Zaskakująco dużo jest organizacji, które nie wykorzystują w pełni możliwości oferowanych przez firewalle. Jedną z częściej ignorowanych funkcji jest mechanizm ograniczania pracownikom dostępu do stron WWW. W zdecydowanej większości przypadków wynika to z nieznajomości zagrożeń, jakie dla środowiska IT stwarza pozostawienie nieskrępowanego dostępu do witryn internetowych. Co ciekawe, są nawet tacy, którzy świadomi zagrożeń nie robią nic, żeby wdrożyć stosowne filtry w firmowym firewallu.

Szefowie działów IT bywają zaskoczeni, że częstą przyczyną przedostawania się do firmy wirusów jest brak w firewallu reguły filtrowania ruchu wychodzącego lub są one niestarannie skonfigurowane. Tymczasem jedną z najważniejszych czynności administracyjnych związanych z zaporami sieciowymi jest właśnie definiowanie reguł filtrowania komunikacji. Te reguły określają, jaki rodzaj ruchu jest wpuszczany do sieci i wypuszczany z niej. Jakie jest faktyczne ryzyko niefiltrowania potencjalnie groźnej zawartości stron WWW? Jeśli reguły firewalla umożliwiają pracownikom pobieranie plików muzycznych, korzystanie z gier online czy przeglądanie kategorii stron internetowych o podwyższonym ryzyku (np. erotyka), stwarza to wysokie ryzyko infekcji komputerów wirusami. Jeśli administrator wprowadzi na firewallu reguły mówiące, których stron nie można odwiedzać, szybko i skutecznie zmniejszy poziom zagrożenia dla całej sieci firmowej.

Zobacz również:

• Cyberobrona? Mamy w planach
• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

Niechciane kategorie

Największym wyzwaniem dla większości firm jest określenie, jakie strony stanowią potencjalne zagrożenie, a które ogólnie są bezpieczne. W Internecie są miliardy witryn, z czego kilka milionów zawiera niebezpieczny kod. Jak przy takiej liczbie zredukować zagrożenie spamem, wirusami czy oprogramowaniem szpiegowskim? Najprostszym i najszybszym do wdrożenia sposobem jest blokowanie strony internetowych na bazie kategorii, a nie w oparciu o poszczególne adresy URL. W większości firewalli funkcje filtrowania stron internetowych są realizowane przez specjalne dodatki. Dobrym pomysłem jest wybór urządzeń, które oferują predefiniowane kategorie, rozbudowane raporty, co zaoszczędzi administratorom wielu godzin pracy.

Jeśli dział IT jeszcze tego nie zrobił, warto poważnie rozważyć blokowanie również takich kategorii stron internetowych, które wprawdzie nie są uważane za groźne, ale jednocześnie nie są potrzebne do prowadzenie danej działalności biznesowej. W organizacjach, które korzystają już z filtrowania dostępu do stron internetowych, istotne jest, aby co jakiś czas przejrzeć, co jest blokowane i zastanowić się, czy są jakieś luki. Jeśli tak, należy zaktualizować reguły firewalla.

Najczęściej blokowane

Zgodnie z raportem opublikowanym przez OpenDNS, 10 najczęściej blokowanych na firewallach kategorii stron WWW przedstawia się następująco:

1. pornografia – 85%

2. erotyka – 80,1%

3. bezwartościowe – 77,3%

4. proxy – 76,2%

5. adware – 69%

6. nagość – 67,2%

7. dyskryminacja/nienawiść – 58,7%

8. bielizna – 58,5%

9. hazard – 58%

10. narkotyki – 57,3%

Warto dodać, że firmy blokują również pojedyncze strony, ale najczęściej dotyczy to najpopularniejszych witryn. Oto pierwsza dziesiątka według OpenDNS:

1. Facebook.com — 23 %

2. MySpace.com — 13 %

3. YouTube.com — 11,9 %

4. Ad.Doubleclick.net — 5,7 %

5. Twitter.com — 4,2 %

6. Hotmail.com — 2,1 %

7. Orkut.com — 2,1 %

8. Ad.Yieldmanager.com — 1,8 %

9. Meebo.com — 1,6 %

10. eBay.com — 1,6 %

Blokowanie wymienionych kategorii i stron internetowych przez firewall pozwoli ograniczyć ryzyko przedostania się do firmowej sieci szkodliwych aplikacji, jak również przyczyni się do wzrostu produktywności.

W niektórych branżach wymagania dotyczące reguł filtrowania są znacznie wyższe. W bankach czy instytucjach finansowych stosuje mechanizm odwrotny do czarnych list. Przepuszczany jest wyłącznie ruch, na których zezwolił administrator zapory sieciowej. Pozostały jest automatycznie blokowany. To raczej skrajne podejście, ale warte rozważenia, jeśli firma przechowuje dane osobowe czy inne poufne, cenne informacje.

Szczegółowa kontrola

Blokowanie całych kategorii stron, czy nawet pojedynczych adresów URL nie zawsze daje akceptowalną dokładność. Kwestia dotyczy w szczególności złożonych serwisów internetowych, np. Facebooka, Twittera czy Google, do których należy umożliwić częściowy dostęp (np. funkcji wyszukiwania, komentowania, chatu, itd.). W takim przypadku konieczna jest dodatkowa technologia, pozwalająca na tworzenie bardzo szczegółowych reguł.

Za przykład niech posłuży YouTube. Serwis jest coraz częściej wykorzystywany do działań marketingowych, sprzedaży czy wsparcia dla klientów. Z drugiej strony powoduje różne problemy, m.in. odciąga uwagę pracowników i obciąża łącza. Te dwie sprzeczne tendencje pozwala pogodzić rozwiązanie, w którym można precyzyjnie zdefiniować reguły dostępu do tego serwisu i zablokować dostępu jedynie do niektórych jego części. W kontekście tego serwisu warto dodać, że daje on dostęp do swojej zawartości również przez SSL. Dlatego w firewallu trzeba blokować także adres www.youtube.com.

Dla zaawansowanych

Listy blokowanych stron internetowych można połączyć z dodatkowymi mechanizmami. Przydatne jest dekodowanie i analizowanie ruchu SSL, którego w sieciach jest coraz więcej. Dekodowanie w czasie rzeczywistym zapewnia ochronę i filtrowanie szyfrowanej transmisji HTTPS. Pozwala również uniknąć zagrożeń związanych z korzystaniem z serwisów proxy, często wykorzystujących właśnie ten protokół.

Możliwe jest również stosowanie wyjątków i różnych zestawów reguł dla poszczególnych grup użytkowników w połączeniu z integracją z usługami katalogowymi, np. Active Directory. Takie rozwiązanie pozwala na dobór reguł również na podstawie innych parametrów, np. zakresu adresów IP czy przynależności do określonego VLAN’u.