Журнал "Information Security/ Информационная безопасность" #4, 2020

Межсетевые экраны нового поколения уже пол- ноценно обрабатывают соединения вплоть до седь- мого прикладного уровня модели OSI, что позволяет анализировать трафик при- ложений и данные, переда- ваемые приложениями. Расшифровка SSL-тра- фика и работа на приклад- ном уровне модели OSI поз- воляют шлюзу проводить полноценный морфологиче- ский анализ содержимого и распознавать отдельные слова и словосочетания в трафике, идущем со сторо- ны веб-сайтов. В корпоративных сетях необходимо решать задачи пред- отвращения утечек информации, фильтра- ции нежелательного кон- тента, обнаружения и нейтрализации атак. Фильтрация интернет- трафика значительно увеличивает безопас- ность локальной сети, так как позволяет обес- печить административ- ный контроль за исполь- зованием Интернета, закачками и обеспечивает бло- кировку посещения потенциаль- но опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой. Фильтрации HTTPS Решение задачи фильтрации осложняется ростом объемов SSL-трафика, его доля в рос- сийском сегменте Интернета к осени 2020 г. приблизилась к 95% 1 , а внедрение поддержки TLS 1.3 на многих сайтах внесло дополнительные требования к возможности дешифрования защищенного трафика. Современное решение этой задачи заключается в исполь- зовании технологии "человек посередине" (Man-in-the-Middle, MitM), где роль "человека" игра- ет межсетевой экран. Упрощенно это происходит так: l шлюз инспектирует соедине- ние, использующее протокол TLS 1.3, от клиентского устрой- ства до веб-сайта, на который поступает запрос пользователя; l после получения ответа от веб-сайта информация переда- ется шлюзом на клиентское устройство также по защищен- ному протоколу, но уже с сер- тификатом, выданным шлюзом безопасности. Благодаря такой схеме у шлюза имеется возможность инспектировать трафик, пере- даваемый в защищенный сег- мент сети извне, а также и тра- фик, передаваемый из внутрен- ней сети на внешние адреса. В результате весь зашифро- ванный SSL-трафик, включая TLS 1.3, анализируется с при- менением полного набора мето- дов фильтрации, поддерживае- мых шлюзом, в том же режиме, что и нешифрованный. В UserGate для анализа тра- фика применяются в том числе сигнатурный анализ, проверка на наличие вирусов и выявле- ние признаков атак на элементы инфраструктуры. Все подозри- тельные активности записы- ваются в журнал. Кроме того, если необходимо, трафик может передаваться в сторонние сред- ства защиты информации, например в песочницы, чтобы уже там выявлять угрозы опре- деленных типов. Фильтрация и протоколиро- вание трафика осуществляется в реальном времени, без види- мых задержек для пользовате- лей сети или лиц, осуществ- ляющих атаку. Фильтрация на уровне приложений Классические межсетевые экраны обрабатывают трафик с первого по четвертый уровень модели OSI, то есть с физиче- ского уровня по транспортный, и, как правило, оперируют толь- ко ip-адресом, портами источ- ника, назначения и типом используемого в соединении транспортного протокола. Множество приложений сей- час работает по протоколам, использующим открытый 443-й порт межсетевого экрана, и классический экран просто не в состоянии фильтровать или понимать прикладное содержимое этого трафика. Но дело в том, что приложения сейчас умеют сканировать доступные порты и устанавли- вать соединение вовне, исполь- зуя любой открытый внешний порт. Ничего не мешает зло- вреду получить доступ и пере- давать данные наружу по откры- тому 443-му порту. Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) уже полно- ценно обрабатывают соеди- нения вплоть до седьмого прикладного уровня модели OSI, что позволяет анализи- ровать трафик приложений и данные, передаваемые при- ложениями. Функция контроля приложе- ний на седьмом уровне в User- Gate основана на обновляемой базе сигнатур. Сейчас в базе уже более тысячи приложений, и эти данные могут быть использованы в настройке пра- вил межсетевого экрана, что позволяет решать задачи, например, ограничения про- пускной полосы для видеокон- тента с видеохостингов или, наоборот, настроить приорити- зацию трафика для видеокон- ференцсвязи. При этом шлюз задействует несколько механизмов фильт- рации: l фильтрацию по категориям; l морфологический анализ; l безопасный поиск по черным и белым спискам; l блокировку контекстной рек- ламы на уровне шлюза; l запрет загрузки определен- ных типов файлов; l технологию антивирусной проверки трафика на базе Deep Content Inspection. Решение UserGate предо- ставляет для контент-фильт- рации собственную базу элек- тронных ресурсов – более 12 • ТЕХНОЛОГИИ Проблемы контент-фильтрации в межсетевых экранах Иван Чернов, менеджер партнерского отдела UserGate 1 https://radar.yandex.ru/https