Заметки по курсу лекций ProxySG 6.7. Часть 1

ЗАМЕТКИ ПО КУРСУ ЛЕКЦИЙ
PROXYSG 6.7 BASIC ADMINISTRATION

I. Introduction

The ProxySG provides the following functions:

  1. strong user authentication;

  2. Web filtering;

  3. deep inspection of content for data loss or threats;

  4. security checks to the WebPulse collaborative cloud defense;

  5. inspection and validation of SSL traffic;

  6. content caching and traffic optimization;

  7. bandwidth management;

  8. streaming media splitting and caching;

  9. method-level controls per protocol; (управление на уровне методов для каждого протокола)

  10. plus the ability to filter, strip, or replace Web content. (плюс возможность фильтрации, удаления или замены веб-контента)

 

Веб-прокси - это просто сервер, который обрабатывает трафик на веб-сайты и с них. Как правило, пользователь вводит адрес веб-сайта, который он/она хочет просмотреть, и браузер отправляет этот запрос веб-прокси. Затем веб-прокси проверяет запрос и выполняет задачи, связанные с безопасностью, такие как аутентификация и авторизация, и, если проблем нет, отправляет запрос на сервер, на котором размещена страница. Он также проверяет запрошенный контент на наличие вредоносных программ и других угроз, прежде чем отправлять его в браузер пользователя.

По сути, веб-прокси предоставляет услугу “карантина” для веб-трафика. Он проверяет 100% трафика между пользователями и сайтами HTTP/ HTTPS и классифицирует все URL-адреса, чтобы вредоносные сайты или страницы могли быть идентифицированы и заблокированы, в то время как хорошие URL-адреса остаются доступными в соответствии с политиками.

Для многих в ИТ термин “безопасный веб-шлюз” (SWG) взаимозаменяем с веб-прокси. Однако важно отметить, что не все SWG являются прокси-серверами. Когда они были впервые представлены, SWG были внедрены для обеспечения соблюдения корпоративной или организационной политики, такой как предотвращение покупок в Интернете в рабочее время. В современном мире, полном угроз, SWG необходимо включить веб-прокси, чтобы обеспечить полную защиту от киберпреступности, вредоносных программ и фишинга в Интернете.

Специально назначая прокси-сервер в SWG, вы получаете гарантию того, что весь трафик будет прекращен на прокси-сервере. И когда весь веб-трафик завершается на веб-прокси, прокси-сервер имеет возможность сканировать 100 процентов контента, проходящего через прокси-сервер, и ждать результатов анализа, прежде чем передавать эти данные пользователю.

Прокси-сервер также может выполнять аутентификацию и гарантировать, что трафик не проходит через Интернет или не проходит через туннели в Интернет без проверки или контроля.

 

1.1. Что делает SWG на основе ProxySG, чего не делает NGFW?

 

Развертывания SWG без прокси и другие технологии, такие как брандмауэры следующего поколения (NGFW), включая развертывание портов TAP или SPAN, не прерывают трафик.

NGFW используют методологии обнаружения на основе потоков, исследуя трафик, проходящий по проводу.

У этих развертываний есть определенный недостаток. Вредоносные программы или другие угрозы могут проникнуть во внутреннюю сеть, если шлюз или NGFW вовремя не обнаружат угрозу или не отправят пакет сброса TCP вовремя, чтобы нарушить поток трафика. Кроме того, из-за характера сканирования на основе потока возможно, что вредоносное ПО будет доставлено с использованием фрагментированных пакетов в течение определенного периода времени и останется незамеченным. ProxySG по своей природе ожидает, пока весь объект будет собран и отсканирован, прежде чем разрешить его доставку.

Кроме того, NGFW предназначены для пропускания трафика через устройство, чтобы правильно классифицировать приложение, подход, который может легко привести к непредвиденным последствиям и небезопасным конфигурациям.

Не менее важно и то, что развертывания NGFW не позволяют эффективно собирать и анализировать информацию об URL-адресах, запрашиваемых пользователями. Решения NGFW обычно классифицируют только домены. С другой стороны, архитектура ProxySG может классифицировать URL-адреса, что обеспечивает более детальные политики, позволяющие группам ИТ-безопасности и администраторам блокировать только вредоносный контент, предоставляя доступ к более крупному сайту.

ProxySG также предлагает некоторые уникальные возможности в отношении политики и управления веб - страницами. Например, возможность подавления, добавления или перезаписи заголовков-это уникальные функции веб-прокси, доступные в веб-политике. ProxySG также может переписывать и перенаправлять URL-адреса, а также анализировать и управлять сценариями на веб-страницах.

Уникальный характер прокси - сервера также может быть использован для обеспечения соблюдения протокола. ProxySG работает на уровне приложений с двумя отдельными подключениями (по одному с каждой стороны диалога), предоставляя возможность проверять соответствие стандартам протокола и предотвращать несоответствующий трафик (or correcting and fixing несоответствующий трафик). Например, потоковый прокси-сервер может полностью остановить атаку переполнения буфера, используя принудительное соблюдение протокола.

Эта же функция также обеспечивает возможность перевода протоколов с одной стороны разговора на другую. Например, если клиент поддерживает только IPv4, ProxySG можно использовать для прокси-передачи разговора на веб-сервер IPv6, обеспечивая доступ даже без поддержки IPv6 на стороне клиента. Аналогично, клиент или среда, использующие только IPv6, могут получить доступ к веб-серверу IPv4 через ProxySG.

Короче говоря, NGFW не является гарантированным механизмом безопасности. Это может хорошо работать для обеспечения соблюдения организационной политики, но это определенно не защита от веб-угроз, которые могут превысить возможности устройства, перегружая его, заставляя его медленно реагировать и делая его неспособным блокировать угрозы.

 

1.2. ProxySG features

 

Являясь самым надежным в мире безопасным веб-шлюзом, используемым более чем 70% компаний из списка Fortune 500, ProxySG является основополагающим элементом архитектуры безопасности любого предприятия, ProxySG предлагает следующее:

  • Защита от угроз негативного дня - ProxySG предоставляет облачную аналитику по требованию и рейтинги веб-контента в режиме реального времени, чтобы обеспечить защиту предприятия от новейших угроз.
  • Надежная аутентификация пользователей - ProxySG обладает самой широкой поддержкой поставщиков аутентификации в отрасли, предоставляя возможность легко интегрировать новых пользователей и группы – даже тех, кто использует совершенно другие технологии аутентификации.
  • Видимость зашифрованного трафика - ProxySG имеет SSL-прокси, который обеспечивает видимость SSL-трафика, поэтому ProxySG может безопасно отправлять вложения и содержимое для служб проверки.
  • Интеграция с новейшими передовыми средствами защиты от угроз в отрасли - ProxySG без проблем работает с лучшими в своем роде технологиями, включая антивирусные, антивирусные (AV), механизмы черного и белого списков от различных поставщиков, а также статический анализ кода и посредничество в песочнице, найденные в Symantec Content Analysis. ProxySG может безопасно предотвращать потерю данных с помощью сертифицированных партнеров DLP через S-ICAP или стандартный ICAP.
  • Контроль над использованием Интернета и облака - ProxySG дает вам контроль над вашим конфиденциальным контентом. ProxySG позволяет идентифицировать облачные приложения и снижать риски, связанные с несанкционированным "теневым ИТ".
  • Ускоренная производительность облачных приложений - ProxySG обеспечивает кэширование контента и оптимизацию трафика, чтобы ваши критически важные облачные приложения были там, где они нужны вашим пользователям. Он предлагает расширенное управление пропускной способностью с разделением потокового мультимедиа и контролем уровня методов для каждого протокола, чтобы помочь вам оптимизировать общую производительность, эффективность и пропускную способность ваших инвестиций в пропускную способность.
  • Гибридная модель доставки - ведущая в отрасли веб-защита Symantec доступна в виде устройства (ProxySG), виртуального устройства (SWG VA) и облачной службы (Служба веб – безопасности), удовлетворяющей уникальным требованиям безопасности любой организации, будь то локальное, облачное или гибридное развертывание.
  • Непревзойденная производительность и надежность - ProxySG обеспечивает пропускную способность до 1 Гбит / с для развертывания с высокой доступностью. Аппаратные платформы и операционная система (SGOS) были созданы для быстрой и эффективной обработки веб-объектов, которые год за годом работают на уровне производительности, превосходящем конкурентов.

 

1.3. Методы HTTP запросов

 

Метод запроса GET указывает серверу получить информацию, указанную в URL-адресе запроса. GET используется для запроса определенного ресурса — при нажатии на ссылку используется GET, независимо от того, является ли связанный ресурс файлом, сценарием или другим контентом.

Если URL-адрес ссылается на скрипт, такой как PHP или Страницы Активного сервера (ASP), обработанные данные возвращаются в ответе.

Метод GET может быть условным, если сообщение запроса содержит поле заголовка If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match или If-Range. Метод условного получения предназначен для оптимизации доставки кэшированных данных за счет уменьшения количества ненужных подключений к веб-серверу.

Ответы на запрос GET могут быть кэшированы только в том случае, если запрос соответствует требованиям к кэшированию HTTP, определенным протоколом.

Метод запроса HEAD идентичен методу GET, за исключением того, что HEAD возвращает только заголовки сообщений, а не тело сообщения. ЗАГОЛОВОК может использоваться для получения метаинформации о сущности; например, достоверности и доступности гипертекстовых ссылок.

 

Метод запроса POST используется для отправки данных на сервер, которые должны быть каким-либо образом обработаны.

В отличие от запроса GET, тело сообщения запроса POST содержит блок данных.

Наиболее распространенным использованием POST является отправка данных в скрипты, такие как написанные на PHP и ASP. Скрипт получает текст сообщения и декодирует его.

Вы можете использовать запрос POST для отправки любых данных, которые вы хотите. Единственное условие состоит в том, что принимающая программа должна понимать формат.

 

Метод запроса CONNECT используется для направления веб-прокси, которые обеспечивают туннелирование SSL. CONNECT сигнализирует прокси - серверу о переключении на туннельное соединение HTTP через виртуальный порт TCP 443 для поддержки безопасных соединений HTTPS.

 

1.4. Параллельные соединения

 

Большинство агентов пользователей, таких как веб-браузеры, не будут выполнять запросы последовательно по одному; вместо этого они открывают несколько параллельных подключений к серверу.

Например, при загрузке HTML-кода для страницы браузер может видеть два тега <img> на странице, поэтому браузер откроет два параллельных соединения для одновременной загрузки изображений.

Количество параллельных подключений зависит от агента пользователя и конфигурации агента.

Параллельные соединения будут подчиняться закону убывающей отдачи, так как слишком большое количество соединений может насыщать и перегружать сеть, особенно когда задействованы мобильные устройства или ненадежные сети. Таким образом, слишком большое количество подключений может снизить производительность. Кроме того, сервер может принимать только конечное число подключений, поэтому, если 100 000 агентов пользователей одновременно создадут 100 подключений к одному веб-серверу, производительность снизится.

 

 

II. ЛОГИКА РАБОТЫ ProxySG

 

Создание политик - основная задача внедрения устройств ProxySG на предприятии. После завершения базовой настройки ProxySG определенная политика — это то, что контролирует действия пользователей и реализует аутентификацию компании и цели распределения сетевых ресурсов.
Visual Policy Manager (VPM) — это пользовательский интерфейс, который создает базовый язык политики контента (CPL). В VPM вы создаете уровни политики, выбирая и настраивая объекты политики.

Основной принцип работы VPM - СРАБОТАЛО ПРАВИЛО, ПЕРЕШЛИ К СЛЕДУЮЩЕМУ СЛОЮ!

На уровне VPM правила оцениваются в том порядке, в котором они отображаются сверху вниз. Правила можно перемещать вверх или вниз с помощью соответствующих кнопок в VPM.

Оценка начинается с политики прокси-сервера по умолчанию (Разрешить или Запретить).

Если правило пропускается, оценка продолжается до следующего правила на этом уровне.

Если правило совпадает, оценка останавливается на этом правиле, и обработка продолжается со следующего уровня. Как только правило совпадает, все последующие правила в этом слое игнорируются.

Уровни одного и того же типа (веб-доступ, веб-аутентификация и т.д.) оцениваются в VPM в порядке слева направо. В общем случае порядок оценки уровней соответствует порядку, в котором они отображаются в меню Политики VPM.

Однако слои разных типов обрабатываются в логическом порядке, основанном на порядке, в котором происходят события, когда пользователь пытается получить доступ к содержимому на сервере. Например, правило на уровне веб-аутентификации будет обработано перед правилом на уровне веб-доступа, независимо от его порядка в VPM.

Ниже перечислены некоторые распространенные выражения фильтра для Консоли управления и интерфейса командной строки. Фильтр использует формат пакетного фильтра Беркли (BPF), который также используется программой tcpdump. Приведено несколько простых примеров.

 

 

2.1. Policy concepts

 

 

Политика - это клей, который связывает работу решения ProxySG SWG. Администраторы могут создавать политику либо в VPM, либо непосредственно в CPL, либо в сочетании того и другого. Политика, созданная в VPM, преобразуется в CPL и сохраняется в ProxySG для обработки.

Это похоже на то, как Консоль управления генерирует команды командной строки для выполнения своих функций. Это также означает, что все, что можно сделать в VPM, можно сделать в CPL, но не наоборот.

Механизм обработки политики решает, разрешать или запрещать каждую транзакцию и, при необходимости, выполнять ли другие действия, которые могут быть предписаны политикой. Механизм обработки политики запускается с политикой по умолчанию для каждой транзакции и, основываясь на действующей политике, возможно, изменяет этот статус. В конце обработки политики трафик разрешается только в том случае, если статус оценки политики Разрешен.

Установите политику по умолчанию (Разрешить или запретить) в соответствии с вашей корпоративной политикой безопасности, а затем используйте подходы черного списка или белого списка в зависимости от обстоятельств.

 

Symantec рекомендует следующие настройки:

  • Если безопасность является приоритетом, установите для политики прокси-сервера по умолчанию значение Запретить (Best practice - Deny).
  • Если услуга является приоритетной, установите для политики прокси-сервера по умолчанию значение Разрешить.

 

2.2. VPM structure

 

 

Когда VPM запускается через браузер или Java-апплет, он считывает текущее состояние консоли управления, включая любые изменения, которые не были применены или отменены. Такие изменения не отражены в том, что представляет VPM. Консоль управления и VPM синхронизируются при нажатии кнопки Применить или Отменить в Консоли управления.

Изменения, внесенные в Консоль управления после запуска VPM, не отражаются в VPM до тех пор, пока VPM не будет закрыт и перезапущен.

Выходные данные VPM представляют собой два файла: файл VPM-XML, в котором хранится визуальное состояние пользовательского интерфейса VPM; и файл VPM-CPL, содержащий CPL, созданный на основе конфигурации в VPM. CPL также может поступать из других источников. Администратор может написать свой собственный CPL (возможно, на основе кода, который является общим для членов сообщества Symantec) и сохранить его в других специальных файлах на ProxySG.

Файл VPM-CPL объединяется с другими файлами CPL для формирования политики, которая является входными данными для механизма обработки политики ProxySG.

 

2.3. VPM layers and rules

 

 

 

Каждый слой является одним из нескольких предопределенных типов. Каждый тип слоя предназначен для выполнения определенного типа операций.

Слои могут быть выборочно включены или отключены.

Несколько слоев одного и того же типа могут существовать (и часто существуют) одновременно.

В отличие от брандмауэра, все уровни политики оцениваются до принятия решения о том, разрешить или запретить. Это означает, что решение, принятое в одном слое, может быть отменено в последующем слое.

 

2.4. VPM objects

 

Каждое правило состоит из объектов.

Объекты - это отдельные элементы указанного вами правила.

За исключением номера (числа), который указывает порядок следования правил в слое и заполняется автоматически, все объекты настраиваются.

Чтобы задать или отредактировать параметры объекта, наведите курсор мыши на соответствующую ячейку объекта в правиле и щелкните правой кнопкой мыши, чтобы отобразить раскрывающееся меню.