Приветствую всех в четвертой статье, посвященной Континент 4. В данной статье рассмотрим защиту от вредоносных веб-сайтов. Разберем работу SSL-инспекции, создадим профиль для работы с веб-фильтрами и настроим портал аутентификации.
В Континент 4.1 предусмотрен механизм усиленной фильтрации, который может анализировать и обрабатывать сетевой трафик на уровне прикладных протоколов HTTP(S), FTP. Для защиты от вредоносных веб-сайтов используются Web/FTP-фильтры. Фильтры объединяются в группы. Каждый фильтр описывается следующими параметрами:
адрес — доменное имя сервера-получателя;
схема — схема адресации ресурсов интернета: FTP, HTTP или HTTPS;
методы — методы запроса выбранного прикладного протокола;
контент — список MIME-заголовков и расширений файлов;
маршруты — названия веб-страниц, имена загружаемых файлов или соответствующие регулярные выражения;
описание — краткое описание фильтра в произвольной форме.
Приступим к настройке веб фильтров.
SSL/TLS-инспекция
Первым делом необходимо включить защиту от вредоносных веб-сайтов и прописать DNS адрес на узле безопасности.
Настройка DNS на УБ необходима, так как модуль, выполняющий защиту от вредоносных сайтов, перехватывает запрос клиента и инициирует новое подключение от своего имени, то есть ему потребуется преобразовать имена в IP-адреса.
Для веб-фильтрации по протоколу HTTPS нужно выпустить корневой сертификат RSA и на его основе – сертификат SSL/TLS-инспекции. Это необходимо для того, чтобы Континент мог «видеть» зашифрованный трафик. По сути, реализуется атака «человек посередине» (MITM). Т.е. Континент перехватывает запрос пользователя и поднимает сессию от себя со своим доверенным сертификатом.
Так как MITM считается атакой, то с SSL-инспекцией не все так гладко. Многие браузеры активно борются с атакой MITM. Внутри браузера есть репозиторий глобальных доверенных сертификатов. В следствии этого, браузер распознает подмену сертификата и доступ к определенным сайтам может быть заблокирован. Решить эту проблему можно следующими способами:
1.Список исключений для SSL/TLS-инспекции. Если ресурс есть в списке исключений, то инспекция для него применяться не будет, соответственно блокировки запроса браузером не будет.
2.Запросить RSA ключ для доверенного сертификата, которому доверяют все. На основе этого корневого сертификата выпустить сертификат SSL/TLS-инспекции и установить на УБ.
В настоящий момент Континент поддерживает SSL/TLS инспекцию по TLS 1.2. В планах – поддержка TLS 1.3.
Корневой сертификат мы уже выпустили для системы мониторинга, поэтому приступим сразу к выпуску сертификата SSL/TLS-инспекции. Переходим «Администрирование» – «Сертификаты» – «Промежуточные центры сертификации».
Тип сертификата – SSL/TLS-инспекция
Корневой сертификат – Корневой RSA сертификат
Добавляем данный сертификат на УБ и устанавливаем корневой сертификат на АРМы, на которых будет происходить SSL/TLS-инспекция.
Группы фильтров
Переходим к настройке web-фильтров. «Контроль доступа» – «Межсетевой экран» – «Web/FTP-группы фильтров». В списке имеются предустановленные группы фильтров от Лаборатории Касперского. Их редактирование и удаление запрещено. Обновление сигнатур фильтров происходит автоматически с установленной администратором периодичностью. Данный функционал входит в UTM, а также может покупаться отдельно.
Группы фильтров Kaspersky:
Botnets – вирусы ботнет сети
Malicious URLs – URL-адресам с низкой репутацией
Phishing URLs – фишинговые сайты
Группы от Kaspersky применимы для профиля, работающего как по HTTP схеме, так и по HTTPS. Создадим профиль, работающий по схеме HTTPS со следующими фильтрами:
1) Запретим доступ к новостному порталу lenta
2) Запретим скачивание исполняемых файлов и архивов. Также, создадим такую же группу, но для HTTP.
Далее настроим профиль, который будет включать группы фильтров. Для созданной группы и групп kaspersky выберем действие «Блокировать», остальные – «Отключить». Таким же образом настроим профиль для HTTP.
Далее включим созданные профили в правила фильтрации. Для прикладной фильтрации необходимо правило только с таким же сервисом. То есть, если осуществляется фильтрация по HTTP, то в правиле в поле "Сервис" необходимо выбрать "HTTP". Также, прикладная фильтрация должна быть задана в отдельном правиле фильтрации без инспекции протоколов и контроля приложений.
Если дополнительно к правилу фильтрации с профилем создаются правила трансляции, в которых указаны такие же отправитель/получатель, как и в правиле фильтрации, эти правила трансляции действовать не будут.
Создадим следующие правила, для тестирования веб-фильтров:
Сохраним и установим политику.
В результате все запросы на lenta.ru, скачивание исполняемых файлов и архивов будут заблокированы. Протестируем работу веб-фильтра:
Логи будут выглядеть следующим образом:
Портал аутентификации
Портал аутентификации осуществляет аутентификацию пользователей с помощью веб-интерфейса. Для безопасной передачи данных между порталом аутентификации и ЦУС нужно настроить защищенное соединение. Для этого требуется выпустить на основе корневого RSA сертификата персональный сертификат портала аутентификации и промежуточный сертификат перенаправления на портал аутентификации. Имя сертификата портала аутентификации должно быть доменным, например, «auth.local»
Выпущенные сертификаты прикрепляем к УБ и переходим к настройкам идентификации пользователей.
Для настройки портала аутентификации необходим активированный компонент «Идентификация пользователей».
Активируем «Портал аутентификации». В поле «Сертификат» указывается сертификат портала аутентификации. В поле «Интерфейсы» выбран пункт «Внутренние», портал аутентификации будет доступен только для внутренних интерфейсов. В «Диапазоне адресов» указываются сетевые объекты, для которых будет выполняться перенаправление на портал аутентификации. Возможно ограничить сеанс пользователей в интернете по времени. Для этого задается «длительность сеанса пользователя».
Далее, потребуется создать правила фильтрации, разрешающие прохождение трафика пользователям.
Сохраним и применим политику.
Для доступа к порталу аутентификации необходимо дополнить файл hosts или настроить DNS-сервер.
Если все процедуры настройки выполнены правильно, окно браузера компьютера пользователя при подключении к интернету примет вид:
Для доступа к ресурсам интернета пользователь должен ввести имя и пароль. Пользователь может быть как локальным, так и доменным. Для проверки данных на сервере AD пользователь должен указать имя и домен, по следующему примеру: user1@local.host.
Заключение
В этой статье рассмотрели компонент «Защита от вредоносных веб-сайтов». Функции данного компонента, а именно ssl-инспекция и веб-фильтрация являются важными в работе любого NGFW/UTM устройства. Также настроили портал аутентификации, который может ограничивать время пользователей в Интернете.
Подробную информацию о продукте можно найти на странице Код Безопасности.
P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет. Запросить версию Континент 4.1 можете обратившись на почту dl@tssolution.ru
Автор - Дмитрий Лебедев, инженер TS Solution
