26 мая 2023
Контроль приложений
Best Practices по Континент 4
Статья 1. Введение
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
Приветствую всех читателей! Сегодня мы с вами подробно рассмотрим компонент «Расширенный контроль приложений».
Разные приложения могут использовать одинаковые порты для своей работы. Поэтому может получиться так, что на одном и том же порту может работать несколько приложений, одни из которых необходимо разрешить, а другие заблокировать. Здесь нам и помогает контроль приложений. Комплекс Континент во время фильтрации обеспечивает пошаговую обработку трафика. После проверки IP-адреса, протокола и порта трафик может быть дополнительно проанализирован с использованием механизма контроля протоколов/приложений.
Разные приложения могут использовать одинаковые порты для своей работы. Поэтому может получиться так, что на одном и том же порту может работать несколько приложений, одни из которых необходимо разрешить, а другие заблокировать. Здесь нам и помогает контроль приложений. Комплекс Континент во время фильтрации обеспечивает пошаговую обработку трафика. После проверки IP-адреса, протокола и порта трафик может быть дополнительно проанализирован с использованием механизма контроля протоколов/приложений.
Контроль протоколов
Помимо определения приложений можно определять протокол. Контроль протоколов проводится только для трафика по транспортным протоколам TCP или UDP. Порт получателя в настройках сервиса может быть любым, что позволяет определить протокол на нестандартных портах. Например, протокол http работает на 80 порту, но он также может и работать на любом другом порту. С помощью контроля протоколов мы можем разрешить http трафик «как приложение» на любом порту, а весь другой будет заблокирован.
Типы контроля приложений
В комплексе Континент используется 2 типа контроля приложений:
К примеру, приложение Steam имеет следующий набор атрибутов:
- Базовый контроль приложений, включающий в себя около 300 приложений.
- Расширенный контроль приложений, который включает в себя примерно 4000 приложений.
К примеру, приложение Steam имеет следующий набор атрибутов:
Для включения функционала расширенного контроля приложений необходимо в свойствах узла безопасности в разделе «Компоненты» активировать компонент «Расширенный контроль протоколов и приложений».
Для демонстрации работы контроля протоколов/приложений создадим 3 правила. Объединим приложения Tunnel и P2P в группы. Также создадим правило для блокировки WhatsApp.
При настройке реального оборудования внимательно изучайте приложения, которые добавляете в группу. Возможно, некоторые приложения не стоит добавлять. Некоторым же лучше будет изменить атрибуты, создав свои на основе родительских.
Проверку начнем с WhatsApp. Подключение в WhatsApp происходит при помощи qr-кода. У нас же из-за блокировки он даже не прогрузится:
Проверку начнем с WhatsApp. Подключение в WhatsApp происходит при помощи qr-кода. У нас же из-за блокировки он даже не прогрузится:
В журнале сетевой безопасности будет следующее событие:
Также можно использовать различные атрибуты. Создадим на основе приложения WhatsApp собственное, добавим атрибут file-transfer.
Добавим созданное приложение в правило блокировки WhatsApp на замену прошлого. Теперь мы сможем войти в приложение, но будет заблокирована отправка сообщений с вложениями. Ниже можно увидеть попытку отправки.
В журнале сетевой безопасности будет соответствующая запись. Мы видим, что сработала сигнатура whatsapp.file-transfer.
Далее можно проверить блокировку VPN приложений и торрентов. Для проверки воспользуемся приложениями Proton VPN и BitTorrent. При попытке установить соединение в Proton VPN мы увидим сообщение о сбое. В приложении BitTorrent загрузка не будет осуществляться.
В журнале сетевой безопасности можно подробно познакомиться с информацией о блокировке.
Как и упоминалось ранее, помимо контроля приложений можно использовать контроль протоколов. Для тестирования данного функционала поднимем веб сервер на ВМ KALI на порту 7777.
Далее создадим правило, разрешающее трафик по протоколу http (в качестве сервиса будет указан «любой», в контроле приложений устанавливаем http). Т.е мы разрешим веб трафик как приложение.
Попробуйте перейти в браузер на веб сервер, в нашем случае это http://10.10.41.85:7777. Откроется веб сервер.
В журнале сетевой безопасности будет следующая запись:
Несмотря на то, что в качестве сервиса в правиле был указан «любой», при попытке отправить ping ВМ KALI подключения не будет, т.к на уровне контроля протоколов/приложений был разрешен только http трафик.
На этом мы заканчиваем. В следующей статье рассмотрим защиту от вредоносных веб-сайтов, URL-фильтрацию по категориям и антивирус.
Автор: Никита Семёнов, инженер TS Solution
Автор: Никита Семёнов, инженер TS Solution