30 мая 2023
WEB/FTP-фильтрации
Best Practices по Континент 4
Статья 1. Введение
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
Приветствую всех читателей! Сегодня мы с вами рассмотрим защиту от вредоносных веб-сайтов, URL-фильтрацию по категориям и антивирус.
В комплексе Континент 4 реализован механизм, который позволяет анализировать и обрабатывать сетевой трафик на уровне протоколов:
В комплексе Континент 4 реализован механизм, который позволяет анализировать и обрабатывать сетевой трафик на уровне протоколов:
- HTTP;
- HTTPS:
- FTP.
Фильтры WEB/FTP-фильтрации
Механизм WEB/FTP-фильтрации работает как прокси. Выполняется атака MITM. Если используется протокол HTTPS, то выполняется HTTPS-инспекция (SSL Bump).
В качестве фильтров для WEB/FTP-фильтрации могут выступать:
В качестве фильтров для WEB/FTP-фильтрации могут выступать:
- Фиды Threat Intelligence от Кода Безопасности;
- Фильтры от Kaspersky для защиты от вредоносных сайтов;
- Фильтры URL-фильтрации по категориям от SkyDNS;
- ECAP-сервис или ICAP-сервер;
- Пользовательские фильтры.
Потоковый антивирус
В версии 4.1.5 добавлен потоковый антивирус по хэшам (ECAP-сервис). В данном случае не проверяется содержимое самого файла, а проверяется его хэш. Если хэш есть в списке скомпрометированных файлов, то происходит блокировка. В случае необходимости полноценной проверки файла можно воспользоваться интеграцией с песочницей по ICAP.
Прежде всего необходимо выпустить сертификат SSL/TLS-инспекции в разделе «Администрирование»-«Сертификаты»-«Промежуточные центры сертификации» и привязать его на УБ. Для активации функционала WEB/FTP-фильтрации необходимо в свойствах узла безопасности в разделе «Компоненты» активировать компоненты:
Прежде всего необходимо выпустить сертификат SSL/TLS-инспекции в разделе «Администрирование»-«Сертификаты»-«Промежуточные центры сертификации» и привязать его на УБ. Для активации функционала WEB/FTP-фильтрации необходимо в свойствах узла безопасности в разделе «Компоненты» активировать компоненты:
- Защита от вредоносных веб-сайтов;
- URL-фильтрация по категориям;
- Антивирус.
Создадим ECAP-сервис. Для этого перейдем в «Контроль доступа»-«Межсетевой экран»-«ECAP-сервис» и создадим ECAP-сервис.
В качестве режима работы рекомендуем использовать «Режим модификации ответа», т.к в данном режиме на проверку будут отправляться только входящие запросы. С активным режимом «модификации запроса» на проверку будут отправляться и исходящие запросы. Во вкладке «Фильтры» можно настроить MIME-типы файлов, которые будут отправляться на проверку антивирусом.
Далее необходимо создать профиль Web/FTP-фильтрации. Для этого перейдем в «Контроль доступа»-«Межсетевой экран»-«Профили Web/FTP-фильтрации» и создадим профиль. При создании профиля фильтрации необходимо указать схему использования http/https/ftp и добавить объекты, которые будет включать в себя профиль (Фильтры от Kaspersky, URL-категории от SkyDNS, ECAP-сервис или ICAP-сервер). В качестве действия можно выбрать: блокировать, перенаправить, разрешить.
Данный профиль веб-фильтрации работает следующим образом. Фильтры, добавленные в профиль, будут блокироваться. Весь остальной веб-трафик разрешен.
Обязательно к блокировке я бы рекомендовал фильтры от Kaspersky. По остальным фильтрам все индивидуально, с полным списком можно ознакомиться ниже.
Обязательно к блокировке я бы рекомендовал фильтры от Kaspersky. По остальным фильтрам все индивидуально, с полным списком можно ознакомиться ниже.
- Content Delivery Networks;
- Агрессия, расизм, терроризм;
- Бизнес, экономика, маркетинг;
- Блокировка по предписанию;
- Ботнеты;
- Веб-почта;
- Досуг и развлечения;
- Интернет-магазины;
- Компьютерные игры;
- Корпоративные сайты;
- Криптомайнинг;
- Наркотики;
- Образование и учебные учреждения;
- Поисковые системы;
- Порнография и секс;
- Правительство;
- Прокси и анонимайзеры;
- Радио и музыка онлайн;
- Реестр запрещенных сайтов;
- Сайты для взрослых;
- Сайты, распространяющие вирусы;
- Социальные сети;
- Торренты и P2P-сети;
- Файловые архивы;
- Федеральный список Минюста;
- Фильмы и видео онлайн;
- Финансы и финансовые учреждения;
- Фишинг;
- Чаты и мессенджеры.
Теперь, когда профиль создан, необходимо добавить его в правила фильтрации. Создадим правило, разрешающее https трафик. Напомню, в одном правиле с профилем URL-фильтрации указывается только один сервис. Например, если нужно использовать в правилах сервисы tcp/443 и tcp/80, то для каждого из этих сервисов создается отдельное правило. В столбце профиль укажем созданный выше профиль.
Подробнее с созданием правил веб-фильтрации можно познакомиться в статье Континент 4 Getting Started ❘ 4) Веб-контроль.
Подробнее с созданием правил веб-фильтрации можно познакомиться в статье Континент 4 Getting Started ❘ 4) Веб-контроль.
Начнем проверку. Для начала необходимо убедиться, что https-инспекция работает и качестве сертификата на ресурсах отображается наш сертификат ssl/tls-инспекции.
Далее попробуем скачать тестовый вредоносный файл eicar, для проверки работы антивируса. При попытке скачать его, мы увидим следующую страницу:
В журнале сетевой безопасности можно подробно познакомиться с информацией о блокировке.
Проверим категоризацию ресурсов. Попробуем перейти на ресурс hotspotshield.com. Получим следующую страницу:
В журнале безопасности мы видим запись, что данный ресурс заблокирован и относится к категории «прокси и анонимайзеры»
Переход на фишинговый сайт тоже блокируется, а в журнале следующая запись:
Помимо предустановленных групп веб-фильтров можно создавать пользовательские. Для этого необходимо перейти в раздел «Контроль доступа»-«Межсетевой экран»-«Группы Web/FTP-фильтров» и создать группу фильтров.
Далее необходимо создать фильтры в нашей новой группе. Для этого нажмите «Создать Web/FTP-фильтр». В окне создания фильтра можно указать адрес ресурса, схему использования http/https/ftp, методы, контент (MIME-типы файлов), маршруты.
В качестве примера создадим 3 фильтра: блокировка яндекс музыки, все MIME-типы video, исполняемые файлы.
В качестве примера создадим 3 фильтра: блокировка яндекс музыки, все MIME-типы video, исполняемые файлы.
Добавим пользовательскую группу в профиль фильтрации. В качестве действия выберем «блокировать».
Проверим отработку фильтра. Для этого попробуем открыть сайт music.yandex.ru. Сайт не отроется, в журнале будет запись:
Проверим отработку фильтра. Для этого попробуем открыть сайт music.yandex.ru. Сайт не отроется, в журнале будет запись:
Попробуем воспроизвести какое-либо видео, но видео не воспроизводится:
В журнале безопасности можно посмотреть нагрузку. Мы видим, что произошла блокировка, т.к использовался MIME-тип «video/mp4».
Попытка скачать исполняемый файл также будет заблокирована:
На этом наша статья заканчивается. Уже в следующей статье рассмотрим очень важную тему совместного использование веб-фильтрации и расширенного контроля приложений.
Автор: Никита Семёнов, инженер TS Solution
Автор: Никита Семёнов, инженер TS Solution