Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Dlaczego i jak filtrować WWW

Wzrastająca liczba zagrożeń w sieci Internet nasila konieczność stosowania mechanizmów ochronnych. Filtrowanie ogranicza dostępność określonych stron internetowych, blokuje reklamy i chroni przed takimi niepożądanymi zjawiskami, jak phishing, malware, botnet.

SafeSquid oferuje prosty, ale niezwykle czytelny i łatwy do konfiguracji interfejs użytownika.

Najprostszy typ filtrowania ruchu wykorzystuje reguły zapory ogniowej (firewall) do odrzucenia ruchu, który zamierzamy wykluczyć. Zasadniczy problem z tego typu filtracją stanowi wydajność urządzenia filtrującego, ponieważ zapora ogniowa musi przeprowadzać inspekcje całego ruchu wychodzącego z sieci. Na tym etapie dochodzi do identyfikacji i decyzji, co zrobić z danym ruchem (zablokować czy przepuścić). W prostych urządzeniach nie możemy przeprowadzić filtracji ponad warstwą trzecią sieci. Istnieją co prawda systemy UTM, które w ramach reguł zapory pozwalają filtrować w wyższych warstwach sieci, ale są dość kosztowne. Nadal jednak istnieje problem przetwarzania całego ruchu wychodzącego z sieci, aby wybrać pakiety interesujące od strony filtracji. Dodatkowo raportowanie i zarządzanie dostępem do określonych stron jest bardzo skomplikowane. Zarządzanie kilkunastoma regułami nie stanowi problemu, ale gdy reguł przybywa, staje się to coraz trudniejsze.

Przez pośrednika

Kolejnym etapem w ewolucji filtrowania stały się serwery pośredniczące (proxy). To rozwiązanie jest nadal stosowane w wielu środowiskach, również jako element systemów UTM. Pozwala na dość dużą ingerencję w ruch, ale również na opcje dodatkowe, takie jak skanowanie antywirusowe. Zaletą serwerów pośredniczących jest możliwość selektywnego kierowania do przetwarzania tylko ruchu, który zamierzamy filtrować. Zazwyczaj filtrujemy ruch HTTP/HTTPS, więc w sieci powinien istnieć mechanizm, który skieruje tego typu ruch na serwer pośredniczący. Serwery pośredniczące można podzielić na zapamiętujące część przesyłanych informacji do dalszego wykorzystania (caching) oraz niezapamiętujące informacji do dalszego wykorzystania, a jedynie ingerujące w przesyłane informacje w locie (non-caching). W pierwszej opcji (caching) zapamiętywane są treści typu obrazy, statyczne pliki, co powoduje szybszy dostęp użytkowników do zasobów, a jednocześnie zmniejszenie obciążenia łącza do sieci Internet. Skalowalność takich rozwiązań jest duża, ale przy rozbudowanej infrastrukturze serwery pośredniczące to jednostki lub klastry bardzo rozbudowane sprzętowo. Dużym plusem tego typu rozwiązań jest możliwość wykorzystania darmowego oprogramowania do realizacji funkcji serwera pośredniczącego.

Konieczność zapewnienia bardzo dużej wydajności przy stale przyrastającej ilości ruchu w sieci Internet wymagała poszukania rozwiązania filtrowania, które pracuje bardzo blisko użytkownika. Takim mechanizmem okazała się filtracja w oparciu o mechanizmy DNS. DNS to podstawowy protokół w sieci Internet – jeżeli dysponując bazą danych zagrożeń już na etapie rozwiązania nazwy domenowej, zablokujemy lub przepuścimy określony ruch, to trudno o wydajniejsze rozwiązanie. Co więcej, praktycznie każda sieć jest gotowa na zwiększenie bezpieczeństwa za pomocą filtrowania DNS, ponieważ wymaga to wyłącznie zmiany adresów serwerów DNS, które są wykorzystywane. Usługa filtracji DNS przeważnie jest konfigurowana na poziomie chmury dostawcy usługi, więc samodzielnie możemy wskazać, do czego użytkownicy uzyskują dostęp, a co zostaje zabronione. Jeżeli dostawca usługi posiada w bazach strony wyłudzające informacje (phishing) czy rozpowszechniające wirusy, to dodatkowo zyskujemy skuteczną ochronę przed najszybciej rozwijającymi się obecnie zagrożeniami. Bazy danych w rozwiązaniach DNS znajdują się u dostawcy usługi, więc wszystkie aktualizacje zagrożeń są realizowane natychmiastowo.

Nie zawsze białe jest białe

Filtracja limituje dostęp do zasobów w sieci, porównując generowany ruch do reguł lub baz danych. Najczęściej stosowane metody filtrowania ruchu to filtracja po kategoriach stron internetowych, frazach, czarne/białe listy, czasowe blokowanie określonych zasobów.

Czarne i białe listy to rozwiązanie, które w praktyce jest najczęściej realizowane przez proste zapory ogniowe. Wskazujemy, co zamierzamy zablokować w przypadku czarnych list lub jakie zasoby mają być dostępne w przypadku białych list. Czarne listy są wykorzystywane do blokady określonych zasobów stron internetowych. Białe z kolei są używane do określenia akceptowanej listy stron, przy czym przeważnie wszystkie pozostałe strony są blokowane. Białe listy to rozwiązanie bardzo często stosowane w sieciach publicznych, gdzie wymagany jest dostęp tylko do ograniczonej listy zasobów. Przyrost liczby stron internetowych powoduje, że obecnie opieranie filtracji wyłącznie na mechanizmie czarnych/białych list jest funkcjonalnie skazane na niepowodzenie. Czarne lub białe listy są wykorzystywane do określenia wyjątków dla większych baz URL, pogrupowanych w kategorie.

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie sieci bezprzewodowych oraz systemów transmisji głosu. Publikuje w magazynach komputerowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej