Использование HTTP-фильтров безопасности ISA Server 2006 для блокировки обмена мгновенными сообщениями

Введение

Часто появляются новые технологии, которые потребители быстро осваивают и впоследствии вынуждают предприятие неохотно принимать их. В конце концов обнаруживаются области применения в бизнес-среде, и, как выясняется, инструменты также приносят огромную ценность для бизнеса — при правильном использовании. Обмен мгновенными сообщениями является одним из таких инструментов.

Не так давно домашние пользователи начали использовать такие утилиты для обмена мгновенными сообщениями, как ICQ и AOL Instant Messenger (AIM). Затем они запустили обмен мгновенными сообщениями, настроив его на своих настольных компьютерах и ноутбуках. Конечно, поскольку инструмент еще не был одобрен компанией, подавляющее большинство этих ранних «корпоративных» сеансов обмена мгновенными сообщениями были просто личной болтовней между друзьями и семьей.

В конце концов, обмен мгновенными сообщениями и возможность видеть текущий статус или доступность пользователя (функции, которые теперь составляют часть основы унифицированных коммуникаций) были признаны ценными инструментами для делового общения, и компании начали развертывать платформы для обмена мгновенными сообщениями. Однако внутри предприятия обмен мгновенными сообщениями часто должен регистрироваться и сохраняться по соображениям соответствия. Также должны быть предусмотрены средства контроля для предотвращения утечки информации или компрометации вредоносного ПО через клиент обмена мгновенными сообщениями.

Вот почему для организаций так важно развертывать службы обмена мгновенными сообщениями, которыми они могут управлять, и поэтому они также должны ограничивать или исключать использование личных средств обмена мгновенными сообщениями на предприятии. Microsoft ISA Server 2006 может быть эффективным инструментом для фильтрации и блокировки мошеннических средств обмена мгновенными сообщениями на предприятии.

HTTP-фильтр ISA Server 2006

Как можно использовать ISA Server 2006 для ограничения доступа к обмену мгновенными сообщениями? Брандмауэр в ISA Server 2006 имеет возможности фильтрации HTTP, которые можно использовать для этой цели. Фильтр HTTP может проверять заголовки запросов и ответов HTTP и изменять их.

По умолчанию HTTP-фильтр ISA Server 2006 пропускает только допустимые RFC-совместимые пакеты. Однако фильтр HTTP также можно настроить, что позволяет настроить его для блокировки или ограничения трафика на основе различных аспектов пакетов, включая:

• 
  
  HTTP-методы разрешены
  
  
• 
  
  Заголовки запросов разрешены
  
  
• 
  
  Заголовки ответов разрешены
  
  
• 
  
  Конкретные подписи контента
  
  
• 
  
  Расширения файлов

Ограничение обмена мгновенными сообщениями

Запретить пользователям доступ к службам обмена мгновенными сообщениями сложнее, чем кажется. Блокировка портов, используемых службой, неэффективна, поскольку большинство клиентов обмена мгновенными сообщениями автоматически настраиваются на поиск других открытых портов, если порт по умолчанию недоступен. Фактически, клиентские приложения для обмена мгновенными сообщениями часто используют общие порты, такие как порт 80 (HTTP) или порт 21 (FTP), которые, вероятно, будут открыты практически в любом брандмауэре.

Блокировка трафика обмена мгновенными сообщениями путем фильтрации портов не сработает. Следующей линией защиты будет более надежный брандмауэр, способный выполнять анализ пакетов. Трафик обмена мгновенными сообщениями отличается от стандартного трафика HTTP, и брандмауэр, который проверяет пакеты, сможет пропускать трафик HTTP, отклоняя пакеты обмена мгновенными сообщениями… или так гласит теория. Клиенты обмена мгновенными сообщениями эволюционировали, чтобы иметь возможность избежать обнаружения, встраивая трафик сообщений в HTTP-запрос.

Для некоторых клиентов обмена мгновенными сообщениями встраивание трафика в HTTP-запросы выполняется только тогда, когда данные проходят через прокси-сервер. Клиентские приложения, как правило, могут автоматически перенастраивать маршрутизацию через прокси-сервер, если прямой доступ к службе обмена мгновенными сообщениями недоступен. Блокировка адреса прокси-сервера не является жизнеспособным решением, поскольку доступно множество бесплатных прокси-серверов. Процесс постоянного добавления прокси-серверов был бы головной болью администратора, а список заблокированных адресов быстро стал бы громоздким.

Изменение заголовка HTTP по умолчанию

Что тогда делать администратору? Итак, в ISA Server 2006 фильтр HTTP можно использовать для управления содержимым заголовка HTTP Via. Заголовок Via используется для предотвращения зацикливания запросов, определения возможностей протокола устройств на маршруте связи и для отслеживания пересылки сообщений. Прокси-серверы требуют, чтобы заголовок HTTP Via мог правильно направлять входящий и исходящий трафик между клиентом и прокси.

Заголовок по умолчанию для ISA Server 2006 должен отправлять имя хоста брандмауэра ISA, который обрабатывает запрос. Независимо от любых попыток фильтровать или ограничивать трафик обмена мгновенными сообщениями, имя хоста ISA Server следует рассматривать как конфиденциальную информацию. Передовой опыт предполагает изменение имени по умолчанию на более двусмысленное, которое злоумышленник не может использовать для получения информации, которая может позволить ему скомпрометировать сервер. Выполните следующие действия, чтобы изменить заголовок HTTP по умолчанию для каждого правила доступа, которое включает HTTP в качестве определенного протокола:

1. Щелкните правой кнопкой мыши каждое правило доступа.
   
2. Выберите «Настроить HTTP».
   
3. Нажмите на вкладку Заголовки
   
4. Выберите Изменить заголовок в запросе и ответе
   
5. Перейдите в поле Изменить на:
   
6. Введите что-то неоднозначное

Выберите то, что не выдает имя хоста сервера, операционную систему или платформу сервера. Другими словами, вы также не хотите, чтобы в заголовке по умолчанию использовалась информация «ISA Server». Есть и другие способы, с помощью которых опытный злоумышленник сможет определить, что брандмауэр является ISA-сервером, но вы не хотите предоставлять информацию менее опытным злоумышленникам, использующим скрипты.

Если у вас есть несколько серверов ISA Server 2006, управляющих исходящим сетевым трафиком, вы можете захотеть назначить каждому уникальное имя, оставаясь неоднозначным. Например, вы можете установить HTTP-заголовок по умолчанию на Proxy1, Proxy2 и т. д. Вы поняли идею.

Фильтрация трафика мгновенных сообщений с помощью ISA Server 2006

Изменение информации по умолчанию для заголовка HTTP Via может предотвратить попытки клиентов обмена мгновенными сообщениями использовать прокси-серверы для обхода блокировки адресов, но это не остановит трафик обмена мгновенными сообщениями полностью. Пользователи и клиенты обмена мгновенными сообщениями продолжают разрабатывать новые методы обхода средств контроля безопасности.

Чтобы отфильтровать или заблокировать более умные методы обмена мгновенными сообщениями, вы должны использовать анализатор протоколов, такой как Wireshark, для мониторинга сетевого трафика. Анализатор протокола предоставит подробную информацию о пакете за пакетом, что позволит вам определить запросы, методы и другие аспекты трафика обмена мгновенными сообщениями, чтобы вы могли настроить HTTP-фильтр ISA Server 2006.

Вы можете настроить ISA Server 2006 для фильтрации методов, расширений файлов, подписей содержимого или других аспектов сетевого трафика, которые вы хотите заблокировать в каждом конкретном случае. Другим подходом может быть выбор методов и других критериев, которые вы хотите разрешить, и настройка фильтра HTTP для приема только тех пакетов, которые соответствуют авторизованным критериям. Независимо от того, блокируете ли вы то, что вам не нужно, или выбираете то, что хотите, и блокируете все остальное, HTTP-фильтр ISA Server 2006 является мощным инструментом, позволяющим установить очень подробный контроль над трафиком, проходящим в сеть или выходящим из нее..

Рисунок 1. ISA Server 2006 предоставляет комплексные возможности фильтрации HTTP-трафика .

Использование сторонних инструментов для мониторинга и фильтрации трафика

Вы можете заблокировать или ограничить доступ к мгновенным сообщениям, используя методы, перечисленные выше. Весь процесс похож на игру в кошки-мышки, чтобы быть на шаг впереди. Мониторинг сетевого трафика и проверка пакетов — это бремя, на которое у большинства администраторов нет времени на регулярной основе.

Другим подходом может быть использование стороннего приложения для ISA Server, такого как GFI WebMonitor, стороннего инструмента, который автоматизирует многие шаги, которые требуют внимания администратора для выполнения вручную. Это также означает, что вместо того, чтобы тратить время на мониторинг трафика и разработку правил для фильтрации определенного трафика, вы можете положиться на поставщика приложения, который будет следить за текущими рисками и угрозами, а также разрабатывать сигнатуры и элементы управления.

GFI WebMonitor для ISA Server для ISA Server выходит за рамки простого мониторинга веб-трафика или блокировки обмена мгновенными сообщениями, а также предоставляет инструменты для ограничения использования Интернета для каждого пользователя путем ограничения разрешенной полосы пропускания или установления временных ограничений. Он также обеспечивает дополнительную безопасность в виде средств защиты от фишинга и вредоносных программ.

Независимо от того, решите ли вы положиться на надежные возможности HTTP-фильтра ISA Server 2006 для блокировки доступа к службам обмена мгновенными сообщениями или внедрить стороннее приложение, такое как GFI WebMonitor, важно иметь возможность устанавливать и применять политики безопасности для вашей сети. и иметь возможность ограничивать или блокировать трафик, который может быть вредным или нарушать требования соответствия.