Блокировка опасных сайтов с помощью доменных имен и наборов URL-адресов

Опубликовано: 9 Апреля, 2023

Введение


Существует бесчисленное множество угроз за пределами сети, пытающихся получить доступ к внутренним сетевым ресурсам и использовать их, если представится такая возможность. Брандмауэр обычно является основным защитником сети, ограничивая нежелательный трафик и предотвращая несанкционированный доступ. ISA Server 2006 используется многими организациями для решения этих проблем сетевой безопасности.


Однако внешние угрозы — не единственная проблема. Сотрудники могут тратить значительное количество времени на посещение веб-сайтов, не связанных с бизнесом, или, возможно, подвергать риску сетевые ресурсы, посещая вредоносные веб-сайты.


В большинстве организаций действуют политики, ограничивающие действия, которые пользователям разрешено выполнять в Интернете с использованием компьютерных ресурсов, принадлежащих компании. ИТ-администраторы должны иметь возможность отслеживать и контролировать этот доступ, а также иметь возможность блокировать доступ к вредоносным или неуместным сайтам.


Наборы доменных имен в ISA Server 2006


Существует множество способов достижения этой цели, но в этой статье мы сосредоточимся на использовании наборов доменных имен и наборов URL-адресов для блокировки доступа к опасным или неподходящим сайтам. Все типы клиентов ISA Server могут использовать наборы доменных имен для блокировки доступа. Однако на уровне группы или пользователя можно управлять только клиентами веб-прокси и брандмауэра.


Наборы доменных имен позволяют заблокировать доступ ко всему сайту, например espn.com. Если вы создадите набор доменных имен с записью *.espn.com, вы заблокируете пользователей от перехода на любой сайт в домене espn.com, и вам больше не придется беспокоиться о том, что пользователи целыми днями проверяют спортивную статистику и турнирную таблицу. Точно так же вы можете создать набор доменных имен с записью *.playboy.com, чтобы запретить пользователям посещать какие-либо сайты в домене playboy.com и просматривать неприемлемые материалы, которые могут привести к иску о сексуальных домогательствах или другим последствиям для отдела кадров.


Вы также можете использовать наборы доменных имен, чтобы заблокировать доступ на более детальном уровне, указав конкретный сервер в домене. Например, вы можете создать запись для www3.espn.com, чтобы заблокировать доступ к серверу www3, но разрешить доступ к остальной части домена espn.com.


Наборы доменных имен применяются ко всем протоколам и всем типам клиентов. Это означает, что после создания записи набора доменных имен весь трафик к домену блокируется независимо от типа клиента ISA Server 2006. Если вас беспокоят только веб-соединения, а не все сетевые протоколы, вы можете вместо этого заблокировать доступ с помощью наборов URL-адресов.


Наборы URL в ISA Server 2006


Наборы URL-адресов аналогичны наборам доменных имен, за исключением того, что наборы URL-адресов блокируют доступ только к веб-соединениям. Чтобы наборы URL-адресов были эффективными, соединения должны выполняться с использованием протоколов HTTP или HTTPS (FTP-серверы, настроенные как клиенты веб-прокси, также могут быть заблокированы) и должны обрабатываться фильтром веб-прокси.


Например, вы можете создать набор URL-адресов с записью для hotmail.com и создать правило для блокировки доступа к hotmail.com по любому протоколу. Попытки получить доступ к сайту hotmail.com с помощью веб-браузера будут заблокированы, но пользователи с настроенными клиентами POP3 или SMTP по-прежнему смогут получать электронную почту с hotmail.com, поскольку набор URL-адресов применяется только к сеансам HTTP, HTTPS и FTP через веб-прокси (туннелированный HTTP).


Важно помнить различие между наборами доменных имен и наборами URL. Наборы URL-адресов позволяют вам более хирургически ограничивать доступ, блокируя трафик к назначенным URL-адресам с использованием протоколов HTTP и HTTPS, если клиент, устанавливающий соединение, делает это через фильтр веб-прокси. Напротив, наборы доменных имен представляют собой более общий подход, блокирующий доступ к доменам независимо от протокола или типа клиента.


Создание правил доступа


Наборы доменных имен и наборы URL-адресов также нуждаются в применении правил доступа, чтобы привести их в действие. Вы можете создать набор доменных имен или набор URL-адресов с помощью мастера правил доступа. Выполните следующие действия, чтобы создать правило доступа и соответствующее доменное имя или набор URL-адресов для блокировки доступа:




  • Откройте консоль управления ISA Server 2006.


  • Разверните имя сервера и выберите Политика брандмауэра.


  • Перейдите на вкладку «Задачи» на панели задач.


  • Выберите «Создать новое правило доступа».


  • Введите имя для правила доступа. Для этого сценария введите «Блокировать ESPN» и нажмите «Далее».


  • Выберите «Запретить» на странице «Действие правила» и нажмите «Далее».


  • На странице «Протоколы» выбор будет зависеть от того, хотите ли вы создать набор доменных имен или набор URL-адресов.
    – Для набора доменных имен выберите Весь исходящий трафик.
    – Для набора URL-адресов выберите «Выбранные протоколы» и выберите HTTP и HTTPS (и, возможно, FTP, если вы выберете).


  • Нажмите "Далее


  • Нажмите «Добавить» на странице «Источники правил доступа».


  • Нажмите «Сети» и выберите «Внутренние», затем нажмите «Закрыть».


  • Нажмите "Далее


  • Выберите «Добавить» на странице «Назначения правил доступа».


  • На странице «Добавить сетевые объекты» щелкните соответствующий выбор — «Набор доменных имен» или «Набор URL-адресов».


  • Введите имя для доменного имени или набора URL-адресов в диалоговом окне.


  • Нажмите «Создать» и добавьте домен, доступ к которому вы хотите заблокировать — в данном случае *.espn.com.


  • Нажмите ОК

Помните, что правила доступа обрабатываются в последовательном порядке. Убедитесь, что вы переместили новое правило доступа и любые другие запрещающие правила в начало списка. Имеет смысл обработать правила, запрещающие доступ, прежде чем переходить к рассмотрению разрешающих доступ.


Определение того, что блокировать


Возможность блокировать доступ к неприемлемым и потенциально вредоносным сайтам — полезная функция, но существуют тысячи, а возможно, и десятки тысяч таких сайтов, которые необходимо заблокировать. Попытка заблокировать их все слишком непрактична.


Другой подход заключается в мониторинге использования Интернета и выявлении любых неуместных или потенциально вредоносных сайтов, которые пользователи часто посещают, и нацеливании только на эти сайты. Этот подход все еще довольно трудоемкий и утомительный. Это может быть работой на полный рабочий день, просто просмотр данных журнала и создание правил для блокировки доступа к нежелательным доменам.


Можно импортировать списки известных недопустимых или вредоносных доменов из файлов TXT или XML. Использование этого метода более эффективно с точки зрения возможности быстро и легко блокировать множество нежелательных сайтов. Однако такие списки не являются исчерпывающими. Они могут пропустить неподходящие сайты, которые часто посещают ваши пользователи, что возлагает на вас ответственность за отслеживание и блокировку в каждом конкретном случае.


Использование сторонних инструментов для ограничения доступа


Вообще говоря, я рекомендую администраторам использовать имеющиеся у них инструменты, а не вкладывать скудные бюджетные средства в покупку сторонних инструментов, которые дублируют собственные функции. Тем не менее, есть фактор удобства и эффективности, который играет роль в этом решении и делает экономическое обоснование использования сторонних приложений в некоторых случаях. Это один из таких случаев, на мой взгляд.


Да, ISA Server 2006 имеет комплексные средства управления для ограничения и блокировки доступа к нежелательным и потенциально вредоносным веб-сайтам. Однако настройка и поддержка этой функциональности требует слишком много времени и усилий. Стороннее решение, такое как GFI WebMonitor для ISA Server, выполняет то же самое без усилий, освобождая вас, чтобы сосредоточиться на более важных задачах.


GFI WebMonitor использует базу данных категоризации сайтов, которая позволяет блокировать доступ к веб-сайтам по категориям, например, блокировать сайты для взрослых, спортивные или одноранговые (P2P) сети или сайты поиска работы. База данных URL-адресов GFI отслеживает содержимое более чем 165 миллионов доменов и ежедневно обновляется.


Вместо того, чтобы круглосуточно отслеживать журналы использования Интернета и вручную определять сайты для блокировки, вы можете достичь той же цели несколькими щелчками мыши в GFI WebMonitor. Использование стороннего инструмента, подобного этому, позволяет сократить количество времени, которое сотрудники тратят впустую в сети, защитить сеть от вредоносных атак и применять политики использования Интернета гораздо эффективнее, чем пытаться сделать это вручную с помощью встроенных функций ISA. Сервер 2006.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023