Webový filter ako bezpečnostný prvok

História komerčne dostupných firewallov siaha do začiatku deväťdesiatych rokov minulého storočia a prakticky od počiatku tieto firewally mali schopnosť filtrovať aplikačné protokoly a medzi nimi aj web.

Od pôvodných možností blokovať či povoľovať jednotlivé webové stránky ich prostým statickým výpočtom sme sa posunuli k dnes už štandardnej možnosti filtrovať na základe kategórií. Dostupné produkty umožňujú vo svojich pravidlách vyberať typicky z mnohých desiatok kategórií stránok, kam majú alebo nemajú používatelia mať prístup (napr. spravodajstvo, nakupovanie on-line, on-line hranie, erotika a pornografia).

Makajú tí ľudia vôbec?

Webové filtre sa používali a stále používajú ako prostriedok na riadenie produktivity. Pre väčšinu odvetví priemyslu asi nie je príliš prínosné, aby si zamestnanci v pracovnom čase prezerali sporo odeté celebrity alebo četovali s virtuálnymi priateľmi. Sociálne siete všeobecne spoľahlivo vedú v schopnosti zabíjať produktívny čas. Typicky nastavený filter teda zakazuje prístup na Facebook (ale napr. nie ľuďom z marketingu), povoľuje čítanie správ, ale nie hranie hier. Zabraňuje, aby on-line video zabralo celú kapacitu vašej internetovej linky.

S produktivitou o. i. úzko súvisí aj skutočnosť, či to, čo používatelia robia, je legálne (či napr. nesťahujú nelegálny obsah). Firma by sa totiž ľahko mohla dostať do problémov so zákonom.

A nesťahujú vírusy a spyware?

Ako systém na riadenie produktivity sa bude webový filter nepochybne používať aj naďalej, ale v poslednom čase začína byť zreteľný jeho význam aj v oblasti zabezpečenia siete. A v budúcnosti sa tento význam bude nepochybne zvyšovať.

Tradičné filtrovacie techniky už dnes dosahujú veľmi slušnú efektivitu. Štandardom sú nielen vo veľkých firmách, ale aj v oblasti SMB. Schopnosť triediť spam či odchytávať vírusy v maile aj na webe je dnes prakticky vo všetkých aspoň trochu významných produktoch na vysokej úrovni.

Pre útočníkov je teda čoraz ťažšie a hlavne drahšie postupovať týmto tradičným spôsobom. Stále viac sa teda zameriavajú na web ako platformu na šírenie malvéru všetkého kalibru. Je jednoduchšie vystaviť malvér na Facebooku ako ho pretlačiť cez často aj viacnásobný antispam a antivírus do e-mailovej schránky používateľa.

Nie, tým, samozrejme, nechceme tvrdiť, že spam niekedy v dohľadnom čase zmizne a antivírus vo vašej schránke prestane oznamovať vírusové útoky. To sa určite nestane. Len sa začnú objavovať nové typy útokov.

Sociálne siete - pridať medzi priateľov?

Sociálne siete a vôbec web 2.0, kde sám prevádzkovateľ má len pramalú kontrolu nad tým, aký obsah sa na ňom bude nakoniec vyskytovať, tvoria dokonalé podhubie na škodenie.

Z toho všetkého vyplýva logická potreba zablokovať škodlivé weby. Nemožno však, samozrejme, prvoplánovo zablokovať Facebook alebo sociálne siete ako celok. Jednak väčšina ich obsahu nie je škodlivá, navyše neraz je možnosť prístupu k týmto sieťam kľúčová. Keď už pre nikoho iného, tak napr. pre marketing áno. Čo robiť?

Zaujímajte sa o vlastnosti vášho webového filtra - či vie účinne blokovať infikované, phishingové či inak nebezpečné stránky. A treba si skutočne uvedomiť rozdiel: webový filter už nenasadzujete preto, aby ste len zabránili stratám v produktivite, nasadzujete ho ako veľmi dôležité bezpečnostné opatrenie.

O aké vlastnosti webového filtra sa zaujímať predovšetkým?

• Pokrytie a presnosť
Pokrytím rozumieme, koľko percent stránok celého internetu filter pozná a vie kategorizovať. Je jasné, že zrno od pliev sa tu oddeľuje najmä pri okrajových weboch, weboch v exotických jazykoch (za ktoré musíme chtiac-nechtiac považovať aj češtinu a slovenčinu), weboch s používateľským obsahom, rôznych free hostingoch atď.

Niet pochýb o tom, že nestoja za veľa miliardy perfektne kategorizovaných stránok URL v databáze filtra, ak sú tie len v angličtine a české alebo slovenské stránky v lepšom prípade filter vôbec nepozná a v tom horšom ich má zle kategorizované.

A to nejde len o jazyk. Nemenej dôležité sú aj špecifiká prostredia. Povedzme, že filter obsahuje špeciálne funkcie pre Facebook a možno v ňom pomaly vybrať, ktoré plodiny vo Farmville smiete použiť a ktoré nie. To je určite pekné. No ak pôsobíte napríklad v Rusku, kde Facebook nie je medzi najobľúbenejšími sociálnymi sieťami (ak neveríte, pozrite si top sites na www.alexa.com), je vám to pramálo platné.

• Orientácia na bezpečnosť
Ako sme už uviedli, filter by mal obsahovať kategórie zamerané na bezpečnosť, t. j. napríklad všeobecne škodlivé stránky, URL zo spamu, napadnuté stránky, phishingové stránky a pod. Zablokovaním týchto kategórií pre jednotlivých používateľov môžete významne znížiť mieru rizika, že sa do vašej siete dostane spyware, vírusy a podobná háveď. Filter potom slúži ako ideálny doplnok ku kvalitnému antivírusu (ale nie ako jeho náhrada).

Možno vám teraz napadne, že útočné stránky vznikajú a zanikajú veľmi rýchlo. Samozrejme, že kľúčová je preto v tejto oblasti aj rýchlosť reakcie filtra na nové stránky a na zmeny na existujúcich stránkach. Moderné filtre, dalo by sa povedať, fungujú na báze cloudu. Znie to veľmi moderne a honosne, ale treba priznať, že podobný princíp používajú antivírusové riešenia už niekoľko rokov. Keď nejaký zákazník pristupuje na stránku, ktorá je pre filter nová, dostane odpoveď, že kategória je neznáma. Pre filter je to však signál, aby okamžite vykonal kategorizáciu. Ďalší zákazníci z toho neskôr profitujú a kategória novej stránky je pre nich známa.

Toto všetko by malo pri kvalitnom riešení prebehnúť typicky do niekoľkých sekúnd či málo minút. V sieťach s veľkým dôrazom na zabezpečenie potom možno pri rýchlom filtri prístup na doteraz nekategorizované stránky pokojne blokovať a zobraziť používateľovi iba správu, nech to skúsi o chvíľu znova. Pravdepodobnosť, že by sa zobrazila nebezpečná stránka, sa takým postupom významne zníži.

Aký filter vybrať?

Ak sa rozhodnete nasadiť v sieti webový filter, je dobré vziať do úvahy aj ďalšie parametre. Mala by vás zaujímať prehľadnosť a flexibilita nastavenia, aby ste mohli napr. nastavovať výnimky a rôzne pravidlá pre jednotlivých používateľov, prípadne pre celé skupiny a oddelenia. Dôležité je aj to, ako dobre sa dá produkt integrovať do vašej existujúcej infraštruktúry, či ho napr. možno prepojiť s vašou doménou a používať používateľskú databázu z Active Directory.

Určite odporúčame každé riešenie najskôr nasadiť v skúšobnom režime, každý dodávateľ by vám v tom mal vyhovieť. Neuspokojte sa len s tým, čo vám vybásni predajca. Pozrite sa na viac riešení. Berte to, čo sme uviedli, do úvahy pri rozhodovaní o tom, čo vyskúšať a na čo sa zamerať. Veľa úspechov pri zabezpečovaní siete...

Jan Ježek
Autor je Product Development Manager produktu Kerio Control spoločnosti Kerio Technologies.

Zdroj: Infoware 10/2011

---

 

---