Блог Cisco в России и СНГ
Share

Контроль доступа к запрещенному Web контенту


July 21, 2013


На написание этой статьи меня натолкнул последний проект закона,  описанный здесь: http://www.tasstelecom.ru/news/one/22216, который в том числе предусматривает блокирование доступа к сайтам – интернет-казино.  Что мы можем предложить в этом случае?

У нас есть несколько решений, которые позволяют контролировать доступ пользователей к Web ресурсам, а также защищающих их от различных Internet-угроз. Это ASA Next Generation Firewall (ASA NGFW), Cisco Web Security Appliance, и Cisco Cloud Web Security.

Все решения поддерживают базовую Web безопасность на основе Web репутации. Все решения используют общую базу данных URL категорий, обновляемую из одного источника, все решения позволяют создавать политики доступа пользователей к Web и использовать при этом имя пользователя, его принадлежность к группам, а также поддерживают работу в режиме Single Sign On и все умеют работать с HTTP и HTTPS трафиком, в том числе и обеспечивают возможность перехвата HTTPS трафика.

Но у этих решений есть и отличия. Cisco Web Security Applinace – это кеширующие Web прокси, требующие принудительного перенаправления трафика. WSA обрабатывает протоколы HTTP, HTTPS, Native FTP и FTP over HTTP. WSA может быть легко интегрирован с внешними SIEM системами путем экспорта логов, и WSA анализирует не только входящий HTTP трафика, а и исходящий с возможностью подключения внешних DLP систем, а также обеспечивает полный функционал Web безопасности как с помощью репутационных систем, так и путем сканирования трафика anti-malware движками.

Cisco Cloud Web Security по сути представляет из себя полноценную multi-tenant прокси-систему, которая установлена в более чем 20 ЦОД-ах, разбросанных по всему миру.  Эта система обеспечивает тот же функционал безопасности и контроля трафика, что и остальные наши системы, но, как и любая облачная система, она имеет преимущества, связанные с простотой развертывания и масштабирования. Очень хорошо подходит в качестве решения для компании с большим количеством мелких подразделений или филиалов, когда устанавливать прокси-сервера в каждом из филиалов дорого, а гонять публичный web-трафик по корпоративным каналам связи неоптимально. А для перенаправления трафика в облако можно использовать существующую Cisco инфраструктуру. Функция “connector”, обеспечивающая перенаправление трафика уже встроена как во все модели Cisco ISR G2, так и в Cisco ASA, начиная с самой младшей модели ASA5505.

И наконец, наш новый продукт — ASA Next Generation Firewall. Раньше он назывался ASA CX. Мы рассказывали о нем раньше в статье “Мы запускаем портал по  ASA CX”. Это полноценный межсетевой экран, работающий на потоке трафика и позволяющий построить сложные правила доступа к Internet. Например, включить возможность использования внешних DNS серверов, но ограничить трафик, проходящий через порт TCP/UDP 53 только DNS трафиком.

Контролировать трафик мобильных пользователей всегда было довольно сложной задачей. Благодаря Cisco AnyConnect эта задача упрощается, как для пользователя, так и для администратора системы. Cisco AnyConnect может использоваться как для автоматического перенаправления трафика в Cisco Cloud Web вне зависимости от того, где находится пользователь, а функция Trusted Network Detection позволяет избежать ненужного перенаправления, когда мобильный пользователей находится внутри сети, так и для автоматической передачи информации о пользователе на Cisco WSA или же на ASA CX, что позволяет быстро применить политики доступа к Web для удаленного пользователя.

Я писал в начале статьи про общий функцинал во всех наших решениях. Есть еще кое-что. Все используют общую базу данных, которая называется Web Usage Controls, сокращенно – WUC.

Она включает в себя базу URL категорий с широким глобальным покрытием. Вернувшись к законопроекту, связанному  с блокированием доступа к онлайн-казино, достаточно будет заблокировать доступ категории Gambling. И любой пользователь, который попытается получить доступ к онлайн казино, увидит такое предупреждение от Web Security Appliance:

pic3

Или же такое предупреждение от нашего облачного сервиса:

pic2

Web является живой, быстро изменяющейся средой, и медленные базы данных URL категорий могут не успевать за происходящими изменениями. Для того, чтобы отслеживать эти изменения, у нас есть ряд инструментов, начиная от телеметрии, которую можно включить на наших устройствах, заканчивая возможностью ручного обновления категорий через портал, доступный на www.cisco.com.

Большую проблему при настройке контроля доступа представляют анонимайзеры – открытые прокси-сервера, подключившись к которым, можно обойти системы контроля, поскольку запросы уходят на анонимизатор, а не непосредственно на ресурс. Анонимизаторы можно заблокировать с помощью категории Filter Avoidance, куда входит большинство публичных анонимизаторов, которых можно найти в Internet. А если кто-то попытается обойти категорию и развернуть свой собственный анонимайзер, то доступ к нему можно заблокировать с помощью дополнительного механизма Web AVC (Application Visibility and Control). AVC выполняет более глубокий анализ трафика и определяет приложение, которое использует HTTP протокол. В список поддерживаемых приложений входит 19 различных прокси-приложений

Блокирование доступа к CGI proxy в Cloud Web Security

pic1

Наборы правил, включающие ограничение доступа к запрещенным категориям, запрет доступа к  Filter Avoidance и ограничение доступа по приложениям, позволяют надежно заблокировать доступ к любым нежелательным ресурсам.

 

Tags:
Оставить комментарий

4 Comments

  1. Павел, как можно связаться с Вами напрямую? Тема блокировки доступа к запрещенному контенту очень “горячая”, нам хотелось бы рассказать сисадминам о новых трендах в контроле трафика по-подробнее (в частности о том, как можно блокировать анонимайзеры).

  2. Чето не доверяю я этим всем системам безопасности трфика в интернете.

  3. ”используют общую базу данных URL категорий, обновляемую из одного источника”… – где эта база данных? и как можно получить доступ к ней?

    • Эта база используется нашим оборудованием — Cisco WSA, Cloud Web, ASA Next Generation Firewall. Доступ к ней есть через специальный Web портал, с помощью которого можно сообщить о ресурсах без категории или же с неправильно назначенной категорией.