PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Instalacja, konfiguracja i zarządzanie Websense Enterprise for FireWall-1 CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: support@clico.pl, orders@clico.pl.; Ftp.clico.pl.; http://www.clico.pl
Spis treści 1. WPROWADZENIE 3 2. PODSTAWOWE KOMPONENTY SYSTEMU 4 3. ZASADA DZIAŁANIA WEBSENSE 4 4. ZAKRES I SPOSÓB FILTRACJI URL 5 5. POLITYKA ANALIZY I NADZORU WYKORZYSTANIA PRZEZ PRACOWNIKÓW ZASOBÓW INTERNETU 6 6. ALGORYTM FILTRACJI URL 7 7. KONFIGURACJA OPCJI FILTRACJI URL 9 8. KONFIGURACJA WEBSENSE I FIREWALL-1 10 CLICO Centrum Oprogramowania, 1991-2001. 2
1. Wprowadzenie Internet ze swoimi zasobami informacyjnymi oraz możliwościami wykorzystania w działalności biznesowej (np. promocja, sprzedaż, transakcje) stanowi dla firm i instytucji dużą wartość. Jego nieograniczona dostępność dla pracowników stanowi jednak poważny problem. Pracownicy w czasie przeznaczonym na wykonywanie zadań służbowych zajmują się interesującymi ich prywatnie usługami Internetu. Najbardziej popularną usługą Internetu, której nadużywa się w czasie pracy to WWW. Praktyka wykazała, iż nadzór przełożonych nie stanowi w tym przypadku skutecznej metody kontroli (np. mogą oni także w tym czasie zajmować się przeglądaniem rozrywkowych stron WWW). Dlatego, tez w ostatnim czasie bardzo popularne stało się korzystanie z zainstalowanych w sieci zabezpieczeń, dedykowanych do filtrowania niedozwolonych URL. Tego typu zabezpieczenia najczęściej współpracują z systemami zaporowymi Firewall lub serwerami HTTP Proxy (Cache). Filtracja URL odbywa się w oparciu o zdefiniowaną dla określonej organizacji politykę wykorzystania Internetu. System filtracji URL udostępnia do tego celu bazę danych zawierającą adresy URL większości serwerów WWW w Internecie. Baza ta jest podzielona na kategorie tematyczne (np. Games, Sports, Drugs, Sex). Najbardziej renomowanym obecnie systemem filtracji URL na rynku jest Websense Enterprise (używany jest w ponad 13,000 firm i instytucji, w tym połowie z listy Fortune 500). Z uwagi na dominująca pozycje na rynku Check Point FireWall-1 (ponad 42% rynku Firewall wg IDC, ponad 62% rynku VPN wg Datamonitor), jednym z najczęstszych wdrożeń Wensense jest konfiguracja z FireWall-1. Architektura zabezpieczeń FireWall-1 z systemem filtracji URL została przedstawiona na rysunku 1. Rys. 1) Architektura zabezpieczeń Firewall z systemem filtracji URL CLICO Centrum Oprogramowania, 1991-2001. 3
2. Podstawowe komponenty systemu Websense Enterprise składa się z następujących komponentów: Websense Enterprise: Websense Server - serwer filtracji URL, współdziałający z systemem zaporowym FireWall-1; kontrola URL odbywa się w pełnym zakresie (tzn. protokół, domena lub adres IP, katalog, plik, ścieżka CGI), Websense Master Database - baza danych zawierająca informacje nt. ponad 2.3 miliona serwerów WWW (ponad 400 milionów URL), wyselekcjonowanych tematycznie w ponad 75 kategoriach i pod-kategoriach, Websense Manager - graficzna konsola administratora GUI, umożliwiająca zdalne zarządzanie Websense Server. Websense Reporter: Reporter - zestaw graficznych narzędzi administratora przeznaczonych do generowania raportów z wykorzystania Internetu przez pracowników firmy, Log Server -serwer odbierający logi z serwera Wensense Server i zapisujący je w bazie danych Database Engine (SQL), Database Engine (SQL) - baza danych zawierająca informacje (logi) zarejestrowane przez Websense Server, które udostępniane są dla Reporter. Serwer Websense może funkcjonować na platformie systemów operacyjnych SUN Solaris oraz Windows NT/2000. 3. Zasada działania Websense Komunikacja HTTP przebiega w następującej kolejności: przeglądarka WWW wysyła zapytanie HTTP Request do serwera WWW, zapytanie HTTP przechodząc przez FireWall-1 jest odbierane przez proces HTTP Security Server, HTTP Security Server przesyła zapytanie HTTP do serwera Websense i czeka na odpowiedź, serwer Websense przesyła do FireWall-1 odpowiedź, informując go czy powinien zezwolić na tą komunikację, w razie akceptacji ze strony serwera Websense zapytanie HTTP zostaje przez FireWall-1 przesłane do serwera WWW, odpowiedź z serwera WWW trafia do przeglądarki WWW. CLICO Centrum Oprogramowania, 1991-2001. 4
4. Zakres i sposób filtracji URL Websense posiada rozbudowane możliwości kontroli. Polityka filtracji URL oprócz prostych ustaleń "Block" i "Permit" zawiera także reguły kontroli kontekstowej, m.in.: aktualny czas i data, dostęp do zabronionych kategorii WWW tylko przez określony czas (Quota Time), kontynuowanie przeglądania zabronionych WWW w godzinach poza służbowych, uprzywilejowanie określonych pracowników (User, Group, Workstation, Network). Kontrola URL na serwerze Websense przebiega w następującej kolejności: 1/ Sprawdzenie zgodności licencji produktu - po nadejściu nowego zapytania HTTP, serwer Websense sprawdza, czy licencja produktu jest ważna oraz czy nie została przekroczona liczba licencjonowanych użytkowników; w razie przekroczenia licencji Websense blokuje lub przepuszcza całość komunikacji bez kontroli zgodnie z ustawieniami Server Configuration (Misc -> Block users when license expires or is exceeded). 2/ Ustalenie polityki kontroli URL obowiązującej dla określonego zapytania HTTP w następującej kolejności: polityka zdefiniowana dla użytkownika (Users), polityka zdefiniowana dla adresów IP (Workstations, Networks), polityka zdefiniowana dla grup użytkowników (Groups), polityka Global. Websense kontroluje URL tylko w zakresie zgodności z jedną polityką. W razie, gdy obowiązuje polityka dla grup użytkowników, a użytkownik należy do wielu zdefiniowanych grup decyzja Websense jest uzależniona od ustawienia Server Configuration (Misc -> Use more restrictive blocking). W razie przyjęcia restrykcyjnych ustawień, Websense blokuje zapytanie HTTP, jeżeli choć jedna polityka zakazuje dostępu do URL. W przeciwnym przypadku Websense zezwala URL, jeżeli choć jedna polityka na to zezwala. 3/ Kontrola URL zgodnie z obowiązującą polityką. CLICO Centrum Oprogramowania, 1991-2001. 5
5. Polityka analizy i nadzoru wykorzystania przez pracowników zasobów Internetu Ustalenie polityki filtracji URL odbywa się za pomocą graficznego edytora (patrz rysunek 2). Sposób filtracji poszczególnych kategorii URL zapisywany jest w zbiorach "Category Set" (np. *Always Block, *Never Block, *Default Setting), które mogą być swobodnie modyfikowane przez administatora Wensense Manager. Rys 2) Edytor polityki filtracji URL Dla poszczególnych polityk można także ustalać czas pracy użytkownika w Internecie - Quota Time. Ustalając Password Override można dla poszczególnych użytkowników umożliwić im dostęp do zabronionych przez politykę URL po poprawnym wprowadzeniu hasła. Domyślne czas dostępu do zabronionych URL po uwierzytelnieniu wynosi 60 sekund (Server Configuration -> Misc). CLICO Centrum Oprogramowania, 1991-2001. 6
6. Algorytm filtracji URL Kontrola URL względem ustawień obowiązującej polityki odbywa się w następujący sposób: 1/ Ustalenie obowiązującego zbioru kategorii Category Set na podstawie aktualnego czasu i daty. dla zbioru "Always Block" zapytanie HTTP zostaje zablokowane, dla zbioru "Never Block" zapytanie HTTP zostaje zezwolone, dla zbioru "Yes List Only" zapytanie HTTP zostaje zezwolone, w przypadku gdy URL znajduje się na liście "Custom URLs (Permitted)"; w przeciwnym przypadku zostaje zablokowane, jeżeli obowiązuje inny zbiór kategorii, kontrola URL jest kontynuowana zgodnie z pkt. 2. 2/ Kontrola URL względem listy "Custom URLs (Permitted)" zapytanie HTTP zostaje zezwolone, jeżeli URL znajduje się na liście, w przeciwnym przypadku kontrola URL jest kontynuowana zgodnie z pkt. 3. 3/ Kontrola URL względem listy "Custom URLs (Filtered)" jeżeli URL znajduje się na liście, kontrola URL jest kontynuowana zgodnie z pkt. 5. w przeciwnym przypadku, kontrola URL jest kontynuowana zgodnie z pkt. 4. 4/ Kontrola URL względem bazy "Master Database" jeżeli URL znajduje się w bazie, kontrola URL jest kontynuowana zgodnie z pkt. 5. w przeciwnym przypadku, kontrola URL jest kontynuowana zgodnie z pkt. 6. 5/ Ustalenie jakie opcje filtracji zostały skonfigurowane (Filtering Options) dla kategorii URL, do której należy kontrolowany URL. zablokowanie zapytania HTTP, jeżeli opcja filtracji dla kategorii URL została ustawiona jako "Block", dla każdego innego ustawienia opcji filtracji, kontrola URL jest kontynuowana zgodnie z pkt. 6. CLICO Centrum Oprogramowania, 1991-2001. 7
6/ Kontrola URL względem listy "Keywords" w zakresie ustalonym w Server Configuration (Misc -> Search for Keywords in). jeżeli wyraz (z adresu URL lub/oraz ścieżki CGI) znajduje się na liście "Keywords", zapytanie HTTP zostaje zablokowane, w przeciwnym przypadku, kontrola URL jest kontynuowana zgodnie z pkt. 7. 7/ Kontrola URL zgodnie z ustawieniami opcji filtracji dla kategorii URL. Zazwolenie zapytania HTTP dla ustawienia "Permit". Wyświetlenie komunikatu z opcją umożliwiającą użytkownikowi dodanie URL do osobistej strony AfterWork.com, jeżeli opcja filtracji ustawiona jest jako "Defer to AfterWork", Wyświetlenie komunikatu z opcją umożliwiająca użytkownikowi dodanie URL do osobistej strony AfterWork.com lub przeglądanie strony przez czas ustalony w Server Configuration (Misc -> AfterWork Continue timeout), jeżeli opcja filtracji ustawiona jest jako "Defer to AfterWork/Continue". CLICO Centrum Oprogramowania, 1991-2001. 8
7. Konfiguracja opcji filtracji URL Opcje filtracji ustalają, w jaki sposób Websense powinien filtrować zapytania HTTP do określonych zasobów URL, zawartych w bazie Master Database oraz w kategoriach zdefiniowanych przez administratora (user-defined categories). Szczegółowe opcje filtracji ustalane są w edytorze Category Set Editor (patrz rysunek 3) i mogą przyjmować następujące wartości: Permit - zezwolenie dostępu do wszystkich URL określonej kategorii, Block - zablokowanie dostępu do wszystkich URL określonej kategorii, Limit by Quota - użytkownicy mają dostęp do zasobów przez ustalony dla nich czas Quota Time lub mogą dodać URL do osobistych stron AfterWork.com. Defer to AfterWork/Continue - użytkownicy mogą dodać URL do osobistych stron AfterWork.com lub uzyskać dostęp do zasobu limitowany przez czas ustalony w Server Configuration (Misc -> AfterWork Continue timeout). Defer to AfterWork - zablokowanie dostępu do zasobu z możliwością dodania URL przez użytkownika do osobistych stron Afterwork.com. (dodatkowo) Block Keywords - zablokowanie URL zawierających wyrazy z listy "Keywords" ustalone dla tej kategorii URL. Rys 3) Edytor szczegółowych opcji filtracji Websense Enterprise CLICO Centrum Oprogramowania, 1991-2001. 9
8. Konfiguracja Websense i FireWall-1 Wdrożenie systemu filtracji URL w konfiguracji z systemem zaporowym Check Point FireWall-1, jak również z innymi systemami Firewall (np. Cisco PIX) odbywa się w bardzo sprawny sposób. System zaporowy FireWall-1 w konfiguracji z Websense, funkcjonuje na zasadach przezroczystego serwera HTTP Proxy. Współdziałanie FireWall-1 i Websense odbywa się za pomocą dedykowanego protokołu URL Filtering Protocol (UFP). Websense uzyskał wydawany przez Check Point certyfikat zgodności OPSEC, zapewniający poprawne współdziałanie obu produktów. Websense przejmuje wszystkie zadania decyzyjne związane z filtracją URL. System zaporowy FireWall-1 otrzymuje jedynie informacje, czy zapytanie HTTP ma być zezwolone czy zablokowane. Reguła polityki bezpieczeństwa FireWall-1 odpowiedzialna za filtracje URL została przedstawiona na rysunku 4. W celu podwyższenia wydajności filtracji URL zalecane jest ustawienie URL caching control: VPN-1 & FireWall-1 (one request). Rys 4) Reguła filtracji URL w polityce bezpieczeństwa Check Point FireWall-1 Na podstawie informacji rejestrowanych w systemie Websense (logów) administrator może generować rożnego rodzaju raporty i statystyki. Odbywa się to za pomocą graficznych narzędzi Websense Reporter. Z raportów Websense można dowiedzieć się bardzo wielu interesujących dla firmy informacji (m.in. z jakich informacji najczęściej korzystają poszczególni pracownicy, w jakim czasie to się odbywa, do jakich zasobów Internetu sięgają pracownicy w sposób nieupoważniony). Więcej informacji na temat Websense można znaleźć na stronach producenta http://www.wensense.com oraz w języku polskim na stronach dystrybutora Websense http://www.clico.pl. CLICO Centrum Oprogramowania, 1991-2001. 10