Фільтрування Web-контенту з використанням ISA Server, Windows IT Pro

Блокування небажаного контенту за URL, ключовим словом, сигнатурою або типом файлу

Ці приклади свідчать про необхідність фільтрувати контент: аналізувати інформацію, що проходить через брандмауер, та приймати рішення про її доставку користувачеві. Фільтр у Microsoft Internet Security and Acceleration (ISA) Server перевіряє на відповідність заданим умовам як пакети (забороняє чи дозволяє протоколи повністю), а й контент. З його допомогою можна досліджувати вміст пакетів, що передаються через мережу, і приймати рішення про їхню подальшу долю. Щоб підвищити безпеку мережі, ISA Server забезпечує низку методів фільтрації Web-контенту. У цій статті представлено декілька прикладів блокування контенту: на ім'я DNS або конкретному URL-шляху, за особливими ключовими словами всередині Web-контенту, запрошеного користувачем, і за типом файлу. У всіх прикладах використовується ISA Server 2004.

Блокування за URL

фільтрування
Таблиця. Призначення правила брандмауера

Після того, як нова політика почне діяти, слід звернутися до одного із блокованих Web-вузлів із робочої станції всередині організації. Якщо все зроблено правильно, на екрані з'явиться повідомлення про помилку браузера The page cannot be displayed. У розділі Technical Information у нижній частині повідомлення про помилку пояснюється, що ISA Server блокував звернення до вказаної URL-адреси.

Щоб уникнути зайвих звернень до служби технічної підтримки та нагадати користувачам про політиків компанії щодо небажаних вузлів, можна пов'язати з правилом блокування URL-набору спеціальну HTML-сторінку з інформацією, що пояснює причину помилки.

фільтрування
Екран 2. Налаштовуємо повідомлення про помилку

Можна забороняти доступ до веб-сайтів та інших причин. На багатьох підприємствах заборонено Web-вузли, на яких проводяться віртуальні чемпіонати серед футбольних команд із любителів спорту. Дедалі більше компаній забороняють користуватися Web-вузлами електронної пошти зсередини організації, оскільки левова частка заражень корпоративної мережі вірусами відбувається через поштові Web-служби.

Слід пам'ятати, що як і інші правила ISA Server для брандмауера, правила фільтрації контенту обробляються від першого до останнього. ISA Server шукає збіг для кожного запиту через мережу, починаючи з правила №1 у наборі правил брандмауера. Якщо збігів не виявлено, то ISA Server зіставляє запит із правилом № 2, потім із правилом № 3 тощо. . Після того, як ISA Server виявить збіг, інші правила не обробляються. Тому правила для блокування певних Web-вузлів повинні стояти вище за правила, які дозволяють користувачам переглядати Web-контент.

Крім того, корисно пам'ятати, що правило фільтрації контенту можна застосовувати у певний час. Наприклад, компанія може блокувати Web-вузли віртуального футболу лише у робочі години. У цьому випадку правило складається як завжди, але застосовується за розкладом.

Фільтрування за рядком у відповідь

Розглянемо механізм дії рядків у відповідь. Припустимо, потрібно заборонити всі Web-вузли, що містять посилання на розділ 2257 уложення 18 Сполучених Штатів (United States Code 18, section 2257). Це типова заява про відмову відвідповідальності, що публікується на вхідній сторінці сайтів із контентом «тільки для дорослих», підтверджує, що вони діють у рамках закону. Як правило, скорочений запис має вигляд 18 U.S.C. 2257. Якщо це поєднання символів наведено на Web-сторінці, то, ймовірно, вона є частиною Web-вузла для дорослих.

Налаштувати ISA Server на пошук таких записів та фільтрувати відгуки — додатковий захід захисту, який не потребує великих зусиль. У наведеному нижче сценарії показано, як знайти 18 U.S.C. 2257 на Web-сторінці та блокувати контент.

Компонент ISA Server, який забезпечує фільтрацію такого типу, відомий як Web Proxy Filter. Він обробляє запити, які надходять від мережі компанії, а потім фільтрує запитаний контент. За промовчанням Web Proxy Filter не діє, його необхідно активізувати.

У наборі правил слід знайти правило, що дозволяє користувачам переглядати Web. Якщо трафік, що виходить з мережі компанії, дозволено за протоколами, слід призначити спеціальне правило, що дозволяє HTTP і HTTP Secure (HTTPS). Потрібно знайти це правило, клацнути правою кнопкою миші на HTTP і вибрати пункт Properties.

В області Application Filters у нижній частині діалогового вікна HTTP Properties показано кілька доступних фільтрів; всі вони не задіяні. Потрібно знайти та вибрати Web Proxy Filter, а потім натиснути OK. Натисніть кнопку Apply, щоб застосувати зміни до брандмауера. Тепер фільтрація HTTP діє. Розглянемо низку можливих правил.

Клацніть правою кнопкою миші на ім'я правила, яке забезпечує користувачам доступ до Web. У меню цього правила має з'явитися новий пункт: Configure HTTP. За його допомогою можна визначити додаткові фільтри HTTP для вхідних і вихідних запитів мережі. В першийодин раз при виборі Configure HTTP на екрані з'являється діалогове вікно Configure HTTP policy for rule з п'ятьма вкладками.

П'ять основних розділів HTTP-політики, застосованої до правила, відповідають вкладкам: загальний, методи (наприклад, GET/POST), розширення файлів, заголовки та сигнатури.

Настройки, що застосовуються всередині HTTP-політики, специфічні для індивідуального правила Allow сервера ISA. Завдяки цьому можна створити різні набори фільтрів HTTP на основі правил брандмауера. Наприклад, комусь із користувачів, але не всім можна дозволити завантажувати файли.

Щоб фільтрувати Web-сторінки, що містять рядок 18 U.S.C. 2257, потрібно вибрати вкладку Signatures у діалоговому вікні Configure HTTP policy for rule. На цій вкладці можна виконати складну фільтрацію рядків та підписів у HTTP-запитах та відповідях. Звичайно, спочатку діалогове вікно - порожнє, і дозволено проходження всього трафіку. Слід клацнути на кнопці Add, щоб ввести в діалогове вікно контент, наприклад додати нову сигнатуру (екран 3).

server
Екран 3. Введення сигнатури

Якщо користувач (свідомо чи випадково) звертається до сторінки, що містить заборонену сигнатуру, то у браузері з'являється повідомлення про помилку The page cannot be displayed. У розділі Technical Information у нижній частині сторінки помилки пояснюється, що фільтр HTTP відкинув запит до цільового Web-вузла.

Зіставлення сигнатур

Фільтрація за ключовими словами в тілі HTML-сторінки – корисний метод, який підвищує безпеку компанії, але один із найефективніших способів застосування HTTP-сигнатур – блокувати шкідливий програмний код, вбудований у Web-сторінки, безпосередньо зіставляючи сигнатуру.

Приклад шкідливого коду, якийпотрібно блокувати, - download.ject. Ця загроза поширюється по браузерам, посилаючи некоректні дані в заголовках відповіді на HTTP-запит (не в тілі самої сторінки), які потім обробляють комп'ютером, який звернувся до відповідної сторінки.

Windows
Екран 4. Сигнатура HTTP для виявлення download.ject

Блокування файлів, що завантажуються за типом файлу

Розглянемо інший режим HTTP-фільтрації, корисний для багатьох адміністраторів: блокування файлів, що завантажуються за типом файлу (розширення). У діалоговому вікні Configure HTTP policy for rule перейдіть на вкладку Extensions (екран 5).

фільтрування
Екран 5. Фільтрування HTTP для розширення файлу

У цьому діалоговому вікні можна вказати будь-яку кількість розширень файлів, які потрібно дозволити або блокувати. Наприклад, якщо політика безпеки вказує, що користувачі повинні завантажувати лише документи, можна встановити режим Specify the action taken for file extensions, щоб дозволити лише зазначені розширення та внести у цю сторінку дозволені типи (наприклад, .doc, .xls, .ppt, .pdf, .rtf, .txt).

На екрані 5 показаний протилежний підхід. Користувачі, які знаходяться під прикриттям ISA Server, можуть завантажувати файли будь-яких типів, крім явно блокованих: декількох типів файлів (.exe, .pif, .scr) і .zip-файлів. Після того, як правило набуде чинності, будь-яка спроба завантажити файл з одним із зазначених розширень призводить до повідомлення про помилку, в якому пояснюється, чому запит відкинутий HTTP-фільтром.

Нижче перераховані поширені типи файлів, які багато компаній фільтрують з використанням поштового сервера або Web-proxy фільтра,такого як ISA Server. Багато з цих типів файлів корисно задіяти в фільтрі HTTP, що застосовується до трафіку рядових користувачів. У адміністратора буде менше проблем, якщо він заборонить користувачам завантажувати сумнівний контент і буде припиняти хитрощі, які застосовуються для обману браузера.

Настійно рекомендується блокувати вкладені файли з такими розширеннями: .com, .bat, .chm, .cmd, .eml, .dll., .exe, .js, .msi, .pif, .scr, .shs, .vb, and .vbs. Бажано також блокувати вкладені файли з такими розширеннями: .asx, .ade, .adp, .bas, .bin, .cpl, .crt, .hiv, .hlp, .hta, .inf, .ins, .isp, .jse , .jtd, .mht, .msc, .msp, .mst, .nws, .ocx, .oft, .ovl, .pcd, .pl, .plx, .sct, .sh, .shb, .sys, . vbe, .vss, .vst, .vxd, .wsc, .wsf та .wsh.

ISA Server забезпечує фільтрацію певних типів контенту всередині протоколів, які застосовують у більшості компаній. Фільтрацію контенту на прикладному рівні в ISA 2004 налаштувати нескладно, а безпека компанії при цьому піднімається на недосяжний раніше рівень.

Поділіться матеріалом з колегами та друзями