[Информационная безопасность, Системное администрирование, Сетевые технологии] 4. Континент 4 Getting Started. Веб-защита
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Приветствую всех в четвертой статье, посвященной Континент 4. В данной статье рассмотрим защиту от вредоносных веб-сайтов. Разберем работу SSL-инспекции, создадим профиль для работы с веб-фильтрами и настроим портал аутентификации. В Континент 4.1 предусмотрен механизм усиленной фильтрации, который может анализировать и обрабатывать сетевой трафик на уровне прикладных протоколов HTTP(S), FTP. Для защиты от вредоносных веб-сайтов используются Web/FTP-фильтры. Фильтры объединяются в группы. Каждый фильтр описывается следующими параметрами:
- адрес — доменное имя сервера-получателя;
- схема — схема адресации ресурсов интернета: FTP, HTTP или HTTPS;
- методы — методы запроса выбранного прикладного протокола;
- контент — список MIME-заголовков и расширений файлов;
- маршруты — названия веб-страниц, имена загружаемых файлов или соответствующие регулярные выражения;
- описание — краткое описание фильтра в произвольной форме.
Приступим к настройке веб фильтров.SSL/TLS-инспекцияПервым делом необходимо включить защиту от вредоносных веб-сайтов и прописать DNS адрес на узле безопасности. 
Настройка DNS на УБ необходима, так как модуль, выполняющий защиту от вредоносных сайтов, перехватывает запрос клиента и инициирует новое подключение от своего имени, то есть ему потребуется преобразовать имена в IP-адреса. Для веб-фильтрации по протоколу HTTPS нужно выпустить корневой сертификат RSA и на его основе – сертификат SSL/TLS-инспекции. Это необходимо для того, чтобы Континент мог «видеть» зашифрованный трафик. По сути, реализуется атака «человек посередине» (MITM). Т.е. Континент перехватывает запрос пользователя и поднимает сессию от себя со своим доверенным сертификатом. Так как MITM считается атакой, то с SSL-инспекцией не все так гладко. Многие браузеры активно борются с атакой MITM. Внутри браузера есть репозиторий глобальных доверенных сертификатов. В следствии этого, браузер распознает подмену сертификата и доступ к определенным сайтам может быть заблокирован. Решить эту проблему можно следующими способами:1.Список исключений для SSL/TLS-инспекции. Если ресурс есть в списке исключений, то инспекция для него применяться не будет, соответственно блокировки запроса браузером не будет.2.Запросить RSA ключ для доверенного сертификата, которому доверяют все. На основе этого корневого сертификата выпустить сертификат SSL/TLS-инспекции и установить на УБ. В настоящий момент Континент поддерживает SSL/TLS инспекцию по TLS 1.2. В планах – поддержка TLS 1.3.Корневой сертификат мы уже выпустили для системы мониторинга, поэтому приступим сразу к выпуску сертификата SSL/TLS-инспекции. Переходим «Администрирование» – «Сертификаты» – «Промежуточные центры сертификации».
- Тип сертификата – SSL/TLS-инспекция
- Корневой сертификат – Корневой RSA сертификат
Добавляем данный сертификат на УБ и устанавливаем корневой сертификат на АРМы, на которых будет происходить SSL/TLS-инспекция.Группы фильтровПереходим к настройке web-фильтров. «Контроль доступа» – «Межсетевой экран» – «Web/FTP-группы фильтров». В списке имеются предустановленные группы фильтров от Лаборатории Касперского. Их редактирование и удаление запрещено. Обновление сигнатур фильтров происходит автоматически с установленной администратором периодичностью. Данный функционал входит в UTM, а также может покупаться отдельно.
Группы фильтров Kaspersky:
- Botnets – вирусы ботнет сети
- Malicious URLs – URL-адресам с низкой репутацией
- Phishing URLs – фишинговые сайты
Группы от Kaspersky применимы для профиля, работающего как по HTTP схеме, так и по HTTPS. Создадим профиль, работающий по схеме HTTPS со следующими фильтрами:1) Запретим доступ к новостному порталу lenta
2) Запретим скачивание исполняемых файлов и архивов. Также, создадим такую же группу, но для HTTP.
Далее настроим профиль, который будет включать группы фильтров. Для созданной группы и групп kaspersky выберем действие «Блокировать», остальные – «Отключить». Таким же образом настроим профиль для HTTP.
Далее включим созданные профили в правила фильтрации. Для прикладной фильтрации необходимо правило только с таким же сервисом. То есть, если осуществляется фильтрация по HTTP, то в правиле в поле "Сервис" необходимо выбрать "HTTP". Также, прикладная фильтрация должна быть задана в отдельном правиле фильтрации без инспекции протоколов и контроля приложений.Если дополнительно к правилу фильтрации с профилем создаются правила трансляции, в которых указаны такие же отправитель/получатель, как и в правиле фильтрации, эти правила трансляции действовать не будут.Создадим следующие правила, для тестирования веб-фильтров:
Сохраним и установим политику.В результате все запросы на lenta.ru, скачивание исполняемых файлов и архивов будут заблокированы. Протестируем работу веб-фильтра:
Логи будут выглядеть следующим образом:
Портал аутентификацииПортал аутентификации осуществляет аутентификацию пользователей с помощью веб-интерфейса. Для безопасной передачи данных между порталом аутентификации и ЦУС нужно настроить защищенное соединение. Для этого требуется выпустить на основе корневого RSA сертификата персональный сертификат портала аутентификации и промежуточный сертификат перенаправления на портал аутентификации. Имя сертификата портала аутентификации должно быть доменным, например, «auth.local»
Выпущенные сертификаты прикрепляем к УБ и переходим к настройкам идентификации пользователей.Для настройки портала аутентификации необходим активированный компонент «Идентификация пользователей».Активируем «Портал аутентификации». В поле «Сертификат» указывается сертификат портала аутентификации. В поле «Интерфейсы» выбран пункт «Внутренние», портал аутентификации будет доступен только для внутренних интерфейсов. В «Диапазоне адресов» указываются сетевые объекты, для которых будет выполняться перенаправление на портал аутентификации. Возможно ограничить сеанс пользователей в интернете по времени. Для этого задается «длительность сеанса пользователя».
Далее, потребуется создать правила фильтрации, разрешающие прохождение трафика пользователям.
Сохраним и применим политику. Для доступа к порталу аутентификации необходимо дополнить файл hosts или настроить DNS-сервер.Если все процедуры настройки выполнены правильно, окно браузера компьютера пользователя при подключении к интернету примет вид:
Для доступа к ресурсам интернета пользователь должен ввести имя и пароль. Пользователь может быть как локальным, так и доменным. Для проверки данных на сервере AD пользователь должен указать имя и домен, по следующему примеру: user1@local.host.ЗаключениеВ этой статье рассмотрели компонент «Защита от вредоносных веб-сайтов». Функции данного компонента, а именно ssl-инспекция и веб-фильтрация являются важными в работе любого NGFW/UTM устройства. Также настроили портал аутентификации, который может ограничивать время пользователей в Интернете. Подробную информацию о продукте можно найти на странице Код Безопасности.P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет. Запросить версию Континент 4.1 можете обратившись на почту dl@tssolution.ruАвтор - Дмитрий Лебедев, инженер TS Solution
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Программирование, IT-инфраструктура] Автоматизация как вектор роста бизнеса (перевод)
- [Системное администрирование] How to connect to FTPS or mount it to local folder
- [Информационная безопасность, Обработка изображений] Защищаем сканы своих документов в интернет
- [Информационная безопасность, Процессоры] Исследователи описали подобную Spectre уязвимость процессоров Intel и AMD
- [Настройка Linux, Системное администрирование, *nix] Неожиданные подвохи при перенаправлениях оболочки в $((i++)) (перевод)
- [Информационная безопасность] Security Week 18: непреднамеренный кибершпионаж
- [Информационная безопасность, Законодательство в IT, Финансы в IT] Глава Positive Technologies заявил, что считает ошибкой введение санкций США против компании
- [Информационная безопасность, Assembler, Реверс-инжиниринг, Хранение данных, CTF] Ломаем зашифрованный диск для собеседования от RedBalloonSecurity. Part 0x02
- [Информационная безопасность] (не) Безопасный дайджест: псевдоутечки, налоговый дипфейк и атака на сыр
- [Децентрализованные сети, Сетевые технологии] Завершен перевод систематизированного обзора литературы по военным SDN-сетям (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sistemnoe_administrirovanie (Системное администрирование), #_setevye_tehnologii (Сетевые технологии), #_ts_solution, #_kontinent (континент), #_mezhsetevoj_ekran (межсетевой экран), #_blog_kompanii_ts_solution (
Блог компании TS Solution
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_sistemnoe_administrirovanie (
Системное администрирование
), #_setevye_tehnologii (
Сетевые технологии
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:28
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Приветствую всех в четвертой статье, посвященной Континент 4. В данной статье рассмотрим защиту от вредоносных веб-сайтов. Разберем работу SSL-инспекции, создадим профиль для работы с веб-фильтрами и настроим портал аутентификации. В Континент 4.1 предусмотрен механизм усиленной фильтрации, который может анализировать и обрабатывать сетевой трафик на уровне прикладных протоколов HTTP(S), FTP. Для защиты от вредоносных веб-сайтов используются Web/FTP-фильтры. Фильтры объединяются в группы. Каждый фильтр описывается следующими параметрами:
 Настройка DNS на УБ необходима, так как модуль, выполняющий защиту от вредоносных сайтов, перехватывает запрос клиента и инициирует новое подключение от своего имени, то есть ему потребуется преобразовать имена в IP-адреса. Для веб-фильтрации по протоколу HTTPS нужно выпустить корневой сертификат RSA и на его основе – сертификат SSL/TLS-инспекции. Это необходимо для того, чтобы Континент мог «видеть» зашифрованный трафик. По сути, реализуется атака «человек посередине» (MITM). Т.е. Континент перехватывает запрос пользователя и поднимает сессию от себя со своим доверенным сертификатом. Так как MITM считается атакой, то с SSL-инспекцией не все так гладко. Многие браузеры активно борются с атакой MITM. Внутри браузера есть репозиторий глобальных доверенных сертификатов. В следствии этого, браузер распознает подмену сертификата и доступ к определенным сайтам может быть заблокирован. Решить эту проблему можно следующими способами:1.Список исключений для SSL/TLS-инспекции. Если ресурс есть в списке исключений, то инспекция для него применяться не будет, соответственно блокировки запроса браузером не будет.2.Запросить RSA ключ для доверенного сертификата, которому доверяют все. На основе этого корневого сертификата выпустить сертификат SSL/TLS-инспекции и установить на УБ. В настоящий момент Континент поддерживает SSL/TLS инспекцию по TLS 1.2. В планах – поддержка TLS 1.3.Корневой сертификат мы уже выпустили для системы мониторинга, поэтому приступим сразу к выпуску сертификата SSL/TLS-инспекции. Переходим «Администрирование» – «Сертификаты» – «Промежуточные центры сертификации».
 Добавляем данный сертификат на УБ и устанавливаем корневой сертификат на АРМы, на которых будет происходить SSL/TLS-инспекция.Группы фильтровПереходим к настройке web-фильтров. «Контроль доступа» – «Межсетевой экран» – «Web/FTP-группы фильтров». В списке имеются предустановленные группы фильтров от Лаборатории Касперского. Их редактирование и удаление запрещено. Обновление сигнатур фильтров происходит автоматически с установленной администратором периодичностью. Данный функционал входит в UTM, а также может покупаться отдельно.  Группы фильтров Kaspersky:
 2) Запретим скачивание исполняемых файлов и архивов. Также, создадим такую же группу, но для HTTP.  Далее настроим профиль, который будет включать группы фильтров. Для созданной группы и групп kaspersky выберем действие «Блокировать», остальные – «Отключить». Таким же образом настроим профиль для HTTP.  Далее включим созданные профили в правила фильтрации. Для прикладной фильтрации необходимо правило только с таким же сервисом. То есть, если осуществляется фильтрация по HTTP, то в правиле в поле "Сервис" необходимо выбрать "HTTP". Также, прикладная фильтрация должна быть задана в отдельном правиле фильтрации без инспекции протоколов и контроля приложений.Если дополнительно к правилу фильтрации с профилем создаются правила трансляции, в которых указаны такие же отправитель/получатель, как и в правиле фильтрации, эти правила трансляции действовать не будут.Создадим следующие правила, для тестирования веб-фильтров:  Сохраним и установим политику.В результате все запросы на lenta.ru, скачивание исполняемых файлов и архивов будут заблокированы. Протестируем работу веб-фильтра:  Логи будут выглядеть следующим образом:  Портал аутентификацииПортал аутентификации осуществляет аутентификацию пользователей с помощью веб-интерфейса. Для безопасной передачи данных между порталом аутентификации и ЦУС нужно настроить защищенное соединение. Для этого требуется выпустить на основе корневого RSA сертификата персональный сертификат портала аутентификации и промежуточный сертификат перенаправления на портал аутентификации. Имя сертификата портала аутентификации должно быть доменным, например, «auth.local»   Выпущенные сертификаты прикрепляем к УБ и переходим к настройкам идентификации пользователей.Для настройки портала аутентификации необходим активированный компонент «Идентификация пользователей».Активируем «Портал аутентификации». В поле «Сертификат» указывается сертификат портала аутентификации. В поле «Интерфейсы» выбран пункт «Внутренние», портал аутентификации будет доступен только для внутренних интерфейсов. В «Диапазоне адресов» указываются сетевые объекты, для которых будет выполняться перенаправление на портал аутентификации. Возможно ограничить сеанс пользователей в интернете по времени. Для этого задается «длительность сеанса пользователя».  Далее, потребуется создать правила фильтрации, разрешающие прохождение трафика пользователям.  Сохраним и применим политику. Для доступа к порталу аутентификации необходимо дополнить файл hosts или настроить DNS-сервер.Если все процедуры настройки выполнены правильно, окно браузера компьютера пользователя при подключении к интернету примет вид:   Для доступа к ресурсам интернета пользователь должен ввести имя и пароль. Пользователь может быть как локальным, так и доменным. Для проверки данных на сервере AD пользователь должен указать имя и домен, по следующему примеру: user1@local.host.ЗаключениеВ этой статье рассмотрели компонент «Защита от вредоносных веб-сайтов». Функции данного компонента, а именно ssl-инспекция и веб-фильтрация являются важными в работе любого NGFW/UTM устройства. Также настроили портал аутентификации, который может ограничивать время пользователей в Интернете. Подробную информацию о продукте можно найти на странице Код Безопасности.P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет. Запросить версию Континент 4.1 можете обратившись на почту dl@tssolution.ruАвтор - Дмитрий Лебедев, инженер TS Solution =========== Источник: habr.com =========== Похожие новости:
Блог компании TS Solution ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_sistemnoe_administrirovanie ( Системное администрирование ), #_setevye_tehnologii ( Сетевые технологии ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:28
Часовой пояс: UTC + 5