Лабораторная работа №5. Защита Web-сервера помощью HTTP ALG_18. Лабораторная работа Защита Webсервера помощью http alg. Блокировка сайта. Фильтрация содержимого Web
 Скачать 0.65 Mb.
|
Лабораторная работа № 5. Защита Web-сервера помощью HTTP ALG.Блокировка сайта. Фильтрация содержимого Web.Межсетевые экраны применяют ApplicationLayerGateway(ALG), обеспечивающие фильтрацию на более высоком уровне в модели OSI, на уровне приложений. Объект ALG действует как посредник для получения доступа к широко используемым Интернет-приложениям за пределами защищенной сети, например, Web-доступ, передача файлов и мультимедиа. Шлюз прикладного уровня (ALG) обеспечивает более высокий уровень безопасности по сравнению с функцией фильтрации пакетов, так как он способен выполнять тщательную проверку трафика по определенному протоколу, а также проверку на самых верхних уровнях стека. Протокол HTTP (HyperTextTransferProtocol) - это первичный протокол, используемый WorldWideWeb(WWW). HTTP является протоколом прикладного уровня на основе архитектуры клиент-сервер. Клиент, например Web-браузер, отправляет запрос на установку TCP/IP-соединения на известный порт (как правило, порт 80) удаленного сервера. Сервер отправляет ответ в виде Web-страницы. Web-трафик является одним из крупнейших источников нарушения безопасности и неправомерного использования сети Интернет. C помощью HTTP ALG система NetDefendOS применяет следующие механизмы фильтрации сомнительного Web-содержимого:
Фильтрация статического содержимого С помощью HTTP ALG система NetDefendOS может блокировать или разрешать доступ к определенным Web-страницам на основе списков URL-адресов, которые носят название «черные/белые списки». Этот тип фильтрации также известен как Static Content Filtering. Функции фильтрации статического содержимого является отличным инструментом и помогает принимать решения относительно того, разрешить или заблокировать доступ. Функция фильтрации статического содержимого выполняется перед функцией фильтрации динамического содержимого , предоставляющей возможность вручную вносить исключения в процессе автоматической классификации динамического содержимого. Функция использует «черные и белые списки», в которые могут быть занесены определенные URL-адреса. 1. Если URL-адреса внесены в «Черный список» URL-адресов, тодоступ к ним будет заблокирован. 2. Если URL-адреса внесены в «Белый список» URL-адресов, тодоступ к ним будет разрешен. Следует отметить, что URL-адреса, находящиеся в «белом списке не могут быть проигнорированы при фильтрации Web-содержимого. Включенная функция «Антивирусное сканирование» всегда используется для проверки HTTP-трафика, даже если URL-адреса источника трафика находятся в «белом списке». «Черный и белый списки» URL-адресов поддерживают метод подстановки URL-адреса для обеспечения наибольшей гибкости использования. Этот метод также применим к имени пути в URL-адресе хоста, что означает, что фильтрацией можно управлять на уровне файлов и папок. Ниже приведены корректные и некорректные примеры использования URL-адресов в «черном списке»: *.example.com/* Корректно. Блокировка всех хостов в домене example.com и всех Web-страниц, используемых этими хостами. www.example.com/* Корректно. Блокировка Web-сайтов www.example.com и всех Web-страниц. */*.gif Корректно. Блокировка всех файлов с расширением .gif. www.example.com Некорректно. Блокировка только первого запроса доступа на Web-сайт. Доступ, например на www.example.com/index.html, не будет заблокирован. *example.com/* Некорректно. Блокировка доступа на www.myexample.com, так как будет запрещен доступ на все сайты, имя которых заканчивается на example.com. Порядок фильтрации HTTP Фильтрация HTTP выполняется в следующем порядке: 1. «Белый список». 2. «Черный список». 3. Фильтрация Web-содержимого (если включено). 4. Антивирусное сканирование (если включено). Как описывалось выше, если URL-адрес находится в «белом списке», он не будет заблокирован, даже если он также находится в «черном списке». Функция «Антивирусное сканирование», если она включена, применяется даже в том случае, если URL-адрес находится в «белом списке». Функция «Фильтрация Web-содержимого», если она включена, по-прежнему применяется к URL-адресам из «белого списка», но вместо блокировки, отмеченные URL-адреса только регистрируются. Таким образом, механизм HTTP ALG позволяет управлять доступом пользователей на различные сайты Интернета, блокировать определенные сайты, настраивать правила загрузки контента. Установка HTTP ALG для Web URL фильтра Этот сценарий показывает как межсетевой экран может управлять Internet Web-поиском для сетевых клиентов, а также запретить доступ на все сайты, кроме нескольких.
3.Заблокируем все сайты, в URL которых встречается mail (т.е. все почтовые сервера с доступом по Web-интерфейсу).  Подаем питание на межсетевой экран. Соединяем сетевым кабелем компьютер и межсетевой экран (LAN-порт ) . Интерфейс межсетевого экрана NetDefend и интерфейс рабочей станции должны быть в одной и той же сети для успешной коммуникации между ними. Зададим сетевые настройки: Для ОС Microsoft Windows XP: Пуск → Настройка → Сетевые подключения → Подключение по локальной сети → Свойства → Протокол Интернета TCP/IP → Свойства → Использовать следующий IP-адрес Для ОС Microsoft Windows Vista/ Windows 7: Пуск → Панель управления → Центр управления сетями и общим доступом → Изменение параметров адаптера → Подключение по локальной сети → Свойства → Протокол Интернета TCP/IPv4 → Свойства → Использовать следующий IP-адрес Введите параметры:
Для получения доступа к Web-интерфейсу, используя заводские настройки по умолчанию, запустите Web-браузер на рабочей станции (рекомендуется последняя версия Internet Explorer или Firefox) и наберите адрес - , https://192.168.10.1. При успешной установке соединения с NetDefendOS, появится диалоговое окно аутентификации пользователя.  Введите имя пользователя и пароль, затем нажмите кнопку Login. Имя пользователя по умолчанию – admin, пароль по умолчанию – admin. Если учетные данные пользователя корректные, выполняется переход на главную страницу Web-интерфейса . Зайдите Interfaces ->Ethernet. Выберите wan1 и уберите галочку с поля Enable DHCP Client. ОК. Зайдите Objects -> Address book ->InterfaceAddresses: Отредактируйте IP-адреса WAN1, LAN и DMZ: Значение lan_ip 192.168.10.20 Значение lannet 192.168.10.0/24 Значение wan1_ip 192.168.110.1 Значение wan1 net 192.168.110.0/24 Настройка ALG Зайдите в меню Objects→ALGwithAV/WCF. Добавьте новый HTTP ALG, введите следующие параметры:
Настройка TCP/UDP ServiceДобавим новый сервис http-outbound (если его нет в разделе Services), в котором используется созданный HTTP ALG. Зайдите в меню Objects→Services→Add→TCP/UDP Service. Во вкладке General введите следующие параметры:
Настройка IP RuleЗайдите в меню Rules→IP Rules. Добавьте новое IP Rule, введите параметры во вкладке General:
Зайдите в меню Configuration и выберите Save and Activate.Примечание: Приоритет белого листа выше, чем черного-листа. Это значит, сначала необходимо полностью заблокировать URL или Web-сайты, и только после этого разрешить некоторые разделы Web-сайта. В данном сценарии, если установлено действие Action: blacklistURL: news.yandex.ru/*, и Action: whitelistURL: *.yandex.ru/*, то межсетевой экран не сможет заблокировать news.yandex.ru/*, пока другое правило разрешает сначала весь Web-сайт *.yandex.ru/*.Командная строка (CLI)gw-world:/>add ALG ALG_HTTP http_alggw-world:/> add Service ServiceTCPUDP http-outbound DestinationPorts=80 SourcePorts=0-65535 Type=TCP ALG=http_alg MaxSessions=200gw-world:/> cc IPRuleFolder labsgw-world:/1(labs)> add IPRule Action=NAT Service=http-outbound SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=wan1 DestinationNetwork=all-nets Name=http_ALG_rulegw-world:/1(labs)> ccgw-world:/> activate (подождать 3-5 секунд)Проверьте работоспособность HTTP ALG. С компьютера lan-сети попробуйте зайти на заблокированные сайты и на саит new.yandex.ru.http://mail.ruhttp://yandex.ruhttp://new.yandex.ruФильтрация динамического содержимого В рамках HTTP ALG, NetDefendOS поддерживает функцию фильтрации динамического Web-содержимого (WCF), что позволяет администратору разрешать или блокировать доступ на Web-страницы на основе содержания данных Web-страниц. Базы данных функции Dynamic WFC Функция Dynamic WCF системы NetDefendOS позволяет автоматически блокировать Web-страницы, поэтому нет необходимости предварительно вручную указывать заблокированные или разрешенные URL-адреса. Вместо этого, D-Link поддерживает глобальную инфраструктуру баз данных, содержащих огромное количество URL-адресов Web-сайтов, которые уже классифицированы и сгруппированы в различные категории, такие как покупка товаров, новости, спорт, информация, предназначенная только для взрослых и т.д. Базы данных URL-адресов обновляются практически ежечасно, при этом самые старые, недействительные URL-адреса удаляются. Объем URL-адресов в базах данных носит глобальный характер, охватывая Web-сайты на различных языках, и размещается на серверах, расположенных в различных странах. Функция Dynamic WCF доступна только на следующих моделях межсетевых экранов NetDefend: DFL-260, 860, 1660, 2560 и 2560G. Когда пользователь с помощью Web-браузера запрашивает доступ к Web-сайту, система NetDefendOS отправляет запрос в базу данных Dynamic WCF с целью выяснения категории запрашиваемого сайта. Далее доступ к сайту может быть разрешен или запрещен на основе его категории. Если доступ запрещен, пользователь получает Web-страницу, уведомляющую, что запрашиваемый сайт заблокирован. Для ускорения поиска система NetDefendOS использует локальную кэш-память, в которой хранятся недавно запрошенные URL-адреса. Кэширование может быть очень эффективно, так как данный пользователь сообщества, такого, как группа студентов, часто просматривает ограниченный круг Web-сайтов Если URL-адреса запрашиваемой Web-страницы нет в базах данных, то содержимое Web-страницы по URL-адресу будет автоматически загружено в центральное хранилище данных D-Link и автоматически анализируется с помощью комбинации программных методов. После отнесения к определенной категории, URL размещается в глобальных базах данных, и NetDefendOS получает категорию для URL-адреса. Функция Dynamic WCF требует минимальных усилий администратора. Классификация Web-страниц, а не сайтов Функция динамической фильтрации классифицирует Web-страницы, а не сайты. Другими словами, Web-сайт может содержать определенные страницы, которые следует заблокировать, не блокируя весь сайт. Система NetDefendOS обеспечивает блокировку отдельной страницы, таким образом, пользователи могут получить доступ к остальным незаблокированным страницам Web-сайтов. Если какой-либо URL-адрес находится в «белом списке», то он будет «обходить» подсистему WCF. К URL-адресу не будет применена классификация, и доступ будет всегда разрешен. Это выполняется, если URL-адрес точно соответствует записи в «белом списке». Фильтрация динамического содержимого – это функция, для активации которой требуется отдельная подписка на услугу. Это является дополнительным в стандартной лицензии NetDefendOS. После оформления подписки должен быть определен объект HTTP Application Layer Gateway (ALG). Данный объект связан с объектом службы, а объект службы связан с правилом из набора IP-правил, определяющим какой трафик необходимо отфильтровать. Это дает возможность создания политик фильтрации на основе параметров фильтрации, используемых правилами в наборе IP-правил. Web Content Filter. Заблокируем пользователям lan-сети доступ к сайтам нежелательного содержания.Настройка ALGЗайдите в меню Objects→ALG with AV/WCF. Добавьте новый HTTP ALG, введите следующие параметры:
Настройка IP RuleЗайдите в меню Rules→IP Rules. Добавьте новое IP Rule, введите параметры во вкладке General:
Зайдите в меню Configuration и выберите Save and ActivateКомандная строка (CLI)gw-world:/> add ALG ALG_HTTP http_alg WebContentFilteringMode=Enabled FilteringCategories=ADULT_CONTENTgw-world:/> add Service ServiceTCPUDP http-outbound DestinationPorts=80 SourcePorts=0-65535 Type=TCP ALG=http_alg MaxSessions=200gw-world:/> cc IPRuleFolder labsgw-world:/1(labs)> add IPRule Action=NAT Service=http-outbound SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=wan1 DestinationNetwork=all-nets Name=http_ALG_rulegw-world:/1(labs)> ccgw-world:/> activate (подождать 3-5 секунд)gw-world:/>commitПроверьте работоспособность Web Content Filter. С компьютера lan-сети попробуйте зайти на заблокированные сайты:URL заблокированныхсайтовПодтверждение целостности файлов Данная функция предназначена для проверки типа загруженного файла. Существуют две отдельные дополнительные функции для проверки типа файла: Verify MIME type и Allow/Block Selected Types, которые описаны ниже: 1. Verify MIME type Данная функция предназначена для проверки соответствия типа загружаемого файла содержимому (термин тип файла также известен как расширение файла). Если опция включена, любой файл не прошедший проверку MIME, другими словами, если тип файл не соответствует его содержимому, будет удален системой NetDefendOS в целях обеспечения безопасности. 2. Allow/Block Selected Types Данная опция действует независимо от проверки MIME, описанной выше, и основана на расширениях файлов, определенных предварительно. Включенная функция работает либо в режиме: - BlockSelected (Заблокировать выбранное); - AllowSelected (Разрешить выбранное). В этих режимах выполняются следующие функции: Когда используется режим BlockSelected файлы с расширением, указанным в списке, при загрузке будут проигнорированы. Система NetDefendOS просматривает содержимое файла (способом, аналогичным проверке MIME) для подтверждения соответствия, чтобы переименованный файл не мог получить «обходной» доступ. Если, например, файлы с расширением .exeзаблокированы, а в файле с расширением .jpg(который не заблокирован) находятся данные с расширением .exe, данный файл также будет заблокирован. Если включена блокировка, но в списке ничего не отмечено, блокировка не выполняется. ЕслииспользуетсяAllowSelected (Разрешить выбранное), то только файлы с отмеченным расширением будут разрешены для загрузки, файлы с другим расширением будут проигнорированы. Как и в случае блокировки, выполняется проверка содержимого файла. Если, например, файлы с расширением .jpgразрешены к загрузке, а в файле с расширением .jpgнаходятся данные с расширением .exe, данный файл также не будет загружен. Если опция включена, но в списке ничего не отмечено, ни один файл не будет загружен. Обработка активного содержимого Web-содержимое может содержать вредоносный код, предназначенный для нанесения вреда рабочей станции или сети. Как правило, такой код встроен в различные типы объектов или файлы, которые встроены в Web-страницы. Система NetDefendOS поддерживает возможность удаления следующих типов объектов из содержимого Web-страниц: • Объекты ActiveX (включая Flash) • Java applets • Код Javascript/VBScript • Cookies • Некорректное отображение символов при использовании кодировки UTF-8 (некорректное отображение URL-адресов может использоваться для атаки на Web-серверы) Типы объектов, которые следует удалить, могут быть выбраны индивидуально путем настройки соответствующего HTTP Application Layer Gateway. Предупреждение: Последствия удаления объектов Перед удалением любых типов объектов из Web-содержимого следует проявлять особое внимание. Многие Web-сайты используют Javascript и другие типы кодов на стороне клиента, и в большинстве случаев код не является вредоносным. Типичными примерами этого являются scripting, используемые для реализации выпадающих меню, а также скрытия и отображения элементов на Web- страницах. В лучшем случае, удаление таких законных кодов может стать причиной повреждений Web-сайта, а в худшем - полное прекращение работы браузера. По этой причине функция Active Content Handling должна быть использована только при четко выясненных последствиях удаления объектов. Защита Web-сервера, подключенного к DMZ-интерфейсу | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Name | HTTP-dmz |
| Address | 172.17.100.7 |
Настройка ALG
Зайдите в меню Objects→ALG→ Add→HTTP ALG. Добавьте новый HTTP
| Name | HTTP-alg-dmz |
Установка Active Content Handling
| Strip ActiveX objects | Поставьте галочку |
| Strip Java applets | Поставьте галочку |
Во вкладке File Integrityвведите:
| Verify MIME-type against file content. | Поставьте галочку |
| Block selected filetypes | Добавьте расширение .ехе из списка |
| | |
| Создание HTTP-сервиса | |
| Создадим сервис HTTP-inbound (если его нет в Services). Зайдите в меню Objects→Services, добавьте TCP/UDP Service со следующими параметрами: | |
| Name | HTTP-inbound-dmz |
| Type | TCP (выберите из списка) |
| Destination | 80 (порт HTTP-сервера) |
| ALG | HTTP-alg-dmz (выберите из списка ранее созданный ALG) |
| Настройка IP Rule | |
| Зайдите в меню Rules→IPRules. Добавьте новое IP Rule для SAT, введите параметры во вкладке General: | |
| Name | SAT-HTTP-dmz |
| Action | SAT |
| Service | HTTP-inbound-dmz |
| SourceInterface | wan1 |
| SourceNetwork | all-nets |
| DestinationInterface | core |
| DestinationNetwork | wan1_ip (настраиваем для внешнего интерфейса) |
| Введите параметры во вкладке SAT: | |
| Translate the | Destination IP Address |
| To New IPAddress | HTTP-dmz (внутренний IP адрес HTTP-сервера) |
| | |
| Зайдите в меню Rules→IPRules. Добавьте новое IP Rule, введите параметры во вкладке General: | |
| Name | NAT-HTTP-dmz |
| Action | NAT |
| Service | HTTP-inbound-dmz |
| SourceInterface | lan |
| SourceNetwork | lannet |
| DestinationInterface | dmz |
| DestinationNetwork | HTTP-dmz |
| Вкладка NAT: | |
| Use InterfaceAddress | поставьте галочку |
| | |
| Зайдите в меню Rules→IPRules. Добавьте новое второе IP Rule для SAT, введите параметры во вкладке General: | |
| Name | Allow-HTTP |
| Action | Allow |
| Service | HTTP-inbound-dmz |
| SourceInterface | wan1 |
| SourceNetwork | all-nets |
| DestinationInterface | core |
| DestinationNetwork | wan1_ip |
| Зайдите в меню Configuration и выберите Save andActivate. | |
Проверьте работоспособность HTTP-сервера. Зайдите на сервер с компьютера, подключенного к lan-интерфейсу межсетевого экрана и с компьютера за
wan1-интерфейсом межсетевого экрана.
| Internet Explorer ОС Windows (компьютер в сетиlannet) | HTTP:// |
| Internet Explorer ОС Windows (компьютер в сетиwan1net) | HTTP:// |