открытый внешний порт. Ничего не мешает зловреду получить доступ и передавать данные наружу по открытому 443-му порту.

Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) уже полноценно обрабатывают соединения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализировать трафик приложений и данные, передаваемые приложениями.

Функция контроля приложений на седьмом уровне в UserGate основана на обновляемой базе сигнатур. Сейчас в базе уже более тысячи приложений, и эти данные могут быть использованы в настройке правил межсетевого экрана, что позволяет решать задачи, например, ограничения пропускной полосы для видеоконтента с видеохостингов или, наоборот, настроить приоритизацию трафика для видеоконференцсвязи.

При этом шлюз задействует несколько механизмов фильтрации:

  • фильтрацию по категориям;
  • морфологический анализ;
  • безопасный поиск по черным и белым спискам;
  • блокировку контекстной рекламы на уровне шлюза;
  • запрет загрузки определенных типов файлов;
  • технологию антивирусной проверки трафика на базе Deep Content Inspection.

Решение UserGate предоставляет для контент-фильтрации собственную базу электронных ресурсов – более 500 млн адресов сайтов и более 70 категорий. Разработчик проводит ежедневное обновление списка сайтов, осуществляет повторную проверку уже внесенных ресурсов на предмет изменения контента и актуальности информации о категориях.

Морфологический анализ

Расшифровка SSL-трафика и работа на прикладном уровне модели OSI позволяют шлюзу проводить полноценный морфологический анализ содержимого и распознавать отдельные слова и словосочетания в трафике, идущем со стороны вебсайтов. Если в тексте содержится достаточное для блокировки количество словарных слов и словосочетаний, то соединение определяется как небезопасное, а доступ к сайту блокируется.

Для фильтрации контента применяются морфологические словари, обновляемые разработчиком и содержащие списки материалов, запрещенных Министерством юстиции Российской Федерации, а также материалы, связанные с суицидом, терроризмом, порнографией, нецензурной лексикой, казино, наркотиками, и сведения, подпадающие под действие Федерального закона от 29.12.2010 г. № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию". Словари доступны на русском, английском, немецком, японском и арабском языках.

UserGate также предоставляет свои списки фишинговых сайтов, списки систем, которые не умеют работать с безопасным поиском, списки образовательных учреждений и др.

Дополнительные параметры фильтрации

Администратор может задать дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS:

  • блокировку рекламы;
  • функцию "инжектировать скрипт", позволяющую вставить необходимый код во все вебстраницы, просматриваемые пользователем;
  • принудительное включение безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube для блокировки нежелательного контента;
  • включение журналирования поисковых запросов пользователей;
  • блокировку приложений популярных социальных сетей.

Фильтрация TLS ГОСТ

Развитие этой сферы не стоит на месте, и вопрос доверия к сертификатам и к ресурсам, их использующим, полностью все еще не решен. На данный момент споры на тему "Нужно ли расшифровывать TLS 1.3" утихли, однако появился следующий вопрос: что делать с TLS ГОСТ? Реализация протокола TLS с использованием алгоритмов ГОСТ была придумана для того, чтобы иностранные удостоверяющие центры не имели возможности отозвать сертификат какого-либо ресурса, тем самым нарушая его доступность для посетителей.

В настоящее время организация работы порталов с использованием алгоритмов ГОСТ осложняется другой проблемой: известные зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ, не доверяют им и попросту не пускают пользователей для посещения. Для корректного доступа в такие ресурсы пользователю нужно иметь соответствующий браузер (на данный момент насчитывается два таких браузера на рынке) или импортозамещенную операционную систему.

В использовании TLS с поддержкой ГОСТ-алгоритмов шифрования есть две основные проблемы:

1. Проблема инфраструктуры

Далеко не все устройства готовы к использованию совместимых сертификатов, особенно это касается мобильных устройств. В данном случае UserGate позволяет принять сертификат, совместимый с ГОСТ, расшифровать трафик и отдать внутрь сети уже с понятным внутрикорпоративным сертификатом. Таким образом, отпадает необходимость использовать специальные браузеры для доступа к ресурсам. Пользователи могут не мигрировать с привычных продуктов.

2. Проблема безопасности

К сожалению, наличие сертификата гарантирует только то, что портал относится действительно к той организации, которую он представляет. Если сайт был скомпрометирован, если были украдены сертификаты (такие случаи тоже известны) либо если в рамках защищенного соединения передается зловредный файл, то это все будет спокойно реализовано, даже несмотря на применение шифрования с помощью TLS ГОСТ. При этом ни одно решение не готово раскрывать трафик с отечественными алгоритмами шифрования для детального анализа содержимого.

Решение UserGate умеет работать с таким трафиком, проводить глубокую инспекцию и выявлять опасные, подозрительные и зловредные элементы даже внутри защищенного трафика.

Заключение

UserGate работает на базе специально созданной и поддерживаемой операционной системы, а также на специально спроектированных аппаратных устройствах, позволяющих обеспечить наибольшую эффективность и скорость обработки трафика.

Разработчики уделили много внимания созданию собственной платформы, не базирующейся на использовании чужого исходного кода и сторонних модулей.

UserGate получил ряд наград именно за качество интернет-фильтрации и широко используется для этой цели во многих организациях, вузах и у операторов связи.
Темы:Защита сетейЖурнал "Информационная безопасность" №4, 2020UserGateNGFW

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Российские NGFW глазами заказчика: основные проблемы
    Андрей Нуйкин, Начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ компании ЕВРАЗ
    Pоссийские заказчики сталкиваются с рядом барьеров, которые мешают бесшовной миграции на отечественные NGFW.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.
  • NGFW по-русски: вчера, сегодня, завтра
    Федор Дбар, коммерческий директор компании “Код Безопасности”
    Несмотря на то что российские решения, по сути, не имеют альтернативы, у компаний все равно остаются сомнения. Считается, что любые отечественные продукты, если дело не касается танков, априори не могут быть качественными. Но так ли это на самом деле?
  • Гарда NGFW. Баланс между софтом и железом без legacy-атавизмов
    Павел Мерещук, директор по развитию специальных проектов группы компаний “Гарда”
    Своим видением того, как выглядит оптимальное соотношение между выполнением требований законодательства и сохранением нужной заказчикам функциональности в NGFW, поделился директор по развитию специальных проектов группы компаний “Гарда” Павел Мерещук.
  • И снова про ZeroTrust: реализуема ли концепция без защиты периметра?
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Чем точно не является концепция ZeroTrust, и как создать предпосылки для ее использования

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"