Обзор UserGate Web Filter 3.0

1. Введение

2. Сферы применения UserGate Web Filter

3. Механизмы интернет-фильтрации

4. Преимущества UserGate Web Filter

5. Решения на базе UserGate Web Filter

6. Системные требования

7. Установка программного решения

8. Консоль администратора

9. Выводы

Введение

За последние годы тема интернет-фильтрации становилась всё более популярной. Законодатели и специалисты всё большее внимание уделяют теме ограничения доступа к отдельным категориям интернет-ресурсов для детей. Работодатели озабочены тем, что сотрудники значительную часть рабочего времени проводят в соцсетях. Кроме того, некоторые виды информации просто незаконны на территории России и других государств. В связи с этим разрабатываются новые законодательные инициативы, направленные на упорядочение доступа к веб-сайтам, создаются программные и программно-аппаратные средства для автоматизации решения описанных задач.

Одним из решений для подобных задач, представленных недавно на рынке компанией Entensys, является продукт UserGate Web Filter. По сути, UserGate Web Filter является преемником продукта GateWall DNS Filter. Относительно GateWall DNS Filter в UserGate Web Filter реализована фильтрация не только по DNS-запросам, но также и другие методы анализа веб-страниц, а также поддерживает работу с Linux-серверами. В будущем ожидается поддержка Windows-серверов.

UserGate Web Filter может использоваться в виде различных типов программных и программно-аппаратных решений, что говорит о высокой степени масштабирования продукта и существенно расширяет сферы его применения.

Общая схема работы UserGate Web Filter и взаимодействия с другими аппаратными и программными компонентами организации интернет-доступа, представлена на рисунке 1.

Рисунок 1. Схема фильтрации интернет-трафика в UserGate Web Filter

Сферы применения UserGate Web Filter

Основные сферы применения UserGate Web Filter можно разделить на несколько категорий:

• Бизнес и корпоративный сектор;
• Образовательные учреждения и библиотеки;
• Точки публичного доступа (Wi-Fi);
• Интернет-провайдеры.

На предприятиях UserGate Web Filter может быть использован для защиты компьютеров от загрузки вредоносных программ, а также блокировки доступа сотрудников к ресурсам, не связанным работой (социальные сети, сайты знакомств, сайты поиска работы и пр.).

В образовательных учреждениях согласно законодательству необходимо производить блокировку сайт, посвящённых тематикам, которые могут навредить учащимся (порнография, суицид, экстремизм, наркотики и пр.).

В точках публичного доступа к Интернету необходимо также, согласно законодательству, ограничивать доступ детей к вредной информации. При этом, UserGate Web Filter может быть установлен как у организатора точки публичного доступа, так и на уровне интернет-провайдера, которым пользуется создатель точки.

Согласно законам ФЗ-436 «О защите детей» и ФЗ-139 «О черных списках» интернет-провайдеры обязаны блокировать доступ к определённым сайтам. Попутно также блокируется доступ к ресурсам, с которых загружаются вредоносные программы. Возможность развёртывания UserGate Web Filter в виде кластерного решения позволяет использовать этот продукт как федеральными провайдерами, так и локальными, включая домашние сети.

Механизмы интернет-фильтрации

UserGate Web Filter обладает пятью механизмами фильтрации:

• Блокировка категорий сайтов;
• Морфологический анализ;
• Безопасный поиск;
• Белые и черные списки;
• Блокировка баннеров и всплывающих окон.

Блокировка категорий сайтов работает по принципу чёрного списка. В облаке Entensys находится информация о множестве сайтов, которые относятся к той или иной категории. Общее количество категорий – более 70, количество сайтов, входящих в базу, превышает 500 миллионов адресов. База сайтов Entensys динамически обновляется, при этом в процессе обновления происходит несколько процессов: обновление списка сайтов (производится раз в сутки), а также повторная проверка внесённых ресурсов на предмет изменения контента.

Морфологический анализ представляет собой блокировку веб-страниц по признаку нахождения на них определённых слов и словосочетаний. Это, с одной стороны, позволяет не блокировать ресурсы, содержащие множество полезной информации, в целом, но при этом ограничить доступ к вредной информации. Поддерживаются различные словари, в том числе список материалов, запрещённых Министерством юстиции России.

Безопасный поиск позволяет для поисковых систем (Google, Yandex, Yahoo, Bing, Rambler), а также на портале Youtube исключать из результатов поиска нежелательный контент, при этом используются средства поисковых систем. Данный подход позволяет отфильтровать запросы по графическому или видео-контенту.

Блокировка по пользовательским белым и чёрным спискам позволяет ограничить или открыть доступ к определённым ресурсам. При этом реализована возможность подписки на различные обновляющиеся списки, в том числе на список сайтов, запрещённых на государственном уровне.

UserGate Web Filter также может перехватывать и отфильтровывать рекламные всплывающие сообщения, а также рекламные баннеры, что защищает пользователя от случайного нажатия по рекламной ссылке и необходимости закрывать всплывающие окна в интернет-браузере.

Если UserGate Web Filter производит фильтрацию по DNS-запросам, то в этом случае он работает как DNS-сервер с расширенными настройками фильтрации. При этом имеется возможность использовать UserGate Web Filter для фильтрации веб-трафика. В этом случае UserGate Web Filter работает как ICAP-сервер. В качестве ICAP-клиента могут выступать прокси-сервера Squid, Microsoft ISA Server, Microsoft TMG, оборудование Cisco, Juniper и другие прокси-сервера, поддерживающие протокол ICAP (Internet Content Adaptation Protocol, протокол адаптации интернет-содержимого).

UserGate Web Filter также поддерживает фильтрацию HTTPS-трафика. Для этого используется метод подмены сертификата, стандартный для подобных задач. При этом необходимо иметь в виду, что UserGate Web Filter не производит перехват HTTPS-трафика сам по себе. Для этой возможности необходимо настроить перехват зашифрованного трафика по протоколу ICAP средствами используемого прокси-сервера.

Преимущества UserGate Web Filter

UserGate Web Filter обладает рядом преимуществ при развёртывании и использовании. Рассмотрим их.

Блокировка интернет-контента, подходящая для различных ситуаций – как для защиты детей от вредных для просмотра сайтов, так и для защиты всех пользователей от вредоносных сайтов. Для работодателей будет полезна блокировка развлекательных сайтов и других подобных категорий интернет-ресурсов.

База вредоносных сайтов включает в себя ресурсы, с которых идёт загрузка вредоносных программ, а также с помощью которых осуществляются различные схемы интернет-мошенничества. Таким образом осуществляется так называемая проактивная защита от вредоносных воздействий на информационные системы, источником которых является Интернет.

UserGate Web Filter соответствует требованиям законодательства, а именно соответствует следующим регулирующим законодательным актам:

• ФЗ-436 «О защите детей от информации, причиняющей вред их здоровью и развитию»;
• ФЗ-139 «О черных списках»;
• Указ Президента РФ № 761 «О национальной стратегии действий в интересах детей на 2012 - 2017 годы».

Гибкость настроек UserGate Web Filter позволяет устанавливать разнообразные политики доступа пользователей на уровне запроса, домена, а также конкретной веб-страницы. Это позволяет повысить точность фильтрации и уменьшить количество ложных срабатываний.

Простота внедрения UserGate Web Filter обеспечиваются возможностью быстрого подключения программно-аппаратного комплекса к сети предприятия или провайдера в реализованном режиме внедрения «Быстрый старт».

Масштабируемость решений на базе UserGate Web Filter обеспечивается возможностью объединения нескольких серверов в кластер. Единая консоль управления позволяет реализовывать проекты, состоящие из серверов, расположенных удалённо географически друг от друга. Если учесть наличие у разработчиков специально разработанного API (Application Programming Interface, интерфейс программирования приложений), то UserGate Web Filter подойдёт для внедрения у большинства интернет-провайдеров.

Решения на базе UserGate Web Filter

UserGate Web Filter поставляется и может использоваться в различных формах, что придаёт этому продукту дополнительные возможности для масштабирования и расширения сферы применения:

• Программное решение;
• Виртуальный образ;
• Аппаратное решение;
• Кластерное решение.

Программное решение позволяет установить UserGate Web Filter на Linux-сервер (в будущем будет поддерживаться и Windows-платформа). Поддерживаются операционные системы Ubuntu (Server и Desktop), а также Debian. Это решение позволяет использовать мощности имеющихся серверов и исключить расходы для приобретение аппаратной части, которое необходимо при использовании соответствующего решения.

Виртуальный образ исполнен в виде образа в формате OVF (Open Virtualization Format, открытый формат виртуализации), и легко импортируется в виртуальные структуры на базе продуктов VMware и Oracle VirtualBox. Также это наиболее удобное решение для предварительного тестирования UserGate Web Filter.

Программно-аппаратный комплекс UserGate Web Filter Appliance позволяет быстро приступить к работе, подключив сервер к локальной сети предприятия и настроив клиенты. Доступны несколько реализаций аппаратной части этого решения в зависимости от количества пользователей в сети. С помощью одного физического сервиса можно обеспечить защиту от 5 до 1000 пользователей.

В UserGate Web Filter реализована возможность использования кластеризации. Она может потребоваться при построении системы защиты на базе UserGate Web Filter при наличии в организации удалённых друг от друга подразделений или при большом количестве пользователей в сети. При этом статистика для генерации отчётов и анализа по всей системе в целом передаётся на один сервер статистики.

Системные требования

Для программного решения UserGate Web Filter необходимы следующие системные требования.

Операционная система:

• Ubuntu Server 12.04;
• Ubuntu Server 12.04 amd64;
• Ubuntu Desktop 12.04;
• Ubuntu Desktop 12.04 amd64;
• Debian 6 i386;
• Debian 6 amd64.

Минимальные требования к аппаратной части сервера:

До 50 пользователей: Intel® Atom™ D2500 1,86 ГГц, 4 ГБ ОЗУ, HDD 500 ГБ;

50-100 пользователей: Intel® Pentium Dual-Core G620 2,60 ГГц, 8ГБ ОЗУ, HDD 500 ГБ;

100-200 пользователей: Intel® Core i5 - Core i7 3550 3,30 ГГц, 16 ГБ, HDD 1 ТБ;

200-300 пользователей: Intel® Core i7 3550 3,30 ГГц, 16 ГБ, HDD 1 ТБ;

Более 300 пользователей: Требуется консультация разработчика.

Для работы сервису требуются следующие порты:

3128 TCP – встроенный веб-сервер;

1344 TCP – ICAP-сервер;

10053 UDP – для разрешения DNS-запросов.

Перед установкой UserGate Web Filter необходимо убедиться, что указанные порты не используются другими сервисами.

Установка программного решения

Установить UserGate Web Filter на Linux-сервер можно двумя способами – из репозитория Entensys и из DEB-пакетов. При этом рекомендуется установка из репозитория.

Для установки UserGate Web Filter из репозитория достаточно выполнить несколько команд:

echo 'deb http://dc.entensys.com/ubuntu precise extra' | sudo tee -a /etc/apt/sources.list

wget http://dc.entensys.com/ubuntu/entensys.gpg -O - | sudo apt-key add -

sudo apt-get update

sudo apt-get install webfilter

Установка из DEB-пакетов осуществляется следующим образом:

sudo apt-get update

sudo dpkg -i entensys-otp.deb

sudo dpkg -i webfilter.deb

В обоих случаях для решения вопросов с зависимостями между пакетов необходимо выполнить команду:

sudo apt-get -f install

Запуск и остановка сервиса UserGate Web Filter осуществляется командами

sudo service webfilter start

и

sudo service webfilter stop

Для подключения к веб-консоли достаточно ввести в браузере следующий адрес:

http://[адрессервера UserGate Web Filter]:3128

При первом запуске консоли необходимо выбрать тип сервера UserGate Web Filter – главный или подчинённый. Второй вариант необходим для развёртывания кластерного решения.

Чтобы включить фильтрацию, необходимо активировать демонстрационную или приобретённую лицензию. Демонстрационную лицензию можно активировать непосредственно из консоли администратора.

Для проверки работоспособности DNS-фильтрации достаточно на одном из клиентских компьютеров установить в качестве DNS-сервера в настройках сетевого подключения IP-адрес сервера с установленным UserGate Web Filter и попытаться выйти на блокируемый этой программой интернет-ресурс. Например, можно попытаться открыть сайт одной из популярных социальных сетей. Если UserGate Web Filter работает в штатном режиме с настройками по умолчанию, то браузер выведет ошибку соединения с веб-ресурсом.

Для возможности использовать HTTP-фильтрацию в локальной сети предприятия должен работать прокси-сервер, поддерживающий ICAP-протокол, например, squid. UserGate Web Filter выступает в роли ICAP-сервера, а прокси-сервер – в качестве ICAP-клиента. При этом в конфигурационный файл прокси-сервера Squid необходимо добавить следующие строки:

icap_enable on

icap_preview_enable on

icap_preview_size 4096

icap_send_client_ip on

icap_service service_req reqmod_precache bypass=0 icap://192.168.92.134:1344/request

adaptation_access service_req allow all

icap_service service_resp respmod_precache bypass=0 icap:// 192.168.92.134:1344/response

adaptation_access service_resp allow all,

где 192.168.92.134 – IP-адрес сервера с установленным UserGate Web Filter.

Для включения HTTP-фильтрации в интернет-браузерах на клиентской стороне должен быть прописан прокси-сервер, работающий в связке с UserGate Web. Следует заметить, что без настроенной на клиенте DNS-фильтрации HTTP-фильтрация не работает – в браузере на стороне клиентов в этом случае отображается ошибка ICAP-протокола.

В случае наличия на веб-странице запрещённой лексики, браузер отображает окно блокировки с указанием категорий, под которые подпадает содержимое страницы (рисунок 2).

Рисунок 2. Окно блокировки веб-страницы по её содержимому при использовании  UserGate Web Filter

Консоль администратора

При открытии в интернет-браузере консоли администратора предлагается ввести имя и пароль администратора UserGate Web Filter, после чего открывается основной интерфейс консоли. По умолчанию интерфейс консоли отображается на английском языке, но доступна русская локализация, на которую необходимо переключиться в случае необходимости.

Рассмотрим настройки и информацию, которые отображаются в консоли администратора UserGate Web Filter.

При открытии интерфейса автоматически выбирается окно «Лицензия», в котором можно просмотреть информацию о текущей лицензии, а также при необходимости активировать демонстрационную или полнофункциональную лицензию (рисунок 3).

Рисунок 3. Окно «Лицензия» консоли администратора UserGate Web Filter

В окне «Настройки» (рисунок 4) собраны настройки работы UserGate Web Filter. Основные настройки включают в себя настройку часового пояса, возвращаемого адреса для заблокированных DNS- и HTTP-запросов, необходимость разрешения рекурсивных DNS-запросов, необходимость использовать DNS-кэша, реакцию на DNS-запросы от неизвестных пользователей, а также максимальный TTL (Time To Live, время жизни) до ответа DNS-сервера. В группа настроек «Настройки правил» можно включить или отключить обработку правил фильтрации, а также настроить реакцию на DNS-запросу в случае отсутствия подключения к облаку Entensys. Группа настроек «Сервер статистики» содержит настройки, связанные с подключением с единым сервером статистики Entensys. Также в окне «Настройки» можно изменить пароль администратора.

Рисунок 4. Окно «Настройки» консоли администратора UserGate Web Filter

В окне «История входов» (рисунок 5) можно просмотреть историю входов в консоль администратора.

Рисунок 5. Окно «История входов» консоли администратора UserGate Web Filter

В окне «Журнал событий» (рисунок 6) можно ознакомиться с событиями, которые фиксируются на сервере UserGate Web Filter.

Рисунок 6. Окно «Журнал событий» консоли администратора UserGate Web Filter

На окне «Счётчики» (рисунок 7) выводится подробная текущая статистика обработки DNS- и HTTP-запросов.

Рисунок 7. Окно «Счётчики» консоли администратора UserGate Web Filter

В окне «Проверить URL» (рисунок 8) администратор может проверить, к каким категориям UserGate Web Filter относит тот или иной ресурс. И если, по мнению администратора, ресурс находится не в той категории, в какой должен быть, то имеется возможность отправить запрос на смену категории ресурса.

Рисунок 8. Окно «Проверить URL» консоли администратора UserGate Web Filter

В окнах «Группы» и «Пользователи» (рисунок 9) имеется возможность создать пользователей и группы пользователей, а также настроить для них настройки фильтрации.

Рисунок 9. Окно «Пользователи» консоли администратора UserGate Web Filter

Окна «Морфология» (рисунок 10) и «Регулярные выражения» посвящены настройкам анализа веб-страниц по контенту. В окне «Морфология» можно включить или отключить морфологический анализ в целом, а также включить или отключить непосредственно морфологию Entensys, а также выбрать категории, по которым осуществляется морфологический анализ и установить порог срабатывания по каждой категории. В окне «Регулярные выражения» можно создать собственные правила фильтрации по словам и словосочетаниям на основе регулярных выражений.

Рисунок 10. Окно «Морфология» консоли администратора UserGate Web Filter

В окне «Исключения» (рисунок 11) имеется возможность указать исключения для всех групп пользователей или для конкретной группы или пользователя. Для этих объектов можно включить или выключить использование списков блокировки Entensys, а также указать тип политики блокировки – по белым спискам или по чёрным. Кроме того, можно вручную добавить элементы в белый и чёрный список блокировки.

Рисунок 11. Окно «Исключения» консоли администратора UserGate Web Filter

В окнах «DNS-фильтрация» и «HTTP-фильтрация» (рисунок 12) можно настроить политики фильтрации. По умолчанию для DNS- и HTTP-фильтрации установлена фильтрация по всем категориям соответствующего типа блокировки, но для отдельных пользователей или групп можно создать особые политики, например, разрешающие доступ к определённой категории сайтов.

Рисунок 12. Окно «HTTP-фильтрация» консоли администратора UserGate Web Filter

Наконец, окно «Статистика» содержит в себе статистическую информацию о работе системы фильтрации интернет-контента UserGate Web Filter.

Выводы

UserGate Web Filter является достаточно гибким решением для организации интернет-фильтации, которое можно применить практически во всех случаях, когда эта фильтрация требуется: у интернет-провайдеров, при организации точек доступа в Интернет, в образовательных учреждениях. Хорошая масштабируемость, ассортимент решений на основе  UserGate Web Filter, а также возможность кластеризации позволяет организовать защиту от вредоносного контента для групп пользователей численностью от 5 человек практически до бесконечности. Поддержка ICAP-клиентов, фильтрация HTTPS-трафика, фильтрация по морфологическим признакам, т.е. по содержимому веб-страниц позволяет осуществлять фильтрацию тонко, точно и с малым количеством ложных срабатываний.

Преимущества:

• Широкая масштабируемость UserGate Web Filter благодаря богатому ассортименту решений и поддержки кластеризации;
• Единая консоль администрирования, позволяющая создавать систему блокировки опасного контента из серверов, расположенных географически далеко друг от друга с единого места администратора;
• Помимо блокировки на уровне DNS-запросов поддерживается блокировка контента по морфологическим языковым признакам;
• Поддерживается анализ HTTPS-трафика (кроме работы по протоколу ICAP);
• Гибкие настройки фильтрации, а также настройка политик фильтрации, постоянно обновляющаяся обширная база проверенных специалистами Entensys веб-ресурсов позволяет сделать блокировку более точной и точечной, без необходимости блокировки популярных веб-сайтов целиком, а также снизить количество ложных срабатываний.

Недостатки:

• При включённой фильтрации HTTP-трафика при первом открытии веб-страниц, содержащих большой объём текстовой может происходить задержка до нескольких секунд (при последующих запросах той же страницы задержка пропадает – используются возможности кэширования запросов);
• В настоящее время нет дистрибутива UserGate Web Filter для Windows-серверов – планируется в будущем;
• Для активации демонстрационной лицензии при использовании OVF-образа виртуальной системы необходимо связываться с менеджером компании Entensys, чтобы получить демонстрационный пинкод, встроенная автоматическая активация демонстрационной лицензии в этом случае не работает;
• При блокировке DNS-запросов UserGate Web Filter не имеет возможности совершить перенаправление на специально заготовленную страницу с информацией о блокировке – в этом случае имеется возможность перенаправления только на определённый IP-адрес (по умолчанию, 127.0.0.1), вызвано данное ограничение самим механизмом DNS-фильтрации.