Реверс-прокси (Reverse Proxy): защита веб-ресурсов и контроль трафика
Узнать большеПрактика показывает, что посещение сторонних сайтов, не имеющих отношения к работе, создает дополнительные риски информационной безопасности. Например, ресурсы могут оказаться зараженными, в результате чего на пользовательские устройства попадают вирусы, программы-шпионы и другие вредоносные компоненты. Чтобы избежать таких ситуаций, компании осуществляют контроль интернет-трафика. Это мера также помогает оптимизировать работу локальной сети, грамотно распоряжаться ресурсами и укреплять дисциплину внутри компании. Поговорим, с помощью каких инструментов можно отслеживать трафик и зачем это нужно делать.
Что подразумевается под контролем трафика
Для начала разберемся, что такое трафик. Это объем данных, циркулирующих между сетями (или внутри одной сети) за определенный отрезок времени. Трафик может быть:
- Входящим. Это информационные потоки, поступающие из глобальной сети во внутреннюю.
- Исходящим. Данные, отправляемые из локальных сетей во внешние.
- Внутренним. Информационные потоки, циркулирующие в пределах конкретных локальных сетей, то есть это пакеты данных, которыми обмениваются устройства и сотрудники организации.
- Внешним. Интернет-трафик, циркулирующий в глобальной сети.
Любой трафик необходимо контролировать. Под контролем понимают проверку объемов информационных потоков за обозначенный период времени и содержания циркулирующих пакетов. Также предполагаются исследования сетевого оборудования и установленного на него специализированного софта с целью убедиться, что они без сбоев работают в соответствии с настройками.
В компаниях задачи по контролю трафика обычно ложатся на администраторов локальных сетей. В случае подозрений на инциденты к процессу подключаются офицеры службы безопасности.
Зачем нужен контроль трафика
Первая и ключевая задача — обеспечение информационной безопасности, а именно сохранение конфиденциальности данных и защита оборудования от вредоносных компонентов. Если контроль трафика отсутствует или не реализуется должным образом, возрастают риски сетевых атак, в том числе заражения компьютеров троянами, компьютерными червями, шпионским ПО и другими компонентами, которые помогают злоумышленникам получить доступ к корпоративным хранилищам, серверам и базам данных. Такие программы могут содержаться во входящем трафике, поступающем с зараженных и фишинговых сайтов. А в исходящих пакетах встречаются признаки не санкционированно передаваемых конфиденциальных данных. Если не будет контроля трафика, произойдет утечка.
Какие еще задачи преследуют контроль и анализ сетевого трафика:
- Повышение личной продуктивности сотрудников и укрепление дисциплины внутри компании. Если работники тратят трудовые часы на посторонние ресурсы, то не только подвергают опасности информационную инфраструктуру, но и неэффективно выполняют свои обязанности. С этим можно и нужно бороться с помощью мониторинга посещения интернет-ресурсов.
- Увеличение пропускной способности каналов связи. Перегрузка может возникнуть из-за скачивания большого количества файлов, посещения «тяжелых» ресурсов, малой скорости интернета. В результате серьезно страдают бизнес-процессы организации. Контроль интернет-трафика позволяет выявить и устранить причины перегрузки, принять меры для увеличения пропускной способности.
- Выявление рабочих станций с приоритетом к широкополосному доступу в глобальную сеть. Некоторым сотрудникам для работы нужна максимальная скорость, например, для быстрой пересылки большого объема файлов или выполнения сложных бизнес-процессов, проведения конференций по видеосвязи. Контроль трафика позволит определить, какие факторы могут снижать скорость.
То есть контролировать трафик нужно как с точки зрения организационных процессов компании, так и для повышения уровня безопасности.
Методы контроля трафика
Некоторые компании действуют кардинально, ограничивая для сотрудников возможность использовать большинство видов электронных коммуникаций, например, социальные сети, мессенджеры и т.д. Можно запретить и посещение отдельных категорий ресурсов, оставив в белом списке только те, которые чаще всего используются для работы. В этих случаях организации руководствуются принципом: чем меньше данных передается, тем меньше рисков. Но такие методы контроля трафика в сети сказываются на эффективности работы сотрудников, поскольку без использования некоторых ресурсов бизнес-процессы существенно затормозятся. Тем более бывают ситуации, когда специалисту в рамках служебных обязанностей нужно мониторить какие-то сайты или пользоваться мессенджерами для оперативной коммуникации с коллегами. В таких случаях администраторам приходится вручную открывать доступ для конкретных сотрудников или групп сотрудников и усиленно контролировать работу в интернете.
Логичнее и гораздо удобнее использовать специальные средства контроля трафика — программные или аппаратные инструменты с соответствующими функциями. Большинство из них предполагает ручные настройки, поэтому можно регулировать правила их работы в зависимости от актуальных задач организации.
Средства контроля трафика
Разберем основные средства контроля трафика, которые используются компаниями разных масштабов. Они могут быть как узкоспециализированными, так и комплексными, закрывающими несколько смежных задач.
Межсетевые экраны, файрволы, брандмауэры
Все эти названия принадлежат одному классу устройств, призванных перехватывать и фильтровать циркулирующие между сетями пакеты данных. Решения могут эксплуатироваться в аппаратном или виртуальном форматах. Первые представляют собой «железо» со специализированным софтом, установленное на периметре внутренней сети или защищающее отдельные сетевые сегменты. Такие брандмауэры считаются традиционными средствами контроля трафика и используются организациями, которым на законодательном уровне положено устанавливать аппаратные средства сетевой защиты. Межсетевые экраны виртуального формата представляют собой специализированный софт, который устанавливается непосредственно на рабочие станции. Такие средства защиты выполняют те же функции, что и аппаратные, но для одного конкретного устройства, а не всей сети сразу.
Межсетевые экраны осуществляют контроль трафика на основании правил, диктующих действия в отношении тех или иных пакетов данных. Если через брандмауэр проходят подозрительные файлы, средства защиты блокируют их, предлагают переместить в карантин или уничтожают. Иногда сомнительные пакеты дополнительно анализируются другими системами, например, антивирусным ПО или DLP-системами.
Программы для контроля трафика
Существуют специальные утилиты, которые устанавливаются на рабочие компьютеры и выполняют функции учета и анализа трафика. Они могут использоваться как самостоятельные инструменты или дополнять другие системы контроля интернет-трафика. Чаще всего компании реализуют второй сценарий, поскольку большинство утилит имеет ограниченные функциональные возможности и не выполняет всех поставленных задач.
Secure Web Gateway
Это многомодульные шлюзы веб-безопасности, которые используются для контроля трафика пользователей и безопасной работы в интернете. Также они умеют категоризировать ресурсы, блокировать доступ к сомнительным сайтам, мониторить пользовательские действия. Пример такого инструмента — наш продукт Solar webProxy. Какие модули в нем реализованы:
- Межсетевой экран в режиме SPI, который осуществляет контроль интернет-трафика, фильтрует и блокирует пакеты данных на третьем и четвертом уровнях сетевой модели OSI, умеет скрывать IP-адреса рабочих станций корпоративной сети с целью предотвращения преступной разведки.
- Антивирус для контроля трафика, который проверяет пакеты данных на содержание вредоносных компонентов, в режиме реального времени анализирует входящие файлы и ссылки, оценивает уровень безопасности посещаемых сайтов.
- Категоризатор, распределяющий посещаемые сайты по категориям на основании анализа контента и тематики. Он запрещает доступ к нежелательным ресурсам и страницам, использование которых ограничено на законодательном уровне.
- Прокси — модуль, выполняющий роль посредника между интернет-ресурсами и пользователями. Он осуществляет контроль HTTPS-трафика с его предварительной расшифровкой с помощью цепочки сертификатов, которую инструмент запрашивает у сайта (или сайт сам ее предоставляет).
- Обратный прокси, ориентированный на контроль доступа внешних пользователей к внутренним ресурсам. Также он помогает бороться с утечками корпоративных сведений по некоторым каналам коммуникации, например, через черновики в корпоративной почте.
- «Досье на персону» — уникальный модуль, который позволяет вести контроль трафика пользователей и понимать, кто и какие интернет-ресурсы использует. Он накапливает информацию по каждому сотруднику, поэтому в случае нарушений безопасности будет легко установить виновного. Также модуль помогает настроить разграничение доступа к веб-ресурсам.
Шлюз безопасности не только осуществляет контроль интернет-трафика, но и анализирует полученные данные, генерирует отчетность, которая просматривается из интерфейса или скачивается на компьютер в удобном формате. Отчеты являются интерактивными — можно изучать как готовые срезы, так и «сырую» информацию, собранную модулями.
Мониторинг локальной сети
Важно не только осуществлять контроль пользователей в сети, но и постоянно в режиме реального времени мониторить саму сеть, то есть анализировать состояние каждого подключенного компонента с целью убедиться в его исправности и работоспособности. Например, должны проверяться маршрутизаторы, точки выхода в интернет, целевые серверы, рабочие станции, серверы баз данных, приложения, используемое компанией специализированное программное обеспечение. С помощью мониторинга можно отследить нестандартное поведение конкретных компонентов, выявить сбои и предотвратить остановку бизнес-процессов.
Мониторинг локальных сетей выполняется с помощью специальных программ или комплексных инструментов, в задачи которых входит и контроль трафика. Системы выявляют проблемы и оповещают о них системных администраторов, которые должны оперативно устранить неисправности. Если речь идет о сбоях в результате сетевых атак, администраторы подключают сотрудников службы безопасности, которые проводят расследование инцидентов.
Где применяется контроль трафика
Такая мера должна являться обязательной для любой организации, особенно крупной, где штат сотрудников исчисляется сотнями и тысячами. Там не получится вручную создавать черные и белые списки ресурсов, обходиться простейшими программами контроля и тотально запрещать доступ к большей части ресурсов. В таких компаниях целесообразно использовать SWG-решения, которые решают широкий пул задач по контролю трафика.
