Na redakční otázky odpovídá Petr Růžička, Consulting System Engineer, CISCO SYSTEMS (Czech Republic) s.r.o.

1) V jakých případech je nasazení URL filtrace žádoucí – a v jakých naopak nikoliv?

Typickým příkladem filtrace může být vynucení bezpečnostní politiky – uživatelé by neměli přistupovat na zdroje na Internetu, které nesouvisí s jejich pracovní náplní. Dalším typem nasazení může být ochrana uživatelských počítačů – nebude povolen přístup na servery, které obsahují nebezpečný obsah (a teď nemyslím výbušné diskusní skupiny, ale primárně malware). Jinde narazíme na pořadavky filtrování obsahu, které by neměli vidět dětské oči.

Podle mého názoru se dříve nebo později budeme přesunovat víc a víc k modelu, který je dneska stabilní a akceptovaný na firewallech na L3 a L4 vrstvě, tj. povolit to co je žádoucí a schválené a zbytek defaultně zakázat. Stejně jako ve zmiňovaném případě firewallu dnes s pomocí URL proxy filtrace zakazujeme pouze něco a zbytek povolujeme.

2) Jakou účinností se vyznačují dnešní systémy filtrace obsahu?

Spiše než o účinnosti bych mluvil o přesnosti, se kterou je to které URL zařazeno do kategorie a jestli vůbec zařazeno je. Velice často se v našich zeměpisných šířkách můžeme setkat se situací, kdy je URL „not categorized“, tj. není v kategorii, protože většina výrobců kategorií (a tolik jich zase není) primárně pokrývá americký trh, tj. většina URL v kategoriích je platná a důležitá pro Spojené státy, v lepším případě pro anglicky mluvící země.

3) Co představuje z technického hlediska největší výzvu při filtrování obsahu?

Přesnost zařazení stránky do kategorie je určitě relativně náročným úkolem. Může se jednat o obsah v cizí znakově sadě, kterou automat nedokáže správně interpretovat, stránka primárně ve Flashi představuje další oříšek, stránky skryté v šifrovaném provozu, stránky s kontrolou přístupu (jméno a heslo) atp. Cisco nedávno z tohoto důvodu uvedlo na své Web Security Appliance (WSA) svoje vlastní URL kategorie - Cisco IronPort Web Usage Controls.

Jde o to, že přesnost a záběr kategorií doposud používaných přestal naprosto vyhovovat, vezmeme-li v potaz dynamiku dnešního Internetu. Cisco tedy použilo podobnou technologii, které je používána pro identifikaci spamu na Cisco Email Security Appliance, ale tentokrát pro zařazení stránky nebo objektu do správné URL kategorie.

Finta je v tom, že každá existující proxy tento nový kód obsahuje v sobě, takže pokud stránka je v existující kategorii, postupuje se podle daných a zákazníkem nastavených pravidel. Pokud ale není ve známé kategorii, potom se bleskově provede analýza URL, částí URL a nakonec i stránky samotné a provede se dočasné zařazení stránky do kategorie a následně se opět postupuje podle nastavených pravidel, protože teď už stránka kategorii má. Každá WSA se tedy stává „senzorem“, součástí masivní sítě pro identifikaci URL kategorií.

Tato nově zařazená stránka se při příští aktualizace zašle do SenderBase (globální databáze používaná pro identifikaci spamu, web stránek dnes spolupracující i s IPS systémy) a zařadí se do již existujících kategorií a rozešle všem uživatelům stejného systému.  Aktualizace se provádí každým 5 minut, takže každá neznámá nebo nově vzniklá stránka se může velice rychle dostat na správný seznam přičiněním jednoho přístupu přes Cisco WSA.

4) Jakým způsobem ošetřit filtrování obsahu, který je šifrovaný?

Pokud se jedná o šifrovaný soubor, který chce uživatel stáhnout (nebo taky nahrát na server za proxy), je asi dobrou volbou tuto akci zakázat, protože v souboru mohou být jednak data, která by neměla opustit firmu (Data Loss Prevention) nebo se naopak může jednat o potencionální malware. Pokud vynechám možnost lokálního uložení šifrovacích klíčů na samotné proxy, potom není možné obsah zašifrovaného souboru prověřit.

V jiném případě se může jednat o https provoz a potom existuje možnost tunel na web proxy ukončit, rozbalit jeho obsah, ten zkontrolovat a následně vytvořit nové https spojení na původní destinaci (jedná se v podstatě o útok „Man in the Middle“ na SSL spojení).

Kouzlo Cisco WSA je to, že rozhodnutí, které spojení dešifrovat nebo ponechat v původním stavu je možné volit jednak na základě URL kategorie nebo také na základě reputace webové stránky nebo objektu. To nám umožňuje „nesahat“ na e-banking, transakce obchodního charakteru atp. a naopak prověřit provoz přes https, který pochází ze serverů s pochybnou reputací nebo nejistým obsahem. Je třeba si uvědomit, že webová stránka, které se uživateli zobrazí v jeho prohlížeči, není nic jiného než jakási předloha, šablona vzhledu a layoutu, do které „zapadnou“ různé prvky (obrázky, text, skripty, videa... ). A tyto prvky mohou pocházet z naprosto různých serverů (tedy různých zdrojů). Proto na základě reputace destinace je teoreticky možné, že některé prvky proxy povolí a některé ne a to samá platí pro SSL spojení.

Případ poslední, kdy přes proxy bude procházet šifrovaný provoz, ale nebude se jednat o HTTP, resp. HTTPs, znamená tunelovaný provoz, jaký mohou používat např. P2P programy, komunikační nástroje atp. a zde je třeba v závislosti na typu provozu komunikaci selektivně povolit či zakázat. Není např. žádoucí přes proxy povolit Skype (častá prosba zákazníků), ale firemní Instant Messaging ano.

Bezpečnostní management