Фильтрация контента на потоке программно-аппаратным комплексом eSafe, личный опыт

Хотелось бы поделиться опытом обеспечения фильтрации контента средствами программно-аппаратного комплекса eSafe.
eSafe — это проактивное средство защиты, устанавливаемое на шлюзе в Интернет, и предотвращающее проникновение в защищаемую сеть известных и неизвестных вредоносных программ, спама, а также ограничивающее доступ к данным и приложениям, не соответствующим корпоративной политике или морально-этическим нормам.
eSafe является разработкой компании Aladdin теперь это SafeNet. eSafe имеет 4 режима работы eSafe Mail, eSafe Web, eSafe Web & Mail и eSafe Web SSL. Примечательно то, что eSafe может работать в режиме bridge и для пользователей он невидим, за исключением тех случаев, когда идет блокировка и пользователь видит страницу блокировки. Страницу блокировки можно видоизменить поправив её код в консоли управления, либо отключить.
Плюсы комплекса:
  • фильтрация на лету
  • блокировка приложений (Skype, ICQ, XMPP и тд) и аннонимайзеров
  • удаление вирусов и блокировка коммуникаций троянских программ
  • возможность кластеризации
  • основная сетевая карта имеет ByPass, в случае аварийной остановки комплекса сеть продолжает работать

Минусы:
  • до версии 8.5 фильтр приложений не умеет работать с LDAP группами
  • до версии 8.5 при настройке режима bridge требуется ввод ip адресов на основных сетевых интерфейсах
  • замудренная система высвобождения писем из карантина
  • несущая платформа RedHat 9 — требуется дополнительная защита самого комплекса

У нас eSafe используется для фильтрации интернет трафика пользователей. В начале eSafe отвечал и за антиспам защиту, но из-за проблем извлечения писем из карантина было принято решение перенести фильтрацию электронной почты на McAfee EWS. Система извлечения из спам карантина заточена на Microsoft Outlook, для других клиентов необходимо иметь дополнительный сервер с IIS на борту, но не всегда данная связка корректно работает. К примеру, у McAfee EWS все находится на борту, но может быть передано на единый карантин сервер.
eSafe имеет на борту антивирус (версии до 8.х — антивирус eSafe, версии 8.х — антивирус Касперского), URL фильтры, фильтры приложений, фильтры по содержанию.
Антивирус сканирует трафик на лету, любой файл скачивается до 80% прозрачно для пользователя, потом для пользователя закачка как бы приостанавливается, а eSafe докачивает файл и проверяет, в случае если файл чист пользователь получает оставшиеся 20%, если нет — для пользователя закачка прерывается. Визуально версии с антивирусом eSafe на борту кажутся быстрее чем с Касперским, но замеры я не производил.
URL фильтрация — сайты разнесены по категориям, имеются изначально предустановленные шаблоны разрешений. Умеет работать с LDAP группами, то есть нет надобности заводить пользователей на самом eSafe для предоставления привилегированных доступов. Список сайтов в той или иной категории посмотреть нельзя. Сайт может находиться сразу в нескольких категориях, при чем везде будет фигурировать домен второго уровня, к примеру, если пользователю запретить использовать веб почту, но разрешить читать блоги, то он не сможет зайти на mail.ru. URL фильтр не работает если открывать сайт по HTTPS, для контроля за HTTPS необходим отдельное устройство с режимом eSafe Web SSL.
Фильтр приложений — для его работы требуется предоставление привилегированных доступов либо по ip адресам, либо запускать на клиентах утилиту авторизации eslogin, которая передает eSafe имя пользователя и ip адрес компьютера. До версии 8.5 необходимо указывать пользователей/ip адреса непосредственно через консоль управления, в версии 8.5 можно использовать LDAP группы. Фильтр приложений прекрасно блокирует: skype, IM, twitter, facebook, туннелирование (TOR, ultrasurf и др), P2P, коммуникации вредоносного ПО с мировой паутиной и многое другое.
Фильтры по содержанию могут блокировать выбранные типы файлов, опасные функции скриптов, многотомные и архивы под паролем.
Использование данного комплекса позволило резко сократить заражения компьютеров через интернет, снизить потребление трафика в личных целях.
Было выявлено несколько возможностей для обхода URL фильтра:
  • при блокировке для пользователя WebMail, есть возможность обхода блокировки по HTTPS. К примеру, http://mail.google.com выдаст страницу с уведомлением о блокировке, а https://mail.google.com сделает редирект на страницу авторизации Google. Авторизацию на Google можно заблокировать фильтром приложений, но по умолчанию она отключена, а вот категория WebMail по умолчанию заблокирована.
  • Если пользователю разрешено использование ssh, а по умолчанию фильтр отключен, то используя ssh туннелирование к серверу в интернете пользователь получает полную свободу.
Одно физическое устройство спокойно вытягивает одновременный сёрфинг 1500 пользователей.
eSafe не одинок в этом сегменте, ближайшие конкуренты IBM Proventia и McAfee EWS


0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.