Данная статья посвящена URL-фильтрации и одному из возможных решений, реализующих URL-фильтрацию.
Введение.
Данная статья посвящена URL-фильтрации и одному из возможных решений, реализующих URL-фильтрацию.
А зачем нам что-либо фильтровать? Ведь траффик с каждым днём становиться дешевле, а скорости передачи информации всё быстрее.
Да, и Вы правы. Однако, посмотрите на воприс фильтрации немног под другим углом. Сколько рабочего времени Вы тратите на посещение ресурсрв, не имеющих отношения к Вашей работе? У многих пользователей рабочий день начинается с посещения сайтов однокласники, вконтакте, mail.ru и ему подобных. Так сколько рабочего времени Вы и Ваши сотруднки тратите на посещение ненужных, с точки зрения работодателя, ресурсов. А ведь это время Вам оплачивается (представляеете, Вам платят за то, что Вы “сидите” на сайте однокласники). На текущий момент, URL-фильтрация призвана не минимизировать расходы на трафик (хотя не так давно она использовалась именно для этого), а сократить время простаивания сотрудника (когда он посещает, например, развлекательные ресурсы). Так же необходимо иметь отчётность о посещении сотрудниками различных интернет-ресурсов.
Общее описание.
Одним из продуктов, представленном на российском рынке, реализующем URL-фильтрацию является решение компании Websense – Web Security Suit. Не буду проводить сравнения с другими продуктами, из дальнейшего описания Вы сами определите подходит Вам данное решение или нет.
Описываемый продукт основан на “базе категорий”, которая заполняется разработчиком системы. База категорий представляет из себя двухуровневый список, состоящий из категорий и подкатегорий, в которых содержаться записи об Inrernet-ресурсах. Данная база постоянно пополняется. В компании разаботчике существует отдел, отвечающий за рускоязычную часть сети Internet, и как показывает практика, практически все рускоязычные Internet ресурсы занесены в базу и категоризированы. На данный момент в базе содержиться более 25 миллионов Internet ресурсов, которые разьиты на более чем 90 категорий. Такое большое количество категорий позволяет довольно гибко настраивать правила для фильтрации.
Следующей особенностью продукта является настройка действий доступных для фильтруемых категорий. В большинстве продуктов можно только разрешить или запретить посещение Internet ресурса. Websense WSS позволяет также выдать предупреждение о нежелательности посещения ресурса и предоставить пользователб выбор, продолжить просмотр или нет, так же Websense WSS позволяет ограничить посещение определённых ресурсов по времени – квотирование. Данные возможности добавляют гибкости в настройках фильтрации.
Глобольно, продукт Web Security Suit состоит из 2-х частей: часть отвечающая за фильтрацию и часть отвечающая за отчётность. Каждая часть состоит из нескольких сервисов, которые будут описаны далее.
Установка.
Установка описываемого продукта относительно проста. Для ознакомления, давайте скачаем данный продукт с сайта разработчика www.websense.com. Установщик представляет из себя exe файл, который является архивом.
Установку будем производить на Windows Server 2003 SP2. Перед началом установки Websense Web Security Suit необходимо установить Internet Information Services 6.0 (или выше) с компонентом ASP.NET, и установить .Net Framework 2.0 (или выше). В консоли управления IIS в свойствах сайта на вкладке ASP.NET необходимо убедиться, что параметр ASP.NET version установлен в 2.x. Теперь можно приступать к установке.
Давайте запустим скачанный файл, нажимаем кнопку Extract, дождёмся пока все установочные файлы распакуются, после чего запуститься консоль установщика. В первом окне читаем благодарность за то, что мы выбрали продукт компании Websense и нажимаем Next. Внимательно читаем лицензионное соглашение и если нет никаких претензий, то идём дальше, однако, если Вы с чем-то не согласны, то немедленно прервите установку данного продукта. В окне Product Selection выбираем пункт Web Security Suit и нажимаем кнопку Next. В следующем окне нам сообщают, что выбранный нами продукт состоит из двух компонентов, и эти компоненты обязательно должны быть установлены именно в таком порядке как они перечислены:
- Web Security Suite components – основные сервисы отвечающие за фильтрацию;
- Web Security Suite Reporting components – сервисы отвечающие за отчётность;
Запоминает это (или записываем) и нажимаем Next.
Далее нам предлагают выбрать какой из двух компонентов мы хотим установить. Так как это первая установка то сначала мы будем устанавливать Web Security Suite components – компонент отвечающий за фильтрацию, для это выбираем верхний пункт, и нажимаем кнопку Next. В следующем окне нам предлагают выбрать варианты установки: автоматическую(Typical) или ручную(Custom). Мы выбираем второй вариант – ручную установку, для этого выбираем пункт Custom и нажимаем кнопку Next. В следующем окне мы видим список каких-то непонятных сервисов, которые нам предлагается выбрать для установки. Давайте поподробнее остановимся на этих сервисах:
№ |
Название сервиса (компонента) |
Краткое описание |
1 | Websense Manager | Консоль управления сервером Websense |
2 | Policy Server | Хранилище политик фильтрации |
3 | User Service | Компонент, отвечающий за интеграцию с сервисами каталогов |
4 | Filtering Service | Компонент, отвечающий за фильтрацию и протоколирование посещений пользователей |
5 | Network Agent | Просматривает и анализирует сетевой трафик |
6 | Filtering Plug-in | Компонент, позволяющий Websense обмениваться данными с другими продуктами (необходим при интеграции) |
7 | RADIUS Agent | Позволяет идентифицировать пользователей, при доступе при удалённых подключениях |
8 | eDirectory Agent | Позволяет идентифицировать пользователей в Novell eDirectory |
9 | Logon Agent | Позволяет идентифицировать пользователей, когда они выполняют вход в домен Windows |
10 | DC Agent | Позволяет идентифицировать пользователей в Windows Active Directory |
11 | Usage Monitor | Отслеживает Internet активности на предмет достижения предельных значений |
12 | Real-Time Analyzer | Отображение текущей активности через Web-браузер |
13 | Linking Service | Компонент, позволяющий интегрировать два продукта компании Websense – URL-фильтрацию и контроль утечек. |
14 | Remote Filtering Server | Позволяет осуществлять фильтрацию пользователей, находящихся во внешней сети |
15 | Remote Filtering Client Pack | Компонент, предназначенный для установки на клиентские машины, для организации фильтрации удалённых пользователей |
Теперь необходимо выбрать те сервисы, которые нам потребуются для функционирования системы, итак отмечаем галочками сервисы перечисленные ниже:
- Websense Manager;
- Policy Server;
- User Service;
- Filtering Service;
- Network Agent
- Logon Agent
- DC Agent
- Usage Monitor
- Real-Time Analyzer
Так как мы пока не будем интегрировать Web Security Suite в нашу инфраструктуру, то Network Agent устанавливаем на этот же компьютер. Далее мы более подробно рассмотрим варианты интеграции описываемого продукта в существующую инфраструктуру.
После того, как мы выбрали указанные компоненты нажимаем кнопку Next.
В окне Integration Option выбираем пункт Stand-alone и нажимаем Next . В случае интеграции с каким-либо продуктом нужно будет выбрать пункт Integrated, но это мы рассмотрим далее.
В следующем окне выбираем пункт I do not wish to use a key at this time (я не хочу вводить ключ подписки сейчас) и нажимаем Next. Тестовый ключ подписки мы запросим на сайте и введём его уже после окончания установки.
В окне IIS Virtual Directory Location указываем сайт, который будет использоваться для предоставления текущих данных через Real-Time Analyzer. По умолчанию можно оставить Default Web Site. Нажимаем кнопку Next.
Далее нам необходимо указать какие сетевые карты будет мониторить Network Agent. Если у Вас несколько сетевых карт, то выберите ту через которую Ваш компьютер подключён к сети Internet. Если у Вас только одна сетевая карта, то выберите её. Для продолжения нажмите кнопку Next.
В следующем окне выбираем пункт No, do not send information to Websense (не посылать информацию в websense об использовании Websense-defined протоколах). Далее нажимаем Next.
В окне Initial Filtering оставляем значения по умолчанию – Не фильтровать Internet трафик, а только мониторить и нажимаем Next. Фильтрацию мы настроим позднее.
В окне настройки DC Agents нас попросят ввести учётные данные пользователя домена, который обладает правами чтения данных из домена, или оставить эти поля пустыми. Этот агент необходим для интеграции Websense WSS с Active Directory. Так как сейчас мы такую интеграцию производить не будем, то оставим поля ввода имени пользователя и пароля пустыми и нажмём Next.
Далее укажем пусть установки программного продукта и перейдём далее. В окне Installation Summary проверим сделанные нами настройки, и нажимаем кнопку Next для запуска установки.
Теперь осталось только дождаться окончания установки и настройки устанавливаемых сервисов.
В окне Installation Complete нам сообщают что установка прошла успешно. Нажимаем Next. В последнем окне ставим галочку Start Websense Manager (запустить Websense Manager после завершения установки) и нажимаем Finish.
На этом установка завершена.
Для удобства работы, на свой рабочий компьютер можно установить компонент Websense Manager и управлять сервером Websense со своего компьютера.
Настройка Web Security Suite.
После установки, на рабочем столе появиться ярлык Websense Manager, запускаем его. Откроется консоль управления Websense Manager. Если Вы запускаете Websense Manager на сервер, то в левой части рабочей области уже будет IP адрес Вашего севера, однако если Вы запускаете Websense Manager со своей машины, то адрес сервера необходимо добавить. Для этого в левой части рабочей области нажимаем правую кнопку мыши и из контекстного меню выбираем пункт Add Policy Server (Добавить Сервер Политик). Появиться диалоговое окно в котором будет предложено ввести IP адрес сервера и порт (по умолчанию порт установлен в 55806, не стоит изменять этот порт). Вводите IP адрес и нажимаете Ok, после чего у Вас в левой части рабочей области появиться IP адрес сервера. Теперь мышкой выбираем IP адрес, затем нажимаем правую кнопку мыши и из контекстного меню выбираем пункт Log On to Server (или просто дважды щёлкаем мышкой по IP адресу сервера). При первом заходе на сервер Вас попросят ввести пароль. Вы должны дважды ввести пароль, который Вы ходите использовать в дальнейшем для доступа с данному серверу. После указания пароля, откроется окно настроек. В данном окне будут отображены настройки для получения и обновления базы категорий. Теперь пришло время запросить на сайте Websense тестовый ключ и скачать базу категорий.
Открываем сайт www.websense.com/evaluations и переходим по ссылке «FREE EVALUATION» напротив продукта Websense Web Security Suite. Далее нам предложат заполнить форму, обязательно указывайте правильный e-mail, на него Вам придёт триальный ключ. После заполнения формы нажимаете Submit и ждёте, когда Вам на почту придёт триальный ключ, обычно это занимает от 1 до 15 минут.
Получив триальный ключ, его необходимо скопировать в поле Subscription Key (ключ подписки) в окне настроек Websense и нажать кнопку Ok. После этого появиться окно загрузки базы категорий и начнётся скачивание (если скачивание базы не началось, убедись, что сервер имеет доступ в сеть Internet). На данном этапе из интернета будет скачана сжатая база категорий объёмом примерно 450 Мб, затем данная база будет разархивирована и загружена, после чего появиться сообщение об удачном окончании операции, для закрытия окна загрузки базы категорий нажимаем кнопку Close.
После выполнения всех описанных выше действий, окно консоли Websense Manager будет иметь вид:
Рисунок 1. Интерфейс Websense Manager.
Давайте выполним ещё ряд настроек. Для начала увеличим продолжительность сессии работы с Websense Manager – по умолчанию 30 минут, по истечении которых нам придётся по новой логиниться в консоль Websene. В основном меню (сверху под логотипом) выберем пункт Server->Settings. Откроется окно настроек сервера Websense. В левой части окна выберем пункт Session и справа напротив параметра Session Length (продолжительность сессии) из выпадающего списка выберем значение 4 Hours (4 часа). Нажимать кнопку Ok не надо.
В левой части окна раскроем пункт Network Agent, далее раскроем Global Settings. Там будет показан IP адрес Вашего сервера. Выбираем этот адрес и в правой части в разделе Proxy/Cache Machines необходимо добавить IP адреса всех существующих в Вашей сети Proxy и Cache серверов. В левой части разворачиваем пункт IP address и переходим на NIC-1 (их может быть несколько в зависимости от количества сетевых карт на сервере, определить нужную можно по IP адресу, который отображается в правой части в разделе Identification). В павой части в разделе Monitoring указываем будем ли мы просматривать трафик приходящий на данную сетевую карту, убеждаемся что переключатель стоит в положении Yes. Если мы хотим задать диапазон IP адресов, трафик от которых мы хотим просматривать или наоборот исключить просмотр трафика с определённых IP адресов, то данные настройки можно сделать, нажав кнопку Monitoring. По умолчанию при включённом режиме мониторинга просматривается трафик от всех IP адресов без исключения. Так же необходимо учитывать, что трафик физически должен приходить на сетевую карточку сервера, более подробно это будет рассмотрено далее. Самые необходимые настройки сделаны, для их сохранения нажимаем кнопку Ok.
Создании политики фильтрации.
Теперь необходимо создать политику фильтрации. Так как мы не интегрировали устанавливаемый продукт в инфраструктуру, то мониториться и блокироваться будет только трафик локальной машины. Различные варианты интеграции рассмотрим позднее.
В качестве клиентов, к которым может быть привязана политика фильтрации могут быть:
- Объекты LDAP – каталогов (например, объекты Active Directory)
- Устройства, имеющие уникальный IP адрес (например, компьютеры пользователей)
- Подсети IP адресов.
В рассматриваемом примере, клиентом будет наш сервер, который будет определяться по IP адресу. Для создания клиента в левой части окна Websense Manager щёлкаем правой кнопкой мыши и из контекстного меню выбираем пункт Add workstation (добавить компьютер), вводим IP адрес нашего сервера и нажимаем Ok.
Теперь необходимо создать Category Set (можно перевести как набор фильтров для категорий), в котором будет указано к каким категориям доступ разрешён/запрещён/ограничен квотой/выаёться предупреждение перед открытием. Для создания Category Set в левой части окна Websense Manager щёлкаем правой кнопкой мыши и из контекстного меню выбираем пункт Add Category Set, в появившемся диалоге вводим имя создаваемого Category Set и нажимаем Ok. Далее будет предложено создать новый Category Set на основе уже имеющегося, в этом окне выбираем Monitor Only и нажимаем Ok. Новый Category Set создан. Для редактирования Category Set, выбираем его в левой части Websense Manager и в правой части сверху нажимаем кнопку Edit.
Рисунок 2. Изменение Category Set
В открывшемся окне выбираем категорию и ниже определяем ниже определяем действие для выбранной категории:
- Permit (разрешить просмотр)
- Block (запретить просмотр)
- Limit By Quota (ограничить по временной квоте)
- Continue (выдать предупреждение перед просмотром)
После завершения настроек нажимаем Ok.
Аналогичным образом осуществляется создание и настройка Protocol Set (можно перевести как набор фильтров для протоколов).
Теперь можем создавать политику фильтрации. В левой части окна Websense Manager щёлкаем правой кнопкой мыши и из контекстного меню выбираем пункт Add Policy, вводим имя политики и указываем какую политик возьмём за основу (создадим политику на основе *Global, данная политика подразумевает только мониторинг трафика и не осуществляет блокировки). В левой части окна выбираем созданную политику, в правой части видим настройки данной политики: в верхней части указывается время действия политики (дни недели и время в течении дня), какой Category Set и Protocol Set использовать в данной политике. Давайте изменим текущие значения Category Set и Protocol Set для созданной политики. Для этого нажмём верхнюю кнопку Edit рядом с надписью Policy: MyPolicy:
Рисунок 3. Редактирование политики фильтрации.
Для изменения какой-либо настройки необходимо щёлкнуть на ней два раза мышкой. Для изменения значения Category Set нужно дважды щёлкнуть мышкой на Monitor Only и из выпадающего списка выбрать созданный нами CategorySet. Аналогичные действия необходимо проделать для изменения Protocol Set. В этом же окне можно поменять дни недели и время действия политики. После изменения настроек нажимаем Ok.
Ну и последнее что нужно сделать, это привязать политику к пользователю. Для этого в левой части в разделе Clients->Workstation выбираем IP адрес нашего сервера, нажимаем на него правой кнопкой мыши и из контекстного меню выбираем пункт Assign Policy. В появившемся окне выбираем созданную ними политику и нажимаем Ok.
Давайте проверим, что у нас всё работает. На сервере открываем web-браузер и заходим на страничку http://testdatabase.websense.com/ , на которой перечисленный все категории. Выберите категорию, которую Вы заблокировали, и попробуйте перейти по ссылке, Вы получите сообщение, что просмотр сайтов из данной категории заблокирован. URL-фильтрация работает, хотя пока только и на сервере.
Интеграция Websense Web Security Suite в инфраструктуру.
Добрались до самого интересного: Как встроить Websense Web Security Suite в инфраструктуру? Существует 3 основных способа интеграции Websense WSS:
- Через SPAN-port на сетевом коммутаторе;
- Интеграция через Plug-in
- В режиме Bridge
Самый распространённый вариант интеграции – это подключение через SPAN-порт. Для реализации данного варианте рекомендуется установить на сервере Websense Web Security Suite две сетевые карты: одну для мониторинга трафика, вторую для управления сервером. На сетевом устройстве, через которое проходит весь трафик между локальной сетью и сетью Internet, необходимо настроить дублирование трафика на сервер Websense WSS. В остальном установка и настройка не будет отличаться от описанного ранее.
Рисунок 4. Схема подключения через SPAN-порт.
Вариант интеграции через Plug-in рассмотрим на примере интеграции Websense Web Security Suite и Microsoft ISA Server 2004/2006. Первое, на что стоит обратить внимание – это что во время установки сервера не устанавливается сервис Network Agent. Далее во время установки, в окне Integration Option выбираем пункт Integrated и в следующем окне выбираем продукт, с которым хотим интегрировать Websense Web Security Suite (В рассматриваемом примере это Microsoft ISA Server). Далее установка сервера продолжиться без изменений. Теперь на сервере с установленным ПО ISA Server необходимо установить два сервиса: Network Agent и Filtering Plug-in (Процесс установки данных сервисов идентичен установке, описанной выше). Во время установки сервисов на ISA Server необходимо будет указать IP адрес сервера, на котором установлен сервер Websense Web Security Suite. После установки рекомендуется перезапустить сервисы ISA Server. Если у Вас ISA Server установлена в кластере, то сервисы Network Agent и Filtering Plug-in необходимо устанавливать на обе ноды кластера. Дальнейшая настройка сервера не будет отличаться от описанной выше. Описание других вариантов интеграции можно посмотреть на сайте разработчика.
Рисунок 5. Схема подключения через Plug-In
Третий вариант установки – установка в режиме Bridge. Для данного варианта установки потребуется 3 сетевых карты на сервере. Две из них необходимо объединить в режим моста (это делаеться средствами операционной системы Microsoft Windows). Третья сетевая карта будет использоваться для управления сервером. В данном варианте сервер Websense Web Security Suite устанавливаться между локальной сетью и Proxy-сервером. Установка и настройка сервера будет такой же как было описано выше.
Рисунок 6. Схема подключения в режиме Bridge.
Заключение.
Данная статья не претендует на полноту описания процесса установки и настройки продукта Websense Web Security Suit. Данная статья призвана ознакомить читателя с функционалом описываемого продукта, а так же показать простоту его установки, настройки и поддержки.
Постовой
One Comment