Использование фильтров безопасности HTTP в ISA Server 2006 для блокирования систем мгновенного обмена сообщениями

Нередко появляются новые технологии, которые потребители стремительно осваивают и принуждают принимать на предприятиях. С течением времени внедрение таких инструментов находится в производственных средах и может существенно увеличивать производительность предприятия, если употребляется подабающим образом. Система моментального обмена сообщениями является одним из таких инструментов.

Не так издавна, домашние юзеры начали использовать такие программки моментального обмена сообщениями, как ICQ и AOL Instant Messenger (AIM). Потом они стали приносить эти программки на работу и устанавливать на собственных рабочих машинах. Естественно, так как такие инструменты тогда не были приняты компаниями, подавляющее большая часть сеансов использования этих утилит представляло собой обыкновенные переговоры меж друзьями и семьями.

С течением времени системы моментального обмена сообщениями и возможность узреть текущий статус либо доступность юзера (функции, которые сейчас составляют часть фундамента Unified Communications) были признаны ценными инструментами для коммуникации в предприятиях, и компании начали устанавливать платформы моментального обмена сообщениями. В рамках производственного использования все сообщения таких систем должны записываться и храниться с целью соответствия нормативным документам. Также нужен контроль для предотвращения утечек инфы либо инфецирования вредным ПО через клиенты моментального обмена сообщениями.

Вот поэтому организациям так принципиально устанавливать службы моментального обмена сообщениями, которыми они могут управлять, также нужно ограничивать либо воспрещать внедрение личных инструментов моментального обмена сообщениями на предприятии. Microsoft ISA Server 2006 может стать хорошим инвентарем фильтрации и блокировки нелегальных инструментов моментального обмена сообщениями на предприятии.

Фильтр HTTP в ISA Server 2006

Как можно использовать ISA Server 2006 для ограничения доступа к системам моментального обмена сообщениями? Брандмауэр ISA Server 2006 обустроен способностями фильтрации HTTP, которые можно использовать для этих целей. Фильтр HTTP может осматривать HTTP запросы и заглавия ответов и изменять их.

По дефлоту фильтр HTTP в ISA Server 2006 будет пропускать только действительные, RFC-совместимые пакеты. Но фильтр HTTP можно настраивать на блокирование и ограничение трафика на базе разных качеств пакета, включая:

Разрешенные HTTP способы
Разрешенные заглавия запроса
Разрешенные заглавия ответа
Определенные сигнатуры контента
Расширение файлов

Ограничение систем моментального обмена сообщениями (IM)

Воспрещение юзерам использовать службы IM является более сложной задачей, чем кажется на 1-ый взор. Блокирование порта (портов), который употребляется службой, является неэффективным решением, так как большая часть клиентов IM сделаны так, что они автоматом настраиваются на поиск другого открытого порта, если стандартный порт недоступен. По сути клиентские приложения IM часто употребляют такие общие порты, как 80 (HTTP) либо 21 (FTP), которые, обычно, открыты фактически на любом брандмауэре.

Блокирование IM трафика методом фильтрации портов работать не будет. Последующая линия защиты будет представлять собой более полномасштабный межсетевой экран, который способен делать анализ пакетов. Трафик IM отличается от стандартного HTTP трафика, и брандмауэр, осматривающий пакеты, сумеет пропускать HTTP трафик, заблокируя IM пакеты. IM клиенты эволюционировали и сейчас имеют возможность обходить это определение методом вложения трафика сообщения в HTTP запрос.

Некие IM клиенты делают такую функцию встраивания трафика в HTTP запрос, только когда данные проходят через прокси-сервер. Клиентские приложения обычно способны автоматом настраивать маршрут через прокси-сервер, если прямой доступ к службе IM неосуществим. Блокирование адреса прокси-сервера не является жизнестойким решением, так как в текущее время существует огромное количество доступных бесплатных прокси-серверов. Процесс неизменного прибавления прокси-серверов станет головной болью админа, а перечень заблокированных серверов стремительно станет неразборчивым.

Изменение стандартного HTTP заголовка

Что все-таки в таком случае делать админам? В ISA Server 2006 можно использовать фильтр HTTP для контроля содержимого HTTP заголовка Via. Заголовок Via употребляется во избежание повторных запросов (request loops), для идентификации способностей протокола устройств в маршруте обмена данными и для отслеживания рассылки сообщений. Прокси-серверы требуют HTTP Via заголовок, чтоб иметь возможность верно направлять входящий и исходящий трафик меж клиентом и прокси-сервером.

Стандартный заголовок для ISA Server 2006 посылает имя хоста с брандмауэра ISA, обрабатывающего запрос. Независимо от всех попыток фильтровать либо ограничивать IM трафик, имя хоста сервера ISA Server должно расцениваться, как секретная информация. В рамках наилучших методик рекомендуется изменять стандартное имя на что-то более обширное, что атакующий не сумеет использовать для получения инфы, которая могла бы посодействовать ему взломать сервер. Следуйте этим шагам, чтоб поменять стандартный заголовок HTTP для каждого правила доступа, включающего HTTP в качестве определенного протокола:

Нажмите правой кнопкой на каждом правиле доступа
Изберите опцию Настроить HTTP
Перейдите в закладку Заглавия
Изберите опцию Поменять заголовок в запросе и ответе
Перейдите к полю Поменять на:
Введите чего-нибудть обширное

Изберите что-то, что не выдаст имя хоста сервера, операционную систему либо платформу сервера. Другими словами, вам не надо, чтоб информация в заголовке по дефлоту указывала ‘ISA Server’. Есть другие методы, благодаря которым опытнейший взломщик сумеет найти, что брандмауэр – это сервер ISA Server, но вам не надо на добровольческой базе предоставлять нужную информацию прямо в руки неопытным взломщикам.

Если у вас в сети есть несколько серверов ISA Server 2006, контролирующих исходящий трафик, вам необходимо будет назначить каждому из их уникальное имя, которое при всем этом будет обширным. К примеру, вы сможете задать стандартное имя заголовка HTTP в виде Proxy1, Proxy2, и т.д. В общем, вы выудили сущность.

Фильтрация трафика IM при помощи ISA Server 2006

Изменение стандартной инфы для HTTP Via заголовка может предупредить пробы клиентов IM использовать прокси-серверы для обхода заблокированных адресов, но оно не приостановит IM трафик вполне. Юзеры и клиенты IM продолжают развивать новые методы обхода частей контроля безопасности.

Для фильтрации либо блокирования более разумных клиентов IM вам нужно использовать анализатор пакетов, таковой как Wireshark, для мониторинга сетевого трафика. Анализатор пакетов обеспечивает подробную информацию по каждому пакету, что позволит вам определять запросы, методы и остальные нюансы IM трафика, и вы можете настроить фильтр HTTP в ISA Server 2006.

Можно настроить ISA Server 2006 на фильтрацию методов, расширение файлов, сигнатур содержимого и иных качеств сетевого трафика, которые вы желаете перекрыть. Очередной подход даст возможность выбирать способы и остальные аспекты, которые вы желаете разрешить, и настроить фильтр HTTP на прием только тех пакетов, которые отвечают этим аспектам. Фильтр HTTP в ISA Server 2006 является массивным инвентарем, позволяющим вам сделать детализированный контроль над сетевым трафиком в вашей сети.

Внедрение фильтров безопасности HTTP в ISA Server 2006 для блокирования систем моментального обмена сообщениями

Набросок 1: ISA Server 2006 обеспечивает полные способности фильтрации HTTP трафика

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.