Instalacja, konfiguracja i zarządzanie Websense Enterprise for FireWall-1



Podobne dokumenty
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Przewodnik technologii ActivCard

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard

INSTRUKCJA OBSŁUGI DLA SIECI

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

11. Autoryzacja użytkowników

Nazwa usługi. Usługa nie obejmuje: Telefonii VOIP telefonii PSTN Stanowiska pracy nie związanego z IT (akcesoria biurowe)

INFORMATOR TECHNICZNY WONDERWARE

Instrukcja konfiguracji funkcji skanowania

Problemy techniczne SQL Server. Jak odblokować porty na komputerze-serwerze, aby umożliwić pracę w sieci?

Rejestracja użytkownika Bentley Często zadawane pytania techniczne

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

INFORMATOR TECHNICZNY WONDERWARE

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

Bezpieczeństwo systemów komputerowych. Laboratorium 1

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Instrukcja instalacji Control Expert 3.0

Centralne zarządzanie odległych instalacji zabezpieczeń na przykładzie SofaWare Security Management Portal

DBPLUS Data Replicator Subtitle dla Microsoft SQL Server. dbplus.tech

Blokowanie stron internetowych

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Pracownia internetowa w szkole ZASTOSOWANIA

Instalacja VPN Check Point Mobile Apple macos Hight Sierra (v )

Oprogramowanie OpenVPN jest oprogramowaniem darmowym, które można pobrać ze strony:

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Pomoc dla usługi GMSTHostService. GMSTHostService. Pomoc do programu 1/14

Procedury techniczne modułu Forte Kontroling. Środowisko pracy programu i elementy konfiguracji

Konfiguracja połączenia VPN w systemie Windows 7 z serwerem rozgrywki wieloosobowej gry Medal Of Honor: Wojna na Pacyfiku: Pacyfik.

Blokowanie stron internetowych

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Laboratorium - Poznawanie FTP

I. Informacje ogólne. Jednym z takich systemów jest Mambo.

Sieciowa instalacja Sekafi 3 SQL

INSTRUKCJA INSTALACJI SYSTEMU

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej

Instalacja oprogramowania Platforma Systemowa ArchestrA 2012 R2

Problemy techniczne SQL Server

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Acronis Backup & Recovery 10 Advanced Editions. Instrukcja szybkiego rozpoczęcia pracy

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Podziękowania... xiii Wstęp... xv 1 Przegląd funkcji administracyjnych programu Microsoft ISA Server

Cookie Policy. 1. Informacje ogólne.

INFORMATOR TECHNICZNY WONDERWARE

Przykład konfiguracji koncentratora SSL VPN w trybie Reverse Proxy (dotyczy serii urządzeń ZyWALL USG)

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

F.W. KCSoft Kazimierz Czarnecki NIP: REGON: tel

Serwery LDAP w środowisku produktów w Oracle

Zdalne zarządzanie systemem RACS 5

INFORMATOR TECHNICZNY WONDERWARE

Program dla praktyki lekarskiej

Instrukcja użytkownika

Kancelaria Prawna.WEB - POMOC

Comodo Endpoint Security Manager instrukcja instalacji.

Generacja paczki instalacyjnej F-Secure Client Security/Client Security Premium

DESlock+ szybki start

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok

KONFIGURACJA PRZEGLĄDAREK. Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Licencjonowanie serwerów do zarządzania wydajnością. Office Web Apps Server

Instalacja Active Directory w Windows Server 2003

POLITYKA PRYWATNOŚCI SERWIS:

Pomoc dla r.

Bezpieczeństwo w M875

POLITYKA PRYWATNOŚCI I WYKORZYSTYWANIA PLIKÓW COOKIES W SERWISACH INTERNETOWYCH GoPay Sp. z o.o.

ZPKSoft Synchronizator

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Wraz z wersją R2 dla systemu Windows 2008 Server nazewnictwo usług terminalowych uległa zmianie. Poniższa tabela przedstawia nową nomenklaturą:

7. Konfiguracja zapory (firewall)

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

AKTYWNY SAMORZĄD. Instrukcja instalacji, aktualizacji i konfiguracji.

Polityka prywatności. Przetwarzanie danych osobowych użytkowników

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008)

Administracja i programowanie pod Microsoft SQL Server 2000

System Kancelaris. Zdalny dostęp do danych

Moduł Media backup oraz konfiguracja serwera zapasowego

Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniach w następujący sposób:

Serwer/hub sieciowy USB LogiLink

INFORMATOR TECHNICZNY WONDERWARE. Instalacja oprogramowania IndustrialSQL Server 8.0. Instalacja Microsoft SQL Server 2000 Standard Edition

Instrukcja instalacji

Instalacja Microsoft SQL Server 2014 Express

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Archiwizacja baz MSSQL /BKP_SQL/ opis oprogramowania

Instalacja NotifySync

Zalecana instalacja i konfiguracja Microsoft SQL Server 2016 Express Edition dla oprogramowania Wonderware

Informacje które należy zebrać przed rozpoczęciem instalacji RelayFax.

Transkrypt:

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Instalacja, konfiguracja i zarządzanie Websense Enterprise for FireWall-1 CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: support@clico.pl, orders@clico.pl.; Ftp.clico.pl.; http://www.clico.pl

Spis treści 1. WPROWADZENIE 3 2. PODSTAWOWE KOMPONENTY SYSTEMU 4 3. ZASADA DZIAŁANIA WEBSENSE 4 4. ZAKRES I SPOSÓB FILTRACJI URL 5 5. POLITYKA ANALIZY I NADZORU WYKORZYSTANIA PRZEZ PRACOWNIKÓW ZASOBÓW INTERNETU 6 6. ALGORYTM FILTRACJI URL 7 7. KONFIGURACJA OPCJI FILTRACJI URL 9 8. KONFIGURACJA WEBSENSE I FIREWALL-1 10 CLICO Centrum Oprogramowania, 1991-2001. 2

1. Wprowadzenie Internet ze swoimi zasobami informacyjnymi oraz możliwościami wykorzystania w działalności biznesowej (np. promocja, sprzedaż, transakcje) stanowi dla firm i instytucji dużą wartość. Jego nieograniczona dostępność dla pracowników stanowi jednak poważny problem. Pracownicy w czasie przeznaczonym na wykonywanie zadań służbowych zajmują się interesującymi ich prywatnie usługami Internetu. Najbardziej popularną usługą Internetu, której nadużywa się w czasie pracy to WWW. Praktyka wykazała, iż nadzór przełożonych nie stanowi w tym przypadku skutecznej metody kontroli (np. mogą oni także w tym czasie zajmować się przeglądaniem rozrywkowych stron WWW). Dlatego, tez w ostatnim czasie bardzo popularne stało się korzystanie z zainstalowanych w sieci zabezpieczeń, dedykowanych do filtrowania niedozwolonych URL. Tego typu zabezpieczenia najczęściej współpracują z systemami zaporowymi Firewall lub serwerami HTTP Proxy (Cache). Filtracja URL odbywa się w oparciu o zdefiniowaną dla określonej organizacji politykę wykorzystania Internetu. System filtracji URL udostępnia do tego celu bazę danych zawierającą adresy URL większości serwerów WWW w Internecie. Baza ta jest podzielona na kategorie tematyczne (np. Games, Sports, Drugs, Sex). Najbardziej renomowanym obecnie systemem filtracji URL na rynku jest Websense Enterprise (używany jest w ponad 13,000 firm i instytucji, w tym połowie z listy Fortune 500). Z uwagi na dominująca pozycje na rynku Check Point FireWall-1 (ponad 42% rynku Firewall wg IDC, ponad 62% rynku VPN wg Datamonitor), jednym z najczęstszych wdrożeń Wensense jest konfiguracja z FireWall-1. Architektura zabezpieczeń FireWall-1 z systemem filtracji URL została przedstawiona na rysunku 1. Rys. 1) Architektura zabezpieczeń Firewall z systemem filtracji URL CLICO Centrum Oprogramowania, 1991-2001. 3

2. Podstawowe komponenty systemu Websense Enterprise składa się z następujących komponentów: Websense Enterprise: Websense Server - serwer filtracji URL, współdziałający z systemem zaporowym FireWall-1; kontrola URL odbywa się w pełnym zakresie (tzn. protokół, domena lub adres IP, katalog, plik, ścieżka CGI), Websense Master Database - baza danych zawierająca informacje nt. ponad 2.3 miliona serwerów WWW (ponad 400 milionów URL), wyselekcjonowanych tematycznie w ponad 75 kategoriach i pod-kategoriach, Websense Manager - graficzna konsola administratora GUI, umożliwiająca zdalne zarządzanie Websense Server. Websense Reporter: Reporter - zestaw graficznych narzędzi administratora przeznaczonych do generowania raportów z wykorzystania Internetu przez pracowników firmy, Log Server -serwer odbierający logi z serwera Wensense Server i zapisujący je w bazie danych Database Engine (SQL), Database Engine (SQL) - baza danych zawierająca informacje (logi) zarejestrowane przez Websense Server, które udostępniane są dla Reporter. Serwer Websense może funkcjonować na platformie systemów operacyjnych SUN Solaris oraz Windows NT/2000. 3. Zasada działania Websense Komunikacja HTTP przebiega w następującej kolejności: przeglądarka WWW wysyła zapytanie HTTP Request do serwera WWW, zapytanie HTTP przechodząc przez FireWall-1 jest odbierane przez proces HTTP Security Server, HTTP Security Server przesyła zapytanie HTTP do serwera Websense i czeka na odpowiedź, serwer Websense przesyła do FireWall-1 odpowiedź, informując go czy powinien zezwolić na tą komunikację, w razie akceptacji ze strony serwera Websense zapytanie HTTP zostaje przez FireWall-1 przesłane do serwera WWW, odpowiedź z serwera WWW trafia do przeglądarki WWW. CLICO Centrum Oprogramowania, 1991-2001. 4

4. Zakres i sposób filtracji URL Websense posiada rozbudowane możliwości kontroli. Polityka filtracji URL oprócz prostych ustaleń "Block" i "Permit" zawiera także reguły kontroli kontekstowej, m.in.: aktualny czas i data, dostęp do zabronionych kategorii WWW tylko przez określony czas (Quota Time), kontynuowanie przeglądania zabronionych WWW w godzinach poza służbowych, uprzywilejowanie określonych pracowników (User, Group, Workstation, Network). Kontrola URL na serwerze Websense przebiega w następującej kolejności: 1/ Sprawdzenie zgodności licencji produktu - po nadejściu nowego zapytania HTTP, serwer Websense sprawdza, czy licencja produktu jest ważna oraz czy nie została przekroczona liczba licencjonowanych użytkowników; w razie przekroczenia licencji Websense blokuje lub przepuszcza całość komunikacji bez kontroli zgodnie z ustawieniami Server Configuration (Misc -> Block users when license expires or is exceeded). 2/ Ustalenie polityki kontroli URL obowiązującej dla określonego zapytania HTTP w następującej kolejności: polityka zdefiniowana dla użytkownika (Users), polityka zdefiniowana dla adresów IP (Workstations, Networks), polityka zdefiniowana dla grup użytkowników (Groups), polityka Global. Websense kontroluje URL tylko w zakresie zgodności z jedną polityką. W razie, gdy obowiązuje polityka dla grup użytkowników, a użytkownik należy do wielu zdefiniowanych grup decyzja Websense jest uzależniona od ustawienia Server Configuration (Misc -> Use more restrictive blocking). W razie przyjęcia restrykcyjnych ustawień, Websense blokuje zapytanie HTTP, jeżeli choć jedna polityka zakazuje dostępu do URL. W przeciwnym przypadku Websense zezwala URL, jeżeli choć jedna polityka na to zezwala. 3/ Kontrola URL zgodnie z obowiązującą polityką. CLICO Centrum Oprogramowania, 1991-2001. 5

5. Polityka analizy i nadzoru wykorzystania przez pracowników zasobów Internetu Ustalenie polityki filtracji URL odbywa się za pomocą graficznego edytora (patrz rysunek 2). Sposób filtracji poszczególnych kategorii URL zapisywany jest w zbiorach "Category Set" (np. *Always Block, *Never Block, *Default Setting), które mogą być swobodnie modyfikowane przez administatora Wensense Manager. Rys 2) Edytor polityki filtracji URL Dla poszczególnych polityk można także ustalać czas pracy użytkownika w Internecie - Quota Time. Ustalając Password Override można dla poszczególnych użytkowników umożliwić im dostęp do zabronionych przez politykę URL po poprawnym wprowadzeniu hasła. Domyślne czas dostępu do zabronionych URL po uwierzytelnieniu wynosi 60 sekund (Server Configuration -> Misc). CLICO Centrum Oprogramowania, 1991-2001. 6

6. Algorytm filtracji URL Kontrola URL względem ustawień obowiązującej polityki odbywa się w następujący sposób: 1/ Ustalenie obowiązującego zbioru kategorii Category Set na podstawie aktualnego czasu i daty. dla zbioru "Always Block" zapytanie HTTP zostaje zablokowane, dla zbioru "Never Block" zapytanie HTTP zostaje zezwolone, dla zbioru "Yes List Only" zapytanie HTTP zostaje zezwolone, w przypadku gdy URL znajduje się na liście "Custom URLs (Permitted)"; w przeciwnym przypadku zostaje zablokowane, jeżeli obowiązuje inny zbiór kategorii, kontrola URL jest kontynuowana zgodnie z pkt. 2. 2/ Kontrola URL względem listy "Custom URLs (Permitted)" zapytanie HTTP zostaje zezwolone, jeżeli URL znajduje się na liście, w przeciwnym przypadku kontrola URL jest kontynuowana zgodnie z pkt. 3. 3/ Kontrola URL względem listy "Custom URLs (Filtered)" jeżeli URL znajduje się na liście, kontrola URL jest kontynuowana zgodnie z pkt. 5. w przeciwnym przypadku, kontrola URL jest kontynuowana zgodnie z pkt. 4. 4/ Kontrola URL względem bazy "Master Database" jeżeli URL znajduje się w bazie, kontrola URL jest kontynuowana zgodnie z pkt. 5. w przeciwnym przypadku, kontrola URL jest kontynuowana zgodnie z pkt. 6. 5/ Ustalenie jakie opcje filtracji zostały skonfigurowane (Filtering Options) dla kategorii URL, do której należy kontrolowany URL. zablokowanie zapytania HTTP, jeżeli opcja filtracji dla kategorii URL została ustawiona jako "Block", dla każdego innego ustawienia opcji filtracji, kontrola URL jest kontynuowana zgodnie z pkt. 6. CLICO Centrum Oprogramowania, 1991-2001. 7

6/ Kontrola URL względem listy "Keywords" w zakresie ustalonym w Server Configuration (Misc -> Search for Keywords in). jeżeli wyraz (z adresu URL lub/oraz ścieżki CGI) znajduje się na liście "Keywords", zapytanie HTTP zostaje zablokowane, w przeciwnym przypadku, kontrola URL jest kontynuowana zgodnie z pkt. 7. 7/ Kontrola URL zgodnie z ustawieniami opcji filtracji dla kategorii URL. Zazwolenie zapytania HTTP dla ustawienia "Permit". Wyświetlenie komunikatu z opcją umożliwiającą użytkownikowi dodanie URL do osobistej strony AfterWork.com, jeżeli opcja filtracji ustawiona jest jako "Defer to AfterWork", Wyświetlenie komunikatu z opcją umożliwiająca użytkownikowi dodanie URL do osobistej strony AfterWork.com lub przeglądanie strony przez czas ustalony w Server Configuration (Misc -> AfterWork Continue timeout), jeżeli opcja filtracji ustawiona jest jako "Defer to AfterWork/Continue". CLICO Centrum Oprogramowania, 1991-2001. 8

7. Konfiguracja opcji filtracji URL Opcje filtracji ustalają, w jaki sposób Websense powinien filtrować zapytania HTTP do określonych zasobów URL, zawartych w bazie Master Database oraz w kategoriach zdefiniowanych przez administratora (user-defined categories). Szczegółowe opcje filtracji ustalane są w edytorze Category Set Editor (patrz rysunek 3) i mogą przyjmować następujące wartości: Permit - zezwolenie dostępu do wszystkich URL określonej kategorii, Block - zablokowanie dostępu do wszystkich URL określonej kategorii, Limit by Quota - użytkownicy mają dostęp do zasobów przez ustalony dla nich czas Quota Time lub mogą dodać URL do osobistych stron AfterWork.com. Defer to AfterWork/Continue - użytkownicy mogą dodać URL do osobistych stron AfterWork.com lub uzyskać dostęp do zasobu limitowany przez czas ustalony w Server Configuration (Misc -> AfterWork Continue timeout). Defer to AfterWork - zablokowanie dostępu do zasobu z możliwością dodania URL przez użytkownika do osobistych stron Afterwork.com. (dodatkowo) Block Keywords - zablokowanie URL zawierających wyrazy z listy "Keywords" ustalone dla tej kategorii URL. Rys 3) Edytor szczegółowych opcji filtracji Websense Enterprise CLICO Centrum Oprogramowania, 1991-2001. 9

8. Konfiguracja Websense i FireWall-1 Wdrożenie systemu filtracji URL w konfiguracji z systemem zaporowym Check Point FireWall-1, jak również z innymi systemami Firewall (np. Cisco PIX) odbywa się w bardzo sprawny sposób. System zaporowy FireWall-1 w konfiguracji z Websense, funkcjonuje na zasadach przezroczystego serwera HTTP Proxy. Współdziałanie FireWall-1 i Websense odbywa się za pomocą dedykowanego protokołu URL Filtering Protocol (UFP). Websense uzyskał wydawany przez Check Point certyfikat zgodności OPSEC, zapewniający poprawne współdziałanie obu produktów. Websense przejmuje wszystkie zadania decyzyjne związane z filtracją URL. System zaporowy FireWall-1 otrzymuje jedynie informacje, czy zapytanie HTTP ma być zezwolone czy zablokowane. Reguła polityki bezpieczeństwa FireWall-1 odpowiedzialna za filtracje URL została przedstawiona na rysunku 4. W celu podwyższenia wydajności filtracji URL zalecane jest ustawienie URL caching control: VPN-1 & FireWall-1 (one request). Rys 4) Reguła filtracji URL w polityce bezpieczeństwa Check Point FireWall-1 Na podstawie informacji rejestrowanych w systemie Websense (logów) administrator może generować rożnego rodzaju raporty i statystyki. Odbywa się to za pomocą graficznych narzędzi Websense Reporter. Z raportów Websense można dowiedzieć się bardzo wielu interesujących dla firmy informacji (m.in. z jakich informacji najczęściej korzystają poszczególni pracownicy, w jakim czasie to się odbywa, do jakich zasobów Internetu sięgają pracownicy w sposób nieupoważniony). Więcej informacji na temat Websense można znaleźć na stronach producenta http://www.wensense.com oraz w języku polskim na stronach dystrybutora Websense http://www.clico.pl. CLICO Centrum Oprogramowania, 1991-2001. 10

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres