Предназначение
Web-шлюзы IronPort S-серии применяются для комплексной защиты компьютеров предприятия от различных сетевых угроз, а также для контроля за использованием Интернет и противодействия утечкам информации.
Устройства S-серии объединяют в себе функции нескольких отдельных сетевых устройств: традиционную фильтрацию URL, репутационную фильтрацию и защиту от вредоносного ПО на базе высокопроизводительного кэширующего прокси-сервера.
Такое совмещение функций позволяет сэкономить средства за счёт отказа от покупки нескольких отдельных устройств а также упрощает и удешевляет установку, настройку, и управление безопасностью сети.
Место Web-шлюза в корпоративной сети
В современных сетях чаще всего используется схема подключения веб-сканера в режиме прозрачного прокси, не требующего настройки пользовательких программ (браузеров, Email- и FTP-клиентов). При этом трафик перенаправляется на Web-шлюз IronPort с маршрутизатора, поддерживающего протокол WCCP v2.
.jpg)
Рис 1. Место Web-шлюза в корпоративной сети: типовая схема подключения.
Сетевые и управляющие порты
Рис 2. Сетевые и управляющие порты Web-шлюза IronPort S-серии.
Две независимых системы проверки трафика
В Web-шлюзах IronPort S-серии существует две независимых системы проверки трафика:
- Сканирующий прокси-сервер (Secure Web Proxy).
- Всепортовый монитор трафика четвёртого уровня (L4 Traffic Monitor).
Сканирующий прокси-сервер (Secure Web Proxy)
Сканирующий прокси-сервер представляет собой высокопроизводительный кэширующий прокси-сервер, снабжённый множеством средств контроля и анализа трафика, таких, как системы защиты от вредоносного ПО, средства фильтрации URL и средства защиты от утечек информации.
Говоря о режиме работы (схеме подключения) Web-шлюза IronPort S-серии, имеют в виду один из режимов работы сканирующего прокси-сервера:
Режимы работы сканирующего прокси-сервера.
Режим обычного прокси-сервера.
При работе сканирующего прокси-сервера в режиме обычного прокси-сервера во всех приложениях — (браузерах, FTP-клиентах) необходимо указать настройки прокси, а на самом Web-шлюзе достаточно настроить IP-адрес и порт, через которые приложения будут взаимодействовать с Интернет.
Режим прозрачного прокси-сервера.
Включение сканирующего прокси-сервера в сеть в качестве прозрачного прокси имеет множество преимуществ, например, отпадает необходимость в настройке всех клиентских приложений на всех ПК сотрудников. На практике режим прозрачного прокси-сервера чаще всего используется в сочетании с маршрутизатором, поддерживающим перенаправление трафика на устройство IronPort по протоколу WCCP v2. Также возможна настройка этого режима с помощью коммутатора 4-го уровня (L4 switch).
Включение в сеть с существующими прокси-серверами
Web-шлюз IronPort S-серии может быть легко включён в сеть с уже существующими прокси-серверами. При этом, для полноценной защиты ПК сотрудников от сетевых угроз, Web-шлюз должен быть расположен как можно ближе к локальной сети: например, между существующим прокси-сервером и локальной сетью. Для работы с вышестоящим прокси-сервером его адрес просто указывается в настройках Web-шлюза IronPort.
Если вышестоящий «прозрачный прокси» использует IP-адреса для аутентификации и определения прав доступа в Интернет, то на устройстве IronPort можно включить подмену IP-адресов (IP spoofing), чтобы вышестоящий прокси корректно определял адреса запрашивающих компьютеров. Для корректной работы аутентификации пользователей возможно включение поддержки заголовка X-Forwarded-For.
Для работы с обычным (не «прозрачным») вышестоящим прокси-сервером на устройстве IronPort достаточно ввести его IP адрес (или имя хоста), а также tcp-порт для создания соединений.
Системы контроля и анализа трафика, включённые в сканирующий прокси-сервер
Система репутационной фильтрации IP- и URL-адресов (Cisco IronPort Web Reputation Filters) - первый слой защиты от вредоносного ПО
Все IP- и URL-адреса, с которыми соединяются пользовательские компьютеры, проверяются системой репутационной фильтрации. Эта система сверяет все адреса с базой данных репутаций интернет-адресов Cisco IronPort SenderBase. Эта глобальная база данных хранит сведения о репутации практических всех IP- и URL-адресов в Интернете.
- Все соединения с адресами, которые числятся в этой базе данных как явно опасные или распространяющие вредоносное ПО, немедленно прерываются на уровне TCP-сессии, что предотвращает любые возможные попытки заражения компьютеров сотрудников.
- Соединения с адресами, которые числятся в базе данных SensorBase как подозрительные, могут подвергаться предельно глубокой проверке с помощью систем защиты от вредоносного ПО или тоже блокироваться - в зависимости от настроенных политк безопасности.
- Соединения с адресами, которые не числятся в базе данных как подозрительные, подвергаются умеренным проверкам или пропускаются без проверки.
Система репутационной фильтрации контролирует не только исходный адрес, введёный пользователей в браузере, но и весь последующий обмен данными, например, если сайт использует несколько IP- или URL-источников данных, (баннеров, картинок, частей сайта), то репутация каждого из них оценивается отдельно. Благодаря такому тщательному контролю всех источников данных система репутационной фильтрации заблокирует даже такой сайт, основной URL которого "легален", а источники содержимого различных его частей числятся в базе данных SenderBase как неблагонадёжные или содержат вредоносное ПО.
Система репутационной фильтрации защищает пользователей Web-шлюзов IronPort даже при появлении новых, более изощрённых видов сетевых атак, или попыток заражения через неизвестные уязвимости, поскольку при низком уровне репутации IP- или URL-адреса соединение с ним будет заблокировано на уровне TCP-сессии, и любая атака с этого адреса станет невозможна.
Кроме проверки репутаций IP- и URL-адресов в базе данных Cisco IronPort SenderBase система репутационной фильтрации использует базу данных Cisco SensorBase для защиты компьютеров от таких методов распространения эксплойтов, как
- межсайтовый скриптинг (XSS)
- межсайтовая подделка запроса (Cross-Site Request Forgery)
- внедрение SQL-кода (SQL injection)
- загрузка эксплойтов через iFrame
В состав базы данных Cisco SensorBase также входит база уязвимостей приложений IntelliShield. Сведения из этой базы уязвимостей позволяют системе репутационной фильтрации блокировать попытки эксплуатации известных уязвимостей приложений.
Более подробно о базах данных SenderBase и SensorBase рассказано в нашей статье "База данных SenderBase".
IronPort DVS и IronPort AntiMalware
Разбором трафика на потоки и объекты и их отправкой на анализ подсистеме IronPort Anti-Malware занимается специализированная система комплексного сканирования IronPort Dynamic Vectoring and Streaming. При передаче трафика на анализ для каждого потока или объекта учитывается полученный из базы данных SenderBase показатель репутации их источника. В зависимости от этого показателя и настроенных политик анализа объекты могут блокироваться, проверяться или пропускаться без проверки.
IronPort Anti-Malware - второй слой защиты от вредоносного ПО
Система сигнатурного и эвристического анализа IronPort Anti-Malware обрабатывает трафик с помощью продуктов сразу двух производителей - McAffee и Webroot, т.е. мультивендорное сканирование.
Webroot — лидер отрасли по защите от шпионского ПО.
Система Webroot обеспечивает защиту от всех видов шпионского ПО (т.н. Spyware). При сканировании трафика системой Webroot контролируется весь обмен данными, например, как http запросы, так и http-ответы при работе браузера. База сигнатур Webroot обновляется мощной командой технических специалистов при поддержке глобальной автоматизированной системы обнаружения вредоносных программ Phileas, ежедневно сканирующей миллионы веб-сайтов в поисках новых видов шпионских и других вредоносных программ.
McAfee — надёжная защита от вирусов.
Антивирусная система McAfee — один из лидеров рынка антивирусов. Система McAfee обеспечивает как классическое сигнатурное сканирование, так и эвристический анализ для распознания ранее неизвестных вирусов.
IronPort URL Filtering - фильтрация URL для контроля за доступом пользователей в Интернет
Практически все современные компании сталкиваются с необходимостью контролировать доступ своих сотрудников в Интернет.
Бесконтрольное пользование ресурсами сети Интернет снижает производительность труда, повышает вероятность заражения компьютеров компании различным вредоносным ПО, увеличивает риск утечек информации и значительно повышает расходы компании на оплату интернет-трафика. Также возможно изъятие серверов и ПК правоохранительными органами из-за скачивания сотрудниками различного незаконного контента.
Для контроля за пользованием различными ресурсами Интернет применяется технология фильтрации URL (Cisco IronPort URL Filters). Эта технология обеспечивает контроль за сетевыми приложениями:
- контроль доступа к интернет-сайтам по протоколам HTTP, HTTPS, и FTP
- контроль за использованием таких программ, как ICQ, Skype или любых других сетевых приложений.
При попытке пользователя открыть любой сайт, система фильтрации URL сверяет его адрес со специальной базой данных URL, содержащей более 21 млн. сайтов (с более 3,5 млрд. страниц) на множестве языков, включая русский. Все адреса в этой базе данных распределяются по 52 категориям (например "Блоги и форумы", "Сайты о медицине", "Порносайты", "Сайты о косметике и макияже" и др.). В зависимости от настроенных групповых или индивидуальных политик доступа, открытие сайта той или иной категории может быть разрешено или заблокировано для разных групп или отдельных пользователей. Администратор может добавить любой сайт в список блокируемых или, наоборот, разрешить посещение отдельного сайта.
Благодаря технологии дешифровки протокола HTTPS исключается обход системы фильтрации URL с помощью создания HTTPS-туннелей.
Групповые политики безопасности и связь со службами каталогов
Web-шлюзы Cisco IronPort S-серии включают в себя удобные средства создания политик фильтрации, которые можно применять к тем или иным пользователям или группам пользователей, используя службы каталогов на основе LDAP, в том числе Microsoft Active Directory.
Например, для групп непрофессиональных пользователей («Бухгалтерия», «Секретари») возможна установка различных ограничений, гарантирующих защиту сети от попыток использования «социальной инженериии» и других угроз. Для профессиональных пользователей устанавливаются менее рестриктивные политики, например, разрешающие загрузку .exe-файлов и другого контента. При этом авторизация пользователей производится по доменному логину и паролю.
Защита от утечек информации с помощью технологии IronPort Data Security Filtering
Устройства Cisco IronPort S-серии поддерживают средства защиты от утечек информации. При сканировании содержимого web-трафика устройство может реагировать на настраиваемые администратором признаки попыток разглашения коммерческих тайн и иной инсайдерской информации. При обнаружении таких попыток соединение может блокироваться с выдачей сообщения администратору или сотруднику службы безопасности предприятия.
Всепортовый монитор трафика четвёртого уровня (L4 Traffic Monitor).
Эта система предназначена для пассивного съёма трафика с зеркалирующего порта или Ethernet-ответвителя без возникновения дополнительных задержек в доступе пользователей к веб-страницам. При необходимости эта система может воспользоваться одним из портов передачи данных для прерывания связи с подозрительным IP- или URL-адресом на уровне tcp-сессии.
Всепортовый монитор трафика четвёртого уровня L4 Traffic Monitor проверяет данные, направляемые на все 65535 портов, а не только на 80 порт. Такой охват проверок позволяет не только обнаруживать вредоносное ПО, пытающееся установить соединение через обычно открытый на межсетевом экране 80-порт, но и контролировать P2P-, IRC, и другие соединения. Также эта система позволяет обнаруживать любые попытки вредоносного ПО, поразившего компьютер внутри сети, обойти проверяемый 80-й порт и связаться с управляющими серверами bot-сети или передать информацию злоумышленикам.
Всепортовый монитор трафика четвёртого уровня L4 Traffic Monitor совершенно независим от сканирующего прокси-сервера и режима его работы. Для подключения этого сканера используются порты T1 и T2 на Web-шлюзе.
Варианты подключения:
- через зеркалирующий порт на коммутаторе (SPAN/mirroring port)
- через специальное устройство - пассивный ответвитель (Ethernet tap).
Самое простое и часто используемое решение - съём трафика с зеркалирующего порта коммутатора.
При этом, подключение через отдельный пассивный ответвитель имеет ряд преимуществ: например, повышение производительности работы сканера благодаря разведению входящего и исходящего трафика сети по портам T1 и T2 (симплексное подключение).
В нижеприведённой схеме произведено подключение обеих систем проверки трафика: сканирующего веб-прокси (Secure Web Proxy) и всепортового монитора трафика четвёртого уровня (L4 Traffic Monitor).
Рис 3. Подключение двух систем проверки трафика - Secure Web Proxy и L4 Traffic Monitor
Базовые технологии - аппаратная платформа, операционная система и специальное ПО
Аппаратная платформа
Все модели Web-шлюзов Cisco IronPort S-серии основаны на мощных серверных аппаратных платформах, включающих один или несколько одно- или многоядерных процессоров Intel, дисковые массивы RAID различных конфигураций, резервирование блоков питания и множество других возможностей, типичных для современных высокопроизводительных серверов.
Специализированная операционная система AsyncOS
Специально разработанная для использования в шлюзах безопасности Cisco IronPort операционная система AsyncOS обладает исключительно высокой производительностью на целевых задачах, большими возможностями по параллельной обработке множества потоков и прекрасной защищённостью от сетевых атак. Подробнее об этой операционной системе читайте в статье «Операционная система AsyncOS и прикладное ПО.»
Высокопроизводительный кэширующий прокси-сервер
Технологической основой сканирующего веб-прокси является созданный компанией Cisco IronPort высокопроизводительный кэширующий прокси-сервер, который контролирует весь транзитный трафик и при необходимости задерживает подозрительные объекты для более тщательной инспекции.
Написанный специально для работы в высоконагруженных веб-шлюзах кэширующий прокси-сервер использует все возможности операционной системы AsyncOS. Благодаря использованию массивного параллелизма, технологии Stackless Threads™ и других возможностей производительность кэширования веб-шлюзов Cisco IronPort S-серии более чем в десять раз выше, чем у прокси-серверов на классических UNIX-системах и открытом ПО.
Система учёта web-репутаций сайтов при кэшировании
Репутация источника трафика учитывается при работе прокси-сервера, что позволяет быстро доставлять пользователям заведомо легальный трафик с умеренной проверкой на вредоносность, а трафик из более подозрительных источников подвергать максимально глубокому анализу для обнаружения замаскированного вредоносного ПО.
Система комплексного сканирования трафика Cisco IronPort Dynamic Vectoring and Streaming (DVS)
Система DVS представляет собой созданное компанией IronPort специализированное ПО, работающее в среде операционной системы AsyncOS. Это ПО предназначено для скоростной обработки трафика с использованием сразу нескольких источников сигнатур вредоносного ПО (мультивендорный анализ), а также для контекстного анализа содержимого web-трафика.
Написанная специально для высокопроизводительных веб-шлюзов, эта система использует все аппаратные возможности устройств, включая распределение нагрузки на все ядра одного или нескольких многоядерных процессоров. Производительность системы сканирования трафика IronPort DVS более чем на порядок превышает производительность схожих решений-конкурентов.
Система комплексного сканирования трафика IronPort Dynamic Vectoring and Streaming (DVS) обеспечивает работу мультивендорной технологии Cisco IronPort Anti-Malware.
Веб-интерфейс: развитые средства мониторинга и отчётности
Все виды отчётов о работе устройства доступны через средство мониторинга Cisco Ironport Web Security Monitor. С его демо-версией можно ознакомиться здесь.
Веб-интерфейс: удобные средства управления устройством
Все функции устройства можно быстро настроить с помощью средства управления Сisco Ironport Web Security Manager. С демо-версией средства управления можно ознакомить здесь.
Простая пошаговая программа для создания первоначальной конфигурации (System Setup Wizard)
При первом подключении веб шлюза IronPort S-серии к сети запускается пошаговая диалоговая программа System Setup Wizard для создания начальной конфигурации системы. Эта программа последовательно предлагает ввести все необходимые настройки и создаёт начальную конфигурацию системы, в которую в дальнешем можно вносить необходимые изменения вручную. С демо-версией программы первоначальной конфигурации можно ознакомиться здесь. |
