5. UserGate Getting Started. Политики безопасности

5. UserGate Getting Started. Политики безопасности

Приветствую читателей в пятой публикации цикла статей, посвященных продукции компании UserGate . В данной статье будет рассматриваться раздел “Политики безопасности”. В частности мы рассмотрим “Инспектирование SSL”, “Фильтрацию контента”, “Веб-безопасность”.

Инспектирование SSL

Для начала разберем “Инспектирование SSL”, технология работы инспекции заключается в том что устройство совершает атаку типа man-in-the-middle. Для того чтобы провести данную атаку, нам нужен subordinate certificate CA, который будет использоваться для генерации SSL-сертификатов интернет-хостов. UserGate поставляется с набором сертификатов среди которых есть CA (Default) - это самоподписанный сертификат для инспектирования SSL. Его можно скачать по прямой ссылке со шлюза: http:// UserGate_IP:8002/cps/ca.

С помощью раздела “Инспектирование SSL” администратор может настроить инспекцию данных, передаваемых по протоколу TLS/SSL (HTTPS, SMTPS и POP3S).

Переходим непосредственно к настройке инспектирования. Создаем новое правило и на вкладке “Общие” определяем, что делать при совпадении всех условий, указанных на других вкладках. Действие может быть: расшифровывать или не расшифровывать. Внизу вкладки можно поставить дополнительные условия для срабатывания правила:

  • Блокировать сайты с некорректными сертификатами 

  • Проверять по списку отозванных сертификатов

  • Блокировать сертификаты с истекшим сроком действия

  • Блокировать самоподписанные сертификаты

Далее идут вкладки “Пользователи”, “Источник” (зона “Trusted”) и “Адрес назначения” (здесь указываются списки IP-адресов назначения трафика) настройки этих вкладок такие, как и в предыдущих статьях. Вкладка “Сервис” позволяет выбрать трафик используемый в данном правиле, доступны: HTTPS, SMTPS, POP3S. Вкладка “Категории”, в этом месте можно указать конкретную категорию сайтов (проверяется по базе данных UserGate (UserGate URL filtering 4.0), где сайты разложены по категориям), а не конкретный хост. В этой же вкладке можно проверить к какой категории принадлежит тот или иной сайт. 

Домены - Здесь можно указать список сайтов. Могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/).

Часто для корректной работы сайтов банков они не должны попадать в SSL инспекцию, поэтому создадим такое правило:

Укажем название правила “bypassbank”, действие “Не расшифровывать”, располагаться оно должно выше правил, которые расшифровывают трафик, поэтому вставляем его “В начало списка правил”. На вкладке “Источник” поставим зону “Trusted” и далее перейдя к вкладке “Сервисы” выберем “HTTPS”. На вкладке “Категории” проверяем несколько сайтов банков и видим, что они внесены в категорию “Финансы”, поэтому добавляем ее. Итоговое правило выглядит так:

Первым правилом мы пропускаем трафик к сайтам категории “Финансы” не производя инспекцию, вторым правилом мы дешифруем остальной трафик. В политике SSL инспекции если не создано ни одного правила, то SSL не перехватывается и не дешифруются, соответственно, контент, передаваемый по SSL, не фильтруется. 

Фильтрация контента

С помощью правил фильтрации контента администратор может разрешить или запретить определенный контент, передаваемый по протоколам HTTP и HTTPS, если настроено инспектирование HTTPS. 

Аналогично с другими политиками правила применяются сверху вниз, до первого сработавшего правила. Как мы видим, в самом низу политики находится правило “Разрешить все”, его нельзя удалить, переместить, изменить. Из названия понятно, что это правило разрешает любой HTTP и HTTPS контент и если трафик не попал в другие правила, то он будет разрешен.

В правилах фильтрации контента есть новые вкладки, которые пока не встречались в других политиках. На вкладке “Тип контента” (раньше называлась “MIME-типы контента”) нужно выбрать какой контент передается в трафике. Существуют списки типов контента, предоставляемые разработчиками UserGate. Данные списки типов контента нельзя редактировать, их можно использовать при определении правил фильтрации контента. Также можно создать свои списки, добавив необходимый тип контента в формате MIME. Вкладка “Морфология” позволяет добавить морфологический словарь для распознавания отдельных слов и словосочетаний на веб-сайте. Если в тексте содержится достаточное для блокировки количество указанных слов и словосочетаний, то доступ к сайту блокируется. Морфологический анализ выполняется как при проверке запроса пользователя, так и при получении ответа от веб-сервера и до его передачи пользователю. На вкладке “Useragent” можно запретить или разрешить работу пользователей только с определенным типом браузеров. Вкладка “HTTP метод” позволяет указать какой метод, используется в HTTP-запросах, как правило, это POST или GET. Вкладка “Рефереры” на ней можно запрещать или разрешать контент для определенных реферов, т.е. правило сработает, если для данной страницы реферер совпадает со списком указанных URL. На вкладке “Общие” можно выбрать действие: “Запретить”, “Предупредить” и “Разрешить”. Записывать ли в журнал при срабатывании правила. Если выбрано действие “Запретить”, то становятся доступными две настройки - “Проверять потоковым антивирусом UserGate” и “Эвристическая проверка”. Если выбрать обе настройки в одном правиле, то оно выполнится только, когда сработают одновременно два метода проверки. Также стоит заметить, что “Эвристическая проверка” влияет на производительность системы.

Рассмотрим правила, которые уже есть в политике после установки UserGate. Первые два правила на скриншоте регулируют доступ к различным сайтам из встроенных списков UserGate. 

Так первое правило разрешает доступ к сайтам образовательных учреждений, тогда как второе правило блокирует доступ к сайтам внесенных в реестр запрещенных сайтов Роскомнадзора.

Третье правило проверяет сайт на принадлежность к группе категорий “Productivity”, которая в свою очередь состоит из различных категорий (например, “Социальные сети”).

Если сайт подпадает под данное правило (социальная сеть facebook), то в данном случае появляется страница с предупреждением:

Следующее правило проверяет потоковым антивирусом UserGate информацию с сайтов, которые включены в группу категорий “Recommended for virus check” (Рекомендованные к проверке антивирусом). 

Есть еще несколько правил, которые работают со встроенными списками категорий и URL, но я рассматривать их не буду. Создадим несколько своих правил. 

Первое правило будет блокировкой контента, например zip архивы. Нажимаем кнопку “Добавить” и на вкладке “Общие” заполняем нужные нам строки: “Вкл”, “Название”, “Действие”. Далее на вкладке “Источник” выбираем зону “Trusted”.

После этого переходим на вкладку “Типы контента”. При нажатии на кнопку “Добавить” видим, что zip контента нет, поэтому создаем свой список контента с одним приложением. Для zip MIME-тип может быть таким: application/zip.

Теперь при попытке скачать zip появляется страница блокировки, которая содержит название правила и заблокированный контент.

Второе правило будет блокировать работу в браузере Internet Explorer. Для его создания нужно на вкладке “Useragent” выбрать из списка Internet Explorer. Теперь при открытии любой страницы в интернете через Internet Explorer должна появиться страница блокировки.

Создадим следующее правило, которое блокирует по морфологическому словарю. На вкладке “Морфология” уже есть словари, но я создам собственный словарь и буду блокировать страницы, где встречается слово банк, предварительно отключив правило, которое пропускает трафик через шлюз без инспекции для категории финансы. Я создам простой словарь, который блокирует страницу хотя бы при одном упоминании слова из словаря:

После создания данного правила, страницы, где содержатся слово банк должны блокироваться, например, при вводе слова банк в поисковую строку Яндекса получаем:

Переходим к правилу, работающему с HTTP реферами. Возьмем к примеру сайт Tssolution.ru , он использует CDN (Content Distribution Network), впрочем, как и большинство других сайтов. Заблокировав CDN средствами UserGate, мы получим не работающий сайт.

Для того чтобы решить эту проблему, необходимо в новом правиле, находящемся выше правила блокирующего CDN, на вкладке “Реферы” добавить URL tssolution.ru, после этого сайт будет работать.

В конце данного раздела хочу отметить, что здесь я разбирал примеры настройки правил. Для работы всей политики “Фильтрация контента”, необходимо сформировать очередность работы правил, т.к. из-за большого количества условий правило может не срабатывать из-за вышестоящих правил.

Веб-безопасность

С помощью раздела “Веб-безопасность“ администратор может включить дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS, если настроено инспектирование HTTPS.

Доступны следующие параметры:

“Блокировать рекламу”. В UserGate встроен собственный движок, удаляющий рекламу, следовательно, не нужно устанавливать пользователям в браузеры дополнительные плагины выполняющие схожие функции.

Функция «Инжектировать скрипт» позволяет вставить необходимый код во все веб-страницы, просматриваемые пользователем. Инжектируемый скрипт будет вставлен в веб-страницы перед тегом </head>.

“Безопасный поиск” принудительно включает функцию безопасного поиска для различных поисковых систем (как правило, где есть такая возможность, например Google, Yandex, YouTube).

Чекбоксом “История поиска” можно включить журналирование поисковых запросов пользователей.

“Блокировать приложения социальных сетей”. Предоставляет возможность, не затрагивая обычную функциональность социальных сетей блокировать приложения, например игры.

Заключение

В данной статье мы рассмотрели разделы “Фильтрация контента”, “Веб-безопасность”, “Инспектирование SSL”. Эти очень важные направления с точки зрения безопасности, являются обязательными компонентами современной защиты сети.  

Следите за обновлениями в наших каналах ( TelegramFacebookVKTS Solution Blog )!

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.