IronportS-series: защита веб-трафика

22 Сентября 2008 IT-expert
IT-expert
Сентябрь, 2008 г.
Алексей Филатенков, заместитель начальника отдела информационной безопасности компании Открытые Технологии.

Сегодня через Интернет постоянно ведутся атаки, угрожающие информационной безопасности предприятий. Это, прежде всего, распространение вредоносного кода. Другая актуальная проблема — неправомерное использование веб-ресурсов в организации. Для борьбы с этими проблемами существуют программные и аппаратные устройства защиты веб-трафика. Преимущество аппаратных решений в том, что само "железо", операционная система и программное обеспечение приобретается у одного производителя, что облегчает обслуживание и конфигурацию.

Устройства Ironport S-series от компании Ironport Systems, о которых мы хотим рассказать в этой статье, предназначены для защиты от интернетугроз. Изделия данной серии привлекательны тем, что функционально дополняют Ironport C-series, борющиеся с вирусами и спамом в почтовом трафике. Таким образом, комбинируя устройства обеих серий, созданных одним вендором, можно построить комплексную систему защиты от интернет-угроз.


Задачи тестирования

Имея некоторый опыт работы с устройствами Ironport C-series, мы с интересом протестировали на стенде продукты другой линейки, включая такие параметры, как функционал, возможности по управлению и мониторингу. На тестировании у нас было Ironport S650 — наиболее производительное устройство серии. В задачи тестирования входило ознакомление с его функционалом и проверка работы устройства относительно заявленных характеристик.


Установка и настройка

Установка и первоначальная настройка не вызывают особых проблем, за исключением отдельных нюансов, о которых сказано ниже.

У Ironport S650 существует функциональное разделение интерфейсов. Интерфейсы Т1 и Т2 предназначены для прослушивания трафика, когда на устройстве включен режим L4 Traffic Monitor. Интерфейсы Р1 и Р2 используются для входящего и исходящего трафика при работе устройства в режиме Web proxy. Возможна также обработка трафика Web proxy на интерфейсе управления М1, что и было сделано при организации стенда.

Начальная настройка была выполнена через графический интерфейс пользователя. После чего устройство готово к работе с базовой политикой безопасности на борту. К особенностям настройки можно отнести следующее. Ironport S650 требует обязательной регистрации своего Hostname в DNS, поскольку без этого служба Web proxy даже не стартует. Данная ошибка не исчезла и после изменения Hostname и его регистрации в DNS. Помогло добавление нового значения Hostname в Localhosts с помощью скрытой команды.

Дополнительные настройки устройства в основном совпадают с настройками Ironport C-Series, что упрощает работу администратору, знакомому с этой серией.


Тестирование функционала

Для тестирования функционала устройства была создана отдельная политика для группы клиентов. Клиенты,для которых действует данная политика, могут определяться по принадлежности к Ip-подсети (протестировано) или после аутентификации через Active Directory или через LDAp, что оказалось нетривиальной задачей. Настройку аутентификации через Active Directory проверить не удалось. Работающая втестовом сегменте служба Active Directory не возвращает необходимый для Ironport S650 параметр NetBIOS Domain. Не удалось подключиться к Active Directory и по протоколу LDAp — контроллер Active Directory не поддерживает анонимные запросы, а настроить авторизованные запросы за время тестирования не получилось. В итоге, поскольку проверка функционала аутентификации не являлась основной задачей тестирования, устройство работало в режиме трансляции запросов на аутентификацию от Upstream proxy.

Блокировки по протоколам
Устройство позволяет блокировать доступ по протоколам HTTp, HTTpS, FTp. При этом пользователь, обратившийся по запрещенному протоколу, увидит страницу уведомления (об уведомлениях — ниже). Забегая вперед, можно отметить, что страница уведомления появляется при любом запрещенном действии. Можно ввести ограничения и по списку допустимых портов. Другая интересная особенность — ограничение используемых веб-браузеров.

UrL-фильтрация
Ironport S650 позволяет осуществлять фильтрацию запросов пользователей по категориям UrL. При этом по результатам проверки возможны действия Monitor (мониторинг) либо Block (блокировка). В системе имеются около 50 предопределенных категорий и возможность создавать свои. База UrL — собственная, компании Ironport. В системе реализовано периодическое автоматическое обновление базы UrL. Фильтрация по UrL работает не совсем точно. Это хорошо проявляется на российских сайтах — если крупные сайты в выбранной категории определяются точно, то с относительно небольшими сайтами ситуация хуже.

Блокировки по загружаемым объектам
Политика доступа к интернет-ресурсам разрешает задать такой параметр, как максимальный размер загружаемого файла. Также доступна блокировка по типам объектов: Archives, Document Types, Executable Code, Installers, Media, p2p Metafiles, Web page Content. Данная возможность реализована хорошо, систему не обмануть, например сменой расширения файла на расширение допустимого типа. Кроме того, можно задать собственный тип объекта.

Репутационные фильтры и Antimalware
Одна из основных особенностей Ironport S650 — фильтрация вредоносного кода в интернет-трафике. Для этого применяются следующие технологии. Фильтры веб-репутации. Они работают аналогично репутационным фильтрам устройств защиты от спама. При настройке указываются диапазоны значений репутационной оценки для блокирования, дальнейшей проверки запроса, доступа к ресурсу без проверки.

Другая технология защиты от вредоносного кода — Ironport Dynamic Vectoring and Streaming, работающая с системами Webroot (фильтрация вредоносного кода на странице) и McAffee (фильтрация вредоносного кода в загружаемых файлах). Эта система обеспечивает второй уровень контроля и блокировку вредоносного кода. Данные системы периодически получают обновления сигнатур в автоматическом режиме.

Полученная входе тестирования статистика показывает надежную работу указанного функционала. Хотя происходят и ложные срабатывания, например системе не понравился такой известный ресурс, как www.yandex.ru, попавший в категорию Adware.


Дополнительные возможности
Одна из дополнительных возможностей Ironport S650 — функция настройки страницы уведомления пользователей. Можно изменить логотип на странице, добавить контакты администратора, изменить язык сообщения. К сожалению, сообщения на русском языке отображаются не всегда корректно.

Также имеется возможность направить с самого устройства запрос в службу поддержки Ironport Systems и организовать временный удаленный доступ кустройс-тву по защищенному каналу инженера службы поддержки.


Управление, мониторинг и отчеты

Средства управления в Ironport S650 в целом реализованы аналогично тому, какэто сделано в устройствах Ironport C-series. Для мониторинга работы устройства служат такие разделы, как Clients Web Activity, Clients Malware risk, Web Site Activity, Anti-Malware, UrL Categories, Web reputation Filters, System Status. Можно наблюдать статистику за час, день, неделю. Журналы работы устройства хранятся и периодически обновляются на диске. Их можно смотреть как локально, так и удаленно по FTp и SCp. Параметры настройки журналов задают в меню System Administration Log Subscription. Построение отчетов возможно двумя путями. Во-первых, встроенные отчеты. Их небольшое количество, они доступны в формате pDF как для просмотра на экране, так и для рассылки по e-mail по расписанию. Во-вторых, стороннее ПО Sawmill компании FlowerFire. Данный продукт лицензируется отдельно, он тестировался по временной лицензии. Для получения отчетов Sawmill копирует журналы с устройства Ironport S650(например, по FTp) и обрабатывает их в СУБД. Система предоставляет более широкие возможности по построению отчетов, чем сам Ironport S650. Однако отчеты, создаваемые ПО Sawmill, не являют- ся интуитивно понятными. Для получения отчета необходимого вида требуется детальное изучение системы и написание довольно сложных фильтров.


Выводы

Устройство защиты от интернет-угроз Ironport S650 проявило себя в основном с положительной стороны. Главными его преимуществами, на наш взгляд, являются: наличие надежного механизма обнаружения вредоносного кода — использование репутационных фильтров, основанных на SenderBase; исполнение в виде программно-аппаратного комплекса от одного производителя; широкие возможности управления политикой доступа клиентов к интернет-ресурсам. В качестве недочетов можно назвать недостаточно точную работу механизма UrL-фильтрации, а также ограниченные возможности по аутентификации клиентов.




Предыдущая новость:
Законодательство в сфере защиты персональных данных
Следующая новость:
Есть ли лекарство от кризиса?