Filtrování webu zlepší bezpečnost i produktivitu

Ján Chovanec / Albert Ryba | 11.02.2012 | Bezpečnost, Internet a služby | Žádné komentáře

Dnes už snad každá větší firma nebo organizace nějakým způsobem omezuje internetové připojení svých zaměstnanců. Děje se tak ze dvou hlavních důvodů – na zvýšení bezpečnosti a produktivity. Ať už jde o zajištění všech možných cest, kterými se malware může dostat do sítě, nebo o omezení přístupu zaměstnanců na některé internetové stránky, v obou případech hraje roli filtrování dat. Při filtrování webu je důležité zaměřit se na požadavky, které vycházejí z vnitřní sítě ven, a to zejména přes webový protokol HTTP (port 80).

Filtrovat webový obsah, ke kterému mají mít zaměstnanci přístup, lze v praxi filtrovat na dvou úrovních: přímo na desktopu uživatele nebo na bráně, přes kterou jsou klientské počítače připojené na internet. Porovnávat obecně efektivitu těchto dvou způsobů asi nemá smysl, protože záleží na konkrétní implementaci a typu jednotlivých produktů nainstalovaných v systému.

V tomto článku představíme několik softwarových nástrojů, které lze použít k filtrování webového obsahu. Je však třeba podotknout, že téměř každý způsob filtrování se dá obejít.

Použití filtrování obsahu je z tohoto důvodu lepší používat ne jako „všespásné řešení“, ale spíše jako doplněk pro blokaci možných míst, odkud se malware může dostat do sítě. Rovněž je vhodné zaměstnancům v organizaci vysvětlit, že filtrování, jakož i omezení dostupnosti některých stránek, je nástroj pro zvýšení bezpečnosti. Je důležité zaměstnance poučit i o tom, že filtrem mohou projít i stránky, jejichž prohlížení nemusí být v pracovní době dovoleno a nemohou tedy argumentovat tím, že co filtr nezachytil, je automaticky schváleno.

Filtrování na úrovni desktopu

OpenDNS
Vynikající službou, která je navíc zdarma, je OpenDNS. Pro uživatele z celého světa denně zpracuje více než 20 miliard požadavků. OpenDNS poskytuje klasický překlad doménových jmen, ale na rozdíl od obyčejné služby DNS mimo jiné přidává i možnost definovat si vlastní pravidla na filtrování webového obsahu. Uživatel si může vybrat ze tří verzí služby, které se liší množstvím funkcí a cenou. Základní verze OpenDNS Basic je zdarma a implementace služby DNS nevyžaduje instalaci jakéhokoliv softwaru na klientský počítač.

Velká výhoda nástrojů, které fungují prostřednictvím služby DNS, je jednoduchost nastavení a efektivita. Opět však třeba pamatovat na možnost změnit preferovaný DNS server uživatelem, protože na tom celé filtrování stojí a padá.

Soubor hosts
Počítačoví experti soubor hosts v operačních systémech již dobře znají. Pro ostatní uvedeme, že jde o soubor obsahující záznamy o doménách a jim přiřazené IP adrese. Když totiž zadáte ve webovém prohlížeči nějaký název internetové stránky, ještě před tím (pokud není nastaveno jinak), než systém začne zjišťovat záznamy DNS pro danou doménu z DNS serveru, podívá se do souboru hosts, zda neobsahuje IP adresu pro zadaný název domény.

Problémem při použití souboru hosts je to, že je nutné zadat všechny konkrétní názvy blokovaných domén. Pro to je potřeba mít dostatečně obsáhlý seznam zakázaných domén nebo blokovat jen vybrané stránky, které si zvyknou uživatelé v pracovní době nejvíce navštěvovat.

Vyřadit tento „filtr“ lze poměrně jednoduše – odstraněním záznamů ze souboru hosts. Je proto potřeba, aby měl uživatel zakázaný zápis do tohoto souboru, díky čemuž pak bude vyřazení tohoto způsobu blokování webových stránek stejně náročné jako odstranit nějaký software nainstalovaný na počítači.

K9 Web Protection
Kvalitní nástroje určené pro filtrování webového obsahu mohou mít i zmíněnou podobu softwaru instalovaného na klientském počítači. Aplikace K9 Web Protection od společnosti Blue Coat Systems, která je pro domácí použití dokonce zdarma, je toho důkazem.

K9 Web Protection je software instalující se přímo na uživatelský počítač, na kterém má filtrovat webový obsah. Na odfiltrování nevhodných stránek používá databázi umístěnou na serveru, která se průběžně aktualizuje, takže uživatel má vždy nejaktuálnější seznam webů, k nimž nemá mít přístup.

Filtrování na úrovni brány

Squid
V případě tohoto populárního nástroje jde vlastně o proxy server vybavený různými zajímavými funkcemi. Na linuxové platformě patří Squid mezi nejznámější proxy servery. Existuje i ve verzi pro Windows, tam však není až tak oblíbený. Jeho doménou jsou zejména protokoly HTTP a FTP, ale má v sobě zapracovanou i částečnou podporu HTTPS, TLS či SSL. Squid dokáže filtrovat webové stránky podle názvu domény, ale už ne podle obsahu webové stránky, což je škoda. Na druhé straně poskytuje flexibilitu v podobě nastavení povolených adres MAC či nastavení denní doby, když má být filtrování aktivní.

Vzhledem k tomu, že jde stále především o proxy server, fakt, že Squid neposkytuje filtrování na základě obsahu webové stránky, není rozhodující. Vhod přijde i možnost řídit objem dat protékajících přes download a upload.

Kerio Control
Tento softwarový produkt byl dříve na trhu pod názvy Kerio WinRoute Firewall či WinRoute Pro. Jde o softwarový gateway firewall obsahující množství užitečných nastavení, tak filtrování webového obsahu. Vhodná funkce je i možnost nastavit omezení rychlosti internetového připojení, a to specificky pro konkrétní počítač v síti. Samozřejmé je zobrazení statistických ukazatelů v podobě přehledně vygenerované webové stránky.

Kerio Control nabízí ochranu před novými útoky, a to pomocí vestavěného systému IDS/IPS. Správcům sítí poskytuje nástroje na správu uživatelů, řízení šířky pásma, zajištění kvality služeb, detailní monitorování sítě a také řešení VPN. Pro filtrování webového obsahu je k dispozici modul Kerio Web Filter, který třídí stránky podle obsahu do 53 kategorií.

Kernun
Dalším ryze českým řešením je skupina produktů Kernun od společnosti TNS. Ty pokrývají funkce firewallu, UTM (Unified Threat Management) a webového filtru. Právě webový filtr Kernun Clear Web je zaměřen na stránky nejčastěji navštěvované českými uživateli a právě vysokou specializací na tuzemské prostředí se snaží odlišit od existující konkurence. TNS využívá mechanizmus zpětného reportingu o navštívených stránkách a stojí za ním tým tuzemských kategorizátorů, kteří stránky hodnotí a zařazují do zhruba 60 kategorií. Firma pak může jednoduše zvolit, které kategorie nechá zaměstnancům přístupné a které nikoliv.

Untangle
V případě tohoto zajímavého produktu jde o software založený na linuxové distribuci Debian. Platforma Untangle je založena na upraveném operačním systému, nainstalovaném na samostatném serveru, který funguje jako internetová brána. Výrobce poskytuje pět různých balíků nástroje Untangle. Nejzákladnější verze Lite Package obsahující klíčové aplikace se poskytuje zdarma, navíc je kvalitně vybavena a použitelná. Kromě funkcí webového filtru a firewallu dokáže například blokovat spam, reklamní bannery a malware.

Z komerčních aplikací lze používat eSoftWeb Filtr umožňující blokovat více než 100 milionů webových stránek, rozdělených do 57 kategorií. Nesmíme zapomenout ani na komerční antivirový software a samozřejmá je i personální podpora produktu.

Účinnost filtrování webového obsahu
Obejít webové filtry pracující na úrovni internetových bran není v mnoha případech složité. Vše závisí na způsobu a hloubky, do které kontroluje jednotlivé data filtr (firewallu). Proto třeba dbát na profesionální konfiguraci a samozřejmě i na kvalitu filtru.

Kdyby například dokázal filtr kontrolovat jen pole Host v rámci protokolu HTTP, mohlo by se stát, že by povolil stažení stránky, která metodou GET žádá nějaké nevhodné soubory. Rovněž by mohla nastat opačná situace, že filtr by stránky podle názvu souboru (adresy souboru) zablokoval, ale v poli Host by mohl být název domény, který by v souvislosti s obsahem požadavky GET znamenal něco zcela jiného, ale filtr by to vyhodnotil nesprávně. Proto by bylo vhodné, aby filtr bral v úvahu celý název domény spolu s adresou souboru, kterou obsahuje požadavek GET.

Samozřejmá jsou filtrační řešení, která poskytují analýzu webových stránek zejména na základě jejich obsahu. Podobně jako produkt Kerio Control analyzují počet a význam jednotlivých výrazů v obsahu webové stránky a podle přísnosti nastavení filtru rozhodnou o povolení nebo nepovolení zobrazení webové stránky. Aplikování určitých pravidel na webový provoz má kromě jiného také pozitivní bezpečnostní aspekty. Už jen zakázáním prohlížení stránek, které obsahují text warez, se lze vyhnout množství malwaru.

Důležitý faktor při zajišťování kvalitní správy desktopů je zejména omezení práv uživatele na daném systému. Pro většinu zaměstnanců v různých firmách není vůbec potřebný administrátorský přístup k operačnímu systému. Dá se to zajistit buď vytvořením účtu s omezenými právy, nebo odebráním jen těch práv, které se mají vysloveně zakázat. Existuje i bezplatný nástroj SteadyState od společnosti Microsoft, který umožňuje jednoduše a efektivně odebrat určité privilegia v systému Windows.

Odebráním možnosti nastavovat parametry síťové karty se například zefektivní použití služby OpenDNS. Pokud totiž nebude mít uživatel možnost u síťové karty změnit nastavení DNS, všechny požadavky na překlad doménového jména pak budou směrovány přes filtr služby OpenDNS.

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


čtyři + jedna =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz