Dostęp pod kontrolą
-
- 26.05.2009
W mniejszych firmach z powodzeniem sprawdzą się urządzenia łączące funkcje filtru ruchu z zaporą sieciową i systemem detekcji intruzów. Takimi urządzeniami są np. rozwiązania UTM (Unified Thread Management) firm FortiGate, SonicWall, Check Point, NetASQ, McAfee, Juniper czy Astaro. Ważną zaletą nowoczesnych rozwiązań tego typu są dobrze dopracowane narzędzia zarządzania. W środowisku wielooddziałowej firmy, które chce realizować ścisłą politykę bezpieczeństwa, filtrowanie powinno odbywać się przy wyjściu z sieci lokalnej oddziału. Centralizowane narzędzia umożliwią przygotowanie założeń zgodnych z polityką bezpieczeństwa firmy i automatyczną dystrybucję do wszystkich urządzeń. Przykładowym wdrożeniem, niedawno opisywanym na łamach Computerworld 16-17/2009, jest opis migracji do urządzeń Fortinet FortiGate w Totalizatorze Sportowym.
Reputacja stron
Niektóre założenia kontroli treści są zbieżne z założeniami oprogramowania antywirusowego, można zastosować
tę samą technologię cloud, która odniosła sukces w przypadku antywirusów działających online. Oprócz listy stron wraz z przynależnością do kategorii, niektóre rozwiązania (np. BlueCoat i Bloxx) odpytują serwis internetowy, który w większości przypadków już daną stronę zna. Na podstawie informacji z serwisu cloud, podejmowana jest decyzja o przyznaniu dostępu lub wyświetleniu stosownego komunikatu. Jeśli witryna jest nieznana, automat pobiera ją i dokonuje analizy. Kluczowymi elementami strony będą próbki treści, na których podstawie można dokonać wstępnej klasyfikacji. Niektóre strony łatwo poddają się automatycznej analizie, dobrym przykładem jest obecność niektórych słów (choćby często pojawiające się słowo "win" pisane dużą, barwną czcionką na stronach związanych z hazardem), szczególnego rodzaju grafiki (pornografia) lub wiele często aktualizowanych treści w obrębie jednej domeny, z różnymi szablonami wyglądu (blogi internetowe, serwisy wiadomości). Są jednak strony, które wymykają się sztywnym kryteriom automatów, dlatego dostawcy posiadają grupę specjalistów, którzy analizują stronę ręcznie, przeglądając ją.Internet jest dynamicznie rozwijającą się siecią i statyczne narzędzia nie nadążają z jej katalogowaniem i ochroną. Nawet jeśli aktualizacje filtrów dostępu odbywają się codziennie (jest to reguła minimalnej częstotliwości aktualizacji w przypadku oprogramowania antywirusowego), nadal są strony, których badacze nie odwiedzili i nie skatalogowali. Nie ma zatem dla takich serwisów żadnych reguł, w wielu urządzeniach pojawiają się jako "inne" lub "nieklasyfikowane". Twórcy polityki bezpieczeństwa mogą zadecydować o blokowaniu stron, które nie znajdują się w pożądanych kategoriach, ale decyzja taka może mieć istotne skutki biznesowe. Stopień kategoryzacji polskiej części Internetu nadal jest stosunkowo niski, często zdarzają się błędy, skutkujące fałszywymi alarmami lub pomijaniem ochrony.
Model statyczny, bazujący na listach adresów WWW ma jeszcze inną wadę - słabo zabezpiecza przed szybko zmieniającymi się stronami, które są wektorami ataków dnia zerowego. Witryna udostępniająca niepożądane treści może być utworzona bardzo szybko, a jej promocja za pomocą poczty elektronicznej może nastąpić już po chwili. Statyczna lista URL nie da rady prawidłowo zablokować takiego ruchu. Pewne szanse ma automatyczny filtr, który analizuje treść strony przy pomocy odpowiedniego zestawu reguł (tak może działać np. DansGuardian), ale nadal skuteczność takich filtrów pozostawia wiele do życzenia. Na nowe zagrożenia najszybciej odpowiada filtr korzystający z klasyfikacji online w modelu cloud. W ten sposób pracują urządzenia BlueCoat.
