Przegląd narzędzi monitorowania i blokowania dostępu do Internetu

Swobodny dostęp do Internetu z sieci korporacyjnych niesie wiele zagrożeń związanych zarówno z bezpieczeństwem danych, jak i nadmiernym obciążeniem infrastruktury informatycznej. Jedynym sposobem uniknięcia tych niebezpieczeństw jest monitorowanie poczynań użytkowników i blokowanie niepożądanych dostępów do Internetu i intrasieci.

Swobodny dostęp do Internetu z sieci korporacyjnych niesie wiele zagrożeń związanych zarówno z bezpieczeństwem danych, jak i nadmiernym obciążeniem infrastruktury informatycznej. Jedynym sposobem uniknięcia tych niebezpieczeństw jest monitorowanie poczynań użytkowników i blokowanie niepożądanych dostępów do Internetu i intrasieci.

Proponujemy państwu przegląd siedmiu produktów zaprojektowanych do monitorowania i blokowania dostępu użytkowników do ośrodków webowych, plików archiwizowanych w Internecie, grup dyskusyjnych i do innych zasobów Internetu. Poza monitorowaniem i blokowaniem pakiety te mogą także generować raporty użytkowania połączeń internetowych, pomocne w planowaniu przepustowości infrastruktury sieciowej.

Rozwiązania architektoniczne

Prezentowane produkty wykorzystują odmienne sposoby monitorowania i blokowania dostępu. Część z nich pracuje w charakterze analizatora pakietów, rezydującego na komputerach dołączonych do sieci. Analizator pakietów przechwytuje i analizuje pakiety w momencie przekazywania ich przez sieć. W ten sposób działają SessionWall-3 i LittleBrother Pro.

Jeżeli przechwycony przez analizator pakiet transmisyjny zawiera nieautoryzowane żądanie (zlecenie), to program inicjuje bezpośrednią wymianę protokołów kończących transakcję z wydawcą pakietu, blokując w efekcie takie zlecenie. Ta metoda ma kilka niedogodności.

Po pierwsze, analizator pakietów „widzi" tylko te segmenty sieci, do których jest dołączony - rodzi to potrzebę dołączania analizatora do wszystkich segmentów sieci. W sieci z przełączaniem pakietów analizator musi być umiejscowiony nad czymś, co nazywane jest portem diagnostycznym lub powszechnie dostępnym, gdzie można obserwować cały ruch. Jeżeli przełącznik pakietów nie dysponuje takim portem, to analizator musi być umieszczony na maszynie bramowej.

Po drugie, platforma analizatora pakietów musi dysponować mocą obliczeniową wystarczającą do przetwarzania przechwyconego ruchu sieciowego z dostateczną szybkością, aby nie gubić transakcji.

W innej metodzie monitorowania, zwanej konfiguracją przekaźnika, oprogramowanie jest zlokalizowane pomiędzy zarządzanymi klientami i zasobami, do których mogą mieć dostęp, i operuje na wzór prostych serwerów proxy lub filtrów dołączanych do dedykowanych produktów proxy. WebSense i WizGuard Proxy Server są w gruncie rzeczy serwerami proxy, chociaż nie są to w pełni funkcjonalne proxy klasy przemysłowej. Surf-Watch integruje się z produktami proxy, takimi jak Proxy Server Microsoftu, działając jako dołączony filtr.

Wdrażanie architektury przekaźnika wymaga zmodyfikowania adresów proxy po stronie klienckiej, czyli na przeglądarkach - co można wykonać z pomocą automatycznych skryptów konfiguracyjnych lub narzędzi dystrybucji oprogramowania, dołączonych do zestawów

zarządzania desktopami. Istotą tego rozwiązania jest taka rekonfiguracja istniejących serwerów proxy, aby nie przyjmowały one zleceń bezpośrednio z przeglądarek, ale za pośrednictwem oprogramowania przekaźnikowego - zlecenia mają przepływać z przeglądarki wyłącznie do oprogramowania przekaźnikowego serwera proxy.

Potencjalnym problemem konfiguracji przekaźnikowej jest to, że proces akceptacji zleceń przejmowanych od strony klienckiej musi weryfikować zlecenia, a po akceptacji przekazać dozwolone zlecenia do Internetu, co zabiera czas i angażuje moc obliczeniową. Obciążenie tym przetwarzaniem serwera proxy może znacząco spowolnić czas reakcji na zlecenia użytkownika.

Trzecie podejście do problemu monitorowania i blokowania zleceń wymaga modyfikacji systemu operacyjnego klienta lub jego aplikacji. SOS Pro i NNPro opierają się na takich właśnie modyfikacjach strony klienckiej. Jest to najbardziej podstawowa architektura używana do monitorowania i blokowania, ale jest także najmniej satysfakcjonująca. Koszty takich modyfikacji są wysokie, a obciążenie służb informatycznych obsługą strony klienckiej znaczne. A ponieważ system blokowania i monitorowania pracuje wewnątrz oprogramowania klienta, to istnieje potencjalne niebezpieczeństwo pojawienia się całego szeregu „pluskiew" i nieoczekiwanych zachowań oprogramowania, a w rezultacie poważnych problemów z utrzymaniem jego prawidłowego działania.

SOS Pro i NNPro wymagają podstawienia dyskowego w odniesieniu do PC działającego jako system zarządzania dla grupy kontrolowanych użytkowników. Takie ustawienie jest kolejnym słabym punktem tej architektury -po usunięciu odwzorowywania układ przestaje pracować.

Dla zastosowań w korporacyjnych systemach informatycznych konfiguracja przekaźnikowa i analizatora pakietów jest bardziej praktyczna.

Zapisy cenzorskie

Oprócz sposobu integracji z siecią, charakterystycznego dla każdego rodzaju tych produktów, jest jeszcze kwestia sposobu monitorowania i blokowania dostępu. Z chwilą, gdy oprogramowanie przechwyci żądanie związane z jakimś URL, adres ten musi być porównany z listą niepożądanych ośrodków. Żądanie to może być monitorowane lub monitorowane i blokowane.

Z uwagi na ciągle zmieniającą się liczbę ośrodków we-bowych w Internecie określenie, który ośrodek powinien być blokowany, jest zadaniem przekraczającym możliwości pojedynczego menedżera. SurfWatch dostarcza codziennie uaktualnianą bazę danych z niewłaściwymi URL. Program ten wysyła ostrzeżenia o filtrach starszych niż 30 dni. SessionWall-3 stosuje podobny schemat (z wyjątkiem ostrzeżeń o przeterminowanych filtrach), dostępny na drodze subskrypcji. Bazy danych SessionWall-3 i SurfWatch są uaktualniane z ich własnych interfejsów zarządzania, które nie dysponują, niestety, opcją automatyzacji tego procesu.

WebSense i LittleBrother Pro zawierają system uaktualniania bazy danych będący składową ich interfejsów zarządzania - oba umożliwiają automatyzację tego procesu. Baza danych niepożądanych URL produktu NNPro może być sprowadzana z jego strony WWW za pomocą przeglądarki i jest uaktualniana dwa razy w miesiącu. Natomiast WizGuard Proxy Server i SOS Pro nie oferują żadnej predefiniowanej listy blokowanych URL.

Wszystkie produkty z predefiniowaną bazą danych pozwalają na dostosowywanie tych list na indywidualne potrzeby, ale ulokowanie na nich nowych ośrodków, nie włączonych przez dostawcę, nie jest sprawą prostą. Jednym ze sposobów identyfikacji nieakceptowanych URL jest niezależny system oceny. Session Wall-3 i SOS Pro obsługuje blokowanie oparte na systemie ocen RSACi, tworzonym przez Recreational Software Adinsory Council. RSAC jest niezależną organizacją powołaną w celu oceny treści publikowanych w mediach elektronicznych. Organizacja zapewnia prosty i efektywny system oceny ośrodków webowych, z jednej strony klasyfikujący publikacje WWW pod względem niecenzuralnych treści, a z drugiej nie naruszający praw do swobodnej wypowiedzi każdego, kto publikuje na WWW. Jednak z powodu tego, iż system oceny RSACi jest używany jedynie przez mały procent ośrodków webowych, jego znaczenie jest ograniczone.

Skanowanie słów kluczowych w URL i sprawdzanie zawartości to dwa inne sposoby, którymi posługują się produkty w identyfikowaniu nieodpowiednich ośrodków, i są to metody stosowane przez: SessionWall-3, SurfWatch, SOS Pro i NNPro. LittleBrother Pro wykonuje jedynie skanowanie URL, a WizGuard Proxy Server poszukuje tylko pornografii.

Pomimo że metoda przeszukiwania słów kluczowych może pomóc w wykrywaniu podejrzanych słów w tekście, to jednak nie może odróżnić ośrodków nieodpowiednich od całkiem legalnych, doprowadzając do blokady generalnej. Technika ta może także blokować strony wynikowe z motorów przeszukujących, nawet jeżeli strony te zawierają łączniki do ośrodków dozwolonych. Motory przeszukujące powinny być zwolnione z blokady.

Zarządzanie

Sposób zarządzania produktem wpływa istotnie na łatwość jego użytkowania. WizGuard Proxy Server i SurfWatch zapewniają jedynie webowy interfejs zarządzania, a NNPro, SessionWall-3, LittleBrother Pro i SOS Pro dysponują jedynie konsolą zarządzającą. Tylko WebSense oferuje zarówno aplikację konsoli, jak i webowy interfejs zarządzania. Trochę zaskakujące jest to, że nie wszystkie produkty oferują webowy interfejs zarządzania, a oferowane interfejsy są cokolwiek skomplikowane.

Podobnie jak administrowanie również mechanizmy raportowania są odmienne w prezentowanych produktach. SessionWall-3, LittleBrother Pro, SurfWatch i WebSense oferufą eleganckie raporty, podczas gdy NNPro i WizGuard Proxy Server wyświetlają jedynie surowe dane z logu, nie oferując żadnych mechanizmów do analiz. Najniżej oceniany jest SOS Pro, który raportuje jedynie aktywność użytkowników pracujących na prostych przeglądarkach.

Instalowanie produktów, z wyjątkiem NNPro, jest nieskomplikowane.

Ocena pakietów

Wziąć pod rozwagę...

W miarę wzrostu popularności Internet staje się istotnym źródłem informacji dla wielu instytucji i przedsiębiorstw. Jednak łatwość dostępu może zachęcać pracowników do marnowania czasu na przeglądanie „rozrywkowych" obszarów Internetu, a nie do użycia go wyłącznie w celu uzyskiwania informacji związanej z działalnością firmy. Tak więc - chociaż można mieć pewne wątpliwości, czy wdrażać jeszcze jedno narzędzie z dziedziny zarządzania siecią - należy jednak rozważyć możliwość zainstalowania pakietów do monitorowania i blokowania. Nawet jeżeli nigdy nie zagląda się do logów przez nie tworzonych, to ostrzeżenie użytkowników o stosowaniu takich narzędzi zazwyczaj skutkuje większą ostrożnością w korzystaniu z niekoniecznie ważnych ośrodków WWW.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200