Журнал "Information Security/ Информационная безопасность" #4, 2020
В настоящее время орга- низация работы порталов с использованием алгоритмов ГОСТ осложняется пробле- мой: известные зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ, не доверяют им и попросту не пускают поль- зователей для посещения. UserGate работает на базе специально созданной и поддерживаемой опера- ционной системы, а также на специально спроектиро- ванных аппаратных устрой- ствах, позволяющих обеспе- чить наибольшую эффектив- ность и скорость обработки трафика. 500 млн адресов сайтов и более 70 категорий. Разра- ботчик проводит ежедневное обновление списка сайтов, осу- ществляет повторную проверку уже внесенных ресурсов на предмет изменения контента и актуальности информации о категориях. Морфологический анализ Расшифровка SSL-трафика и работа на прикладном уровне модели OSI позволяют шлюзу проводить полноценный мор- фологический анализ содержи- мого и распознавать отдельные слова и словосочетания в тра- фике, идущем со стороны веб- сайтов. Если в тексте содер- жится достаточное для блоки- ровки количество словарных слов и словосочетаний, то соединение определяется как небезопасное, а доступ к сайту блокируется. Для фильтрации контента применяются морфологические словари, обновляемые разра- ботчиком и содержащие списки материалов, запрещенных Министерством юстиции Рос- сийской Федерации, а также материалы, связанные с суици- дом, терроризмом, порнографи- ей, нецензурной лексикой, кази- но, наркотиками, и сведения, подпадающие под действие Федерального закона от 29.12.2010 г. № 436-ФЗ "О защите детей от информа- ции, причиняющей вред их здо- ровью и развитию". Словари доступны на русском, англий- ском, немецком, японском и арабском языках. UserGate также предостав- ляет свои списки фишинговых сайтов, списки систем, которые не умеют работать с безопас- ным поиском, списки образо- вательных учреждений и др. Дополнительные параметры фильтрации Администратор может задать дополнительные параметры веб-безопасности для протоко- лов HTTP и HTTPS: l блокировку рекламы; l функцию "инжектировать скрипт", позволяющую вставить необходимый код во все веб- страницы, просматриваемые пользователем; l принудительное включение безопасного поиска для поиско- вых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и пор- тала YouTube для блокировки нежелательного контента; l включение журналирования поисковых запросов пользова- телей; l блокировку приложений популярных социальных сетей. Фильтрация TLS ГОСТ Развитие этой сферы не стоит на месте, и вопрос доверия к сертификатам и к ресурсам, их использующим, полностью все еще не решен. На данный момент споры на тему "Нужно ли расшифровывать TLS 1.3" утихли, однако появился сле- дующий вопрос: что делать с TLS ГОСТ? Реализация протокола TLS с использованием алгоритмов ГОСТ была придумана для того, чтобы иностранные удостове- ряющие центры не имели воз- можности отозвать сертификат какого-либо ресурса, тем самым нарушая его доступ- ность для посетителей. В настоящее время организа- ция работы порталов с исполь- зованием алгоритмов ГОСТ осложняется другой проблемой: известные зарубежные браузе- ры и операционные системы не хотят принимать сертифи- каты, совместимые с ГОСТ, не доверяют им и попросту не пус- кают пользователей для посе- щения. Для корректного досту- па в такие ресурсы пользова- телю нужно иметь соответ- ствующий браузер (на данный момент насчитывается два таких браузера на рынке) или импортозамещенную опера- ционную систему. В использовании TLS с под- держкой ГОСТ-алгоритмов шифрования есть две основные проблемы: 1. Проблема инфраструктуры. Далеко не все устройства готовы к использованию совме- стимых сертификатов, особенно это касается мобильных устройств. В данном случае UserGate позволяет принять сертификат, совместимый с ГОСТ, расшифровать трафик и отдать внутрь сети уже с понятным внутрикорпоратив- ным сертификатом. Таким обра- зом, отпадает необходимость использовать специальные браузеры для доступа к ресур- сам. Пользователи могут не мигрировать с привычных про- дуктов. 2. Проблема безопасности. К сожалению, наличие сер- тификата гарантирует только то, что портал относится дей- ствительно к той организации, которую он представляет. Если сайт был скомпрометирован, если были украдены сертифи- каты (такие случаи тоже извест- ны) либо если в рамках защи- щенного соединения передает- ся зловредный файл, то это все будет спокойно реализовано, даже несмотря на применение шифрования с помощью TLS ГОСТ. При этом ни одно реше- ние не готово раскрывать тра- фик с отечественными алгорит- мами шифрования для деталь- ного анализа содержимого. Решение UserGate умеет рабо- тать с таким трафиком, прово- дить глубокую инспекцию и выявлять опасные, подозри- тельные и зловредные элемен- ты даже внутри защищенного трафика. Заключение UserGate работает на базе специально созданной и под- держиваемой операционной системы, а также на специально спроектированных аппаратных устройствах, позволяющих обес- печить наибольшую эффектив- ность и скорость обработки тра- фика. Разработчики уделили много внимания созданию собствен- ной платформы, не базирую- щейся на использовании чужого исходного кода и сторонних модулей. UserGate получил ряд наград именно за качество интернет- фильтрации и широко исполь- зуется для этой цели во многих организациях, вузах и у опера- торов связи. l • 13 ЗАЩИТА СЕТЕЙ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ компании UserGate см. стр. 56 NM Реклама
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw