Potřebu identifikace konkrétního uživatele při monitoringu sítě a analýze žurnálů není potřeba dvakrát zdůrazňovat, stejně jako není třeba obhajovat vhodnost definice pravidel na síťových prvcích tak, aby vycházela z potřeb konkrétních uživatelů nebo jejich skupin. Je až s podivem, jak málo doposud tradiční firewally toto umožňovaly…

Přitom zejména v menších organizacích (obvykle bez jasně daných bezpečnostních pravidel) by striktní uplatnění politiky, jen dle identity uživatele a možnost doplnění žurnálů taktéž o identitu uživatelů, ušetřilo administrátorovi spoustu času! Ruku na srdce, ve firmách do 50 uživatel je situace často taková, že administrátor nemá na pravidelné režijní činnosti ani 20 minut denně!

Nejprve si ale řekněme, jak vlastně v praxi funguje ona identifikace uživatelů. Firewall Cyberoam umí ověřovat identitu uživatelů proti Microsoft Active Directory serveru (i starší NT4), pomocí LDAP protokolu, pomocí Radius protokolu, nebo definovat účty uživatelů a skupiny přímo na firewallu (nebo lze účty z MS AD vyexportovat a naimportovat na Cyberoam). Ověření příslušnosti do skupiny se provádí LDAP protokolem.

Z pohledu nasazení má správce možnost nejprve definovat tzv. clientless uživatele, tj. účty pro zařízení, která se identifikovat nemohou, ale pro která by také rád využil možnost definice pravidel per identita (Internet Access policy, Bandwidth Policy). Typicky jsou to servery, síťové tiskárny atp. Lze je definovat jejich pevnou IP adresou, nebo rozsahem adres.

Pro stolní počítače je nejvhodnější použít v prostředí Active Directory spojení SSO mechanismu s využitím logon scriptu. Administrátor na AD server do logon adresáře uživatele umístí malou aplikaci (40kB) a konfigurační soubor. Jakmile se uživatel přihlásí do domény, aplikace se spustí a provede se autentizace uživatele proti Cyberoamu. Ten pak provede ověření proti AD. Pro SSO lze samozřejmě definovat i maximální dobu platnosti přihlášení a v DHCP prostředí (DHCP server nabízí i Cyberoam sám) i maximální dobu "inactivity", po které dojde k odhlášení a novému ověření identity.

Pro mobilní počítače je nejvhodnější agent (k dispozici i pro Linux) běžící na Windows v systémové liště. Zprostředkovává přihlášení uživatele k Cyberoam, který pak provede ověření proti autentizačnímu serveru (AD, Radius, LDAP) či lokální databázi.

Že jste na nějakého uživatele zapomněli? Nevadí, pokud máte na zařízení nastavenou autentizaci pro odchozí http provoz do internetu a zařízení nemá jinou možnost, jak zjistit identitu uživatele, stane se následující. Ve chvíli kdy uživatel zkusí přistoupit na webový server, nahradí Cyberoam webovou stránku svou přihlašovací obrazovku s odkazem na přihlášení uživatele pro zobrazení jeho antispamové a antivirové karantény a s možností stažení autentizačního klienta.

Zařízení samotné je založeno na linuxovém jádře a paketovém firewallu doplněném o transparentní proxy brány, které se používají pro obsahovou filtraci, antispam a antivirovou kontrolu. Konkrétně http proxy je schopná nejen provádět samotnou antivirovou kontrolu (je integrován Kaspersky AV), ale umí rozeznat i http upload. Dále je schopna provádět URL filtraci s pomocí on-box databáze a dokonce ji umí provádět i pro HTTPS protokol, přičemž využívá úvodní výměny certifikátů. Že vás URL filtrace na https protokolu nezajímá? Vedlejším efektem (lze jej ale i potlačit) této kontroly může být ukončení spojení na portu 443 (https), pokud k výměně certifikátů nedochází.

FTP proxy umí AV kontrolu provést také. Pokud se datový kanál kvůli detekovanému viru náslině ukončí, je schopna v příkazovém kanále vrátit chybovou zprávu. Umožní také povolit zvlášť pasivní nebo aktivní režim.

Antivir i antispam podporují smtp, imap a pop3 proxy. Pomocí pravidel lze kontrolu vynechat nebo přizpůsobit sadou pravidel pro jednotlivé adresy příjemců a odesilatelů nebo per doména, přičemž zařízení pro SMTP provoz umí ukládat zavirované zprávy do uživatelské karantény na vlastním HDD. Nad každým definovaným pravidlem lze zapnout odesílání kopie zpráv vyhovujících pravidlu na jiný poštovní účet, což lze velmi netradičně použít např. pro ukládání kopií pošty stahované interním uživatelem z externího pop3 serveru do schránky na firemním exchange serveru. Že máte větší problémy spíš s webmailem? Pak možná URL filtrace a blokace kategorie "webmail" pro některé uživatele přece jen není až tak špatný nápad.

Co se týká účinnosti antispamu, na zařízení je použit engine Commtouch, který používá metodu "Recurrent patern detection" (RPD), kdy se z částí hlavičky a těla zprávy generuje kontrolní součet a porovnává se s kontrolními součty v centrální databázi, kam se posílají tyto „checksumy“ z obrovského množství poštovních bran umístěných po celém světě. Pokud se zpráva se stejným kontrolním součtem začne masově šířit, je okamžitě vyhodnocena jako spam. Díky metodě kontrolního součtu zůstává pro systém RPD obsah zprávy anonymní a není dokonce závislý ani na tom, zda byl obsah v angličtině, čínštině nebo ruštině. Hlavní výhodou je velmi malá pravděpodobnost chybného označení nezávadné zprávy (false-positive) a nízká zátěž CPU a paměti firewallu.

Kromě samotných proxy bran je na zařízení rovněž IPS s periodicky aktualizovanými signaturami, dodávanými výrobcem (IDP modul). Pro každé ACL pravidlo lze připravit konkrétní nastavení chování IPS, aby se detekovaly jen vzorky provozu, který opravdu může daným pravidlem procházet a snížila se tak jak zátěž zařízení, tak i případné false-positive události. Pomocí IDP modulu lze detekovat i IM a P2P aplikace (ICQ, Skype,…), rovněž s aktualizacemi od výrobce.

Pro každé ACL pravidlo nebo každou skupinu uživatelů i jednotlivce lze předem připravit tzv. "Internet Access Policy", která sdružuje do jednoho profilu nastavení URL filtrace, omezení dle typu souborů, omezení dle detekovaného typu aplikace, atp. Obdobně lze per skupina uživatelů i jednotlivce definovat politiku pro využití šířky pásma (tzv. Bandwidth Policy) a politiku vymezující maximální objemy stahovaných a odesílaných dat (tzv. Data Transfer Policy). Zatímco pomocí Bandwidth Policy řešíme QoS, pak pomocí DataTransfer Policy lze například omezit stahování na 200MB za týden a „upload“ na 50MB za týden (nebo den, měsíc ...). Že se Vám idea definice QoS a šířky pásma dle uživatele nezamlouvá? Pak ji samozřejmě můžete definovat i per ACL pravidlo, případně omezit uplatnění jen na konkrétní síťové rozhranní.

Pokud potřebujete zajistit nepřetržitou dostupnost zařízení nebo vyřešit záložní připojení k internetu, zařízení od modelu CR50 podporuje i HA. Všechny modely umí využít i záložní připojení k internetu a zjišťovat dostupnost záložní gatewaye. Pokud se vám zdá investice do záložní linky zbytečná, protože máte pocit, že ji kromě výpadku nevyužijete, není to pravda. Gateway můžete totiž definovat per ACL pravidlo a dokonce opět dle identity uživatele! Pokud chcete pro hlavní i záložní připojení k internetu využít stejný adresní rozsah, pak je dobré vědět, že zařízení podporuje i dynamický routing (RIP, BGP, OSPF).

A co bude správce dělat v ušetřeném čase? Může se třeba věnovat statistikám a reportům generovaným přímo na zařízení a ukládaných na jeho pevný disk. Ty jsou k dispozici jak pro systémové události (zátěž CPU, spotřeba paměti, stav, chybovost a šířka pásma per síťový interface), tak pro monitoring činnosti uživatelů (jak dle identity uživatele, tak dle IP). Jsou generovány reporty na detekované útoky, spyware, adware, viry, reporty (včetně grafů) podle využití šířky pásma a času stráveného na internetu, reporty dle kategorií navštěvovaných webových stránek i dle konkrétních dotazů do vyhledávačů Google a Yahoo a mnoho dalších. Lze stanovit dobu, za kterou jsou reporty k dispozici i maximální objem uchovávaných dat s ohledem na velikost disku.

zpět na hlavní stránku



DALŠÍ INFORMACE

uživatel:
heslo: