Одним из наиболее популярных социальных медиасервисов, с которым приходится сталкиваться и в корпоративных сетях, является Facebook. Если один из сотрудников открывает свою страницу в Facebook, то браузер сразу же устанавливает соединения с несколькими хостами и скачивает многочисленные объекты. В ходе тестирования, проведенного американской компанией Opus One, специализирующейся на консалтинге в области ИТ, было зафиксировано 19 соединений с 7 различными хостами, а также скачивание 50 объектов HTTP менее чем за 5 сек. Далее тесты показали, что четыре из этих соединений поддерживаются постоянно, то есть речь идет не о кратковременных подключениях. Вывод: брандмауэр, рассчитанный на 8 тыс. сеансов, достигнет предела своих возможностей, если в онлайн выйдут 2 тыс. пользователей Facebook, причем независимо от их активности на этом сайте.
Пример с Facebook наглядно демонстрирует, что контроль над использованием различных приложений в корпоративной сети необходим не только для регулирования пропускной способности, но и для обеспечения безопасности ИТ, сохранности данных, удержания на должном уровне продуктивности работы сотрудников, а также соблюдения нормативных и законодательных требований (Compliance). Для решения этих задач используемое решение должно распознавать все основные виды приложений на седьмом уровне модели OSI: деловые и личные, серверные и клиентские, для облаков и браузеров, социальные медиасервисы и приложения для одноранговых сетей (Peer-to-Peer, P2P).
Администрирование сети с помощью средств распознавания приложений предполагает, что сотрудники предприятия не склонны к правонарушениям. Если такие подозрения возникают, к примеру, в связи с возможностью промышленного шпионажа, то в таком случае потребуются иные методы анализа.
МЕТОДЫ РАСПОЗНАВАНИЯ ПРИЛОЖЕНИЙ
Сама по себе технология распознавания приложений не нова: главное нововведение заключается в том, что теперь она представлена не в виде самостоятельного решения, а интегрируется в брандмауэр (лучше всего, если это будет реализовано в ядре (см. Рисунок 1)), что дает брандмауэру нового поколения (Next Generation Firewall) два очевидных преимущества: во-первых, общий административный интерфейс и единый свод правил для традиционных функций брандмауэра, распознавания приложений, а также других сетевых и защитных функций — часто с доступом к службам каталогов для идентификации пользователей; во-вторых, сокращение возникающих задержек (Latency) благодаря обработке данных в режиме однократного прохода (Single Pass).
Рисунок 1. Распознавание приложений в качестве элемента ядра брандмауэра позволяет добиться высокой производительности и реализовать интеллектуальную маршрутизацию. |
Для идентификации приложений эти решения используют комбинацию из пяти различных подходов, описываемых ниже.
Распознавание портов и протоколов. В качестве основы для распознавания приложений изначально выступает традиционная для брандмауэров технология — идентификация используемых портов и протоколов. Разумеется, такой способ идентификации приложений имеет ограничения, если один протокол используется несколькими приложениями. К примеру, протоколы HTTP и HTTPS применяются для таких сервисов Web, как YouTube, службы мгновенного обмена сообщениями (Instant Messaging) и социальные сети. Некоторые приложения прибегают к туннелированию протоколов, а иные, в частности недавно приобретенный компанией Microsoft сервис Skype или одноранговая сеть для обмена файлами BitTorrent, пытаются избежать опознавания за счет смены портов (Port Hopping) и динамических IP-адресов.
Предотвращение вторжений (Intrusion Prevention) и фильтрация по шаблонам. Эти решения просматривают содержимое пакетов (Deep Packet Inspection) и сравнивают потоки данных с базой данных, содержащей определенные опознавательные признаки — аналогично тому, как это происходит в вирусных сканерах. Такой метод весьма эффективен для контроля порта 80 протокола HTTP. Тем не менее простую фильтрацию по шаблонам легко обойти, к примеру, с помощью шифрования или через удаленный доступ посредством протокола Remote Desktop Protocol (RDP).
Фильтрация URL. Для приложений Web, не рассчитанных на то, чтобы скрываться от администраторов и брандмауэров, фильтрация адресов URL является эффективным методом. Как и с фильтрацией по шаблонам, производители брандмауэров создают обширные базы данных, позволяющие распределять адреса URL по категориям, исходя из различных критериев. При этом потенциальный риск — лишь один из многих факторов, принимаемых во внимание. Во внимание принимаются также тип приложений (например, P2P или Voice over IP) и содержимое страниц Web, поэтому правила можно задавать не для каждого отдельного URL, а сразу для целых групп адресов. Например, фильтрация URL помогает существенно ограничить использование сервиса Facebook. Однако надо иметь в виду, что анонимные посредники (proxy) помогают обойти механизмы фильтрации URL.
Дешифрование. Брандмауэры нового поколения способны распознавать известные типы шифрования и идентифицировать поток данных таким же образом, как и в случае незашифрованных данных. После анализа система снова зашифровывает пакет данных и отправляет его дальше. Возможности этой технологии практически неограниченны, если не считать правовых вопросов: для осуществления контроля за трафиком SSL потребуется разрешение руководства компании. Если данные шифруются посредством нестандартных протоколов, то в качестве последней меры распознавания остаются эвристические методы.
Эвристика. Эвристические методы служат для распознавания таких приложений, как Skype или BitTorrent, а также прочих, маскирующих свой трафик с помощью посредников, шифрования, технологий маршрутизации или иных методов. На основе трафика данных можно сделать выводы о самом приложении или о его основных функциях, будь то передача аудио, видео или обмен файлами.
Кроме уже упомянутых методов, важными параметрами для анализа поведения приложений, используемых брандмауэрами нового поколения, являются:
- длина пакетов и ее вариации;
- распределение пакетов по времени (Packet-Timing);
- поведение потока данных, к примеру количество соединений;
- пропускная способность.
ВИЗУАЛИЗАЦИЯ И ПРАВИЛА
При таком многомерном подходе производители должны уделять значительное внимание исследованиям и технической поддержке своих решений. Применяемый теперь повсеместно метод Single Pass приводит лишь к незначительным задержкам: прохождение пакетов по сети замедляется не более чем на 10%. Доля распознанных приложений у ведущих производителей достигает 96–97%. Ошибочные результаты (False Positive) составляют лишь 0–1,5%. Следует напомнить, что эти цифры справедливы для среднестатистических пользователей, а не для опытных знатоков или профессиональных хакеров. Кроме того, администратору следует помнить, что, возможно, приложение установит соединение, прежде чем сработают механизмы распознавания. Это может выглядеть, к примеру, так: пользователю удастся запустить на конечном устройстве интерфейс Skype, однако воспользоваться коммуникационными функциями данного сервиса у него не получится.
Рисунок 2. Брандмауэр нового поколения компании Barracuda помогает визуально идентифицировать приложения и пользователей. |
Брандмауэры нового поколения с технологией распознавания приложений предоставляют новые возможности администрирования ИТ. Так, конвергентный брандмауэр обеспечивает наглядную визуализацию сетевого трафика с распределением по приложениям и пользователям (см. Рисунок 2). Администраторы могут устанавливать гибкие детализированные правила в зависимости от идентификаторов пользователей (User ID), их принадлежности к различным группам, заданных директив об использовании приложений, местоположения, типа конечного устройства, времени или доступной пропускной способности (см. Рисунок 3). При необходимости вводится многоступенчатая регулировка доступа к приложениям: помимо разрешения использования и полной блокировки можно ограничить выделяемую приложению ширину канала, повысить или понизить приоритет того или иного приложения, а также предоставить пользователям возможность выбора между осознанным игнорированием рекомендации отказаться от подключения к приложению (Override) и уведомлением администратора. В корпоративных решениях такие правила могут внедряться во всех филиалах — даже при децентрализованном доступе в Интернет. Тогда один администратор вполне сможет управляться с 20 или даже 50 точками. Однако получение столь высокого уровня контроля над сетью может побудить администратора вернуться к прежним предубеждениям, уже не соответствующим текущим потребностям пользователей. К примеру, технология P2P дискредитировала себя потому, что с ее помощью осуществляется незаконный обмен файлами. По оценкам специалистов, клиенты BitTorrent установлены более чем на половине всех предприятий, а технология P2P расходует примерно одну десятую часть общей пропускной способности корпоративных сетей.
Однако в некоторых областях, к примеру в среде программистов или ученых, встречаются очень серьезные и надежные приложения P2P, важные для обеспечения эффективной работы сотрудников и успешного выполнения проектов.
На многих предприятиях, в особенности крупных, нет никакой централизованной инстанции, которая могла бы точно указать, какими приложениями может пользоваться тот или иной сотрудник, и какие из них крайне необходимы для рабочих процессов. Ответственное и ограниченное использование социальных медиасервисов и личных Web-страниц сегодня представляется желательным, если не идеальным. Один администратор однажды выразился по этому поводу так: «Как только я захочу лишиться своей работы, я начну блокировать все приложения подряд». На помощь приходят новые возможности технологий распознавания приложений, прежде всего для точного наблюдения и оптимизации сетевого трафика. Внедрение правил такого рода осуществляется примерно так:
- доступ к порталам с вакансиями предоставляется только кадровому отделу;
- доступ в Интернет с личными целями возможен вне основного рабочего времени или во время обеденного перерыва;
- отделы сбыта и маркетинга получают неограниченный доступ к Facebook и другим социальным сетям.
Если существуют четкие внутрикорпоративные директивы, к примеру запрет на использование Skype, то наиболее успешный вариант их реализации — не полная блокировка приложения, а ограничение его ресурсов. Когда таким коммуникационным приложениям выделяется не более 10 Кбит/с, они становятся невыносимо медленными и фактически пользователь сам отказывается от этого сервиса. Кроме того, администраторам следует уделять значительное внимание высокой доступности приложений, имеющих критическую важность для предприятий, к примеру систем ERP. Таким приложениям необходимо предоставить высокий приоритет, а при необходимости сразу перевести на более быстрые и надежные типы соединений.
Клаус Гэри — вице-президент по управлению продуктами в европейском отделении компании Barracuda Networks.