Miesiąc: maj 2021

Specjaliści ds. Bezpieczeństwa ogólnie zachęcają do stosowania szyfrowania, ponieważ chroni ono poufne informacje podczas przesyłania przez sieć. Jednak gdy użytkownicy szyfrują dane w celu ukrycia transakcji, które naruszają zasady organizacji, z punktu widzenia organizacji szyfrowanie może stać się zobowiązaniem, a nie zasobem. W sesji encryptedWeb korzystającej z protokołu HTTPS (czyli HTTP przez SSL) zawartość sesji jest szyfrowana, a tym samym niedostępna do monitorowania lub filtrowania na podstawie adresu URL lub zawartości danych. Jednak źródłowe i docelowe adresy IP sesji, które są widoczne dla protokołu TCP podczas konfigurowania sesji, pozostają widoczne w sieci. Jest to konieczne, aby routery mogły pobierać zaszyfrowane pakiety danych z jednego końca transakcji na drugi. W związku z tym, chociaż sesja HTTPS jest odporna na filtrowanie według dopasowywania tekstu adresu URL lub filtrowania opartego na treści, blokowanie serwera docelowego jest nadal skuteczne.

Jak wspomniano w poprzedniej sekcji, technologie VPN stanowią kolejne zastosowanie szyfrowania do ochrony treści transakcji. Ponownie, chociaż VPN szyfruje zawartość transakcji, adresy IP punktów końcowych muszą pozostać widoczne, aby móc przetransportować dane do miejsca przeznaczenia. Inna bardziej skomplikowana wersja szyfrowania, zwana steganografią, w rzeczywistości osadza dane w innych informacjach, aby uniknąć wykrycia. Na przykład użytkownik może osadzić wiadomość tekstową w informacjach używanych do kodowania obrazu

Bardziej problematyczną taktyką, ponieważ opiera się na zachowaniu aplikacji, a nie na osłabianiu zabezpieczeń warstwy sieci, jest tunelowanie protokołów lub aplikacji. Aplikacja może hermetyzować informacje dowolnej innej aplikacji jako pakiet danych ogólnych i wysyłać je przez sieć. Klienci wirtualnej sieci prywatnej (VPN) używają tego podejścia do przesyłania ruchu przez zaszyfrowany tunel. Tunelowanie protokołów (czasami nazywane dynamicznym tunelowaniem aplikacji) polega na aplikacjach, które wysyłają dane na powszechnie dozwolonych portach. Na przykład, użytkownik może tunelować sesję sieci Web przez aplikację Secure Shell (SSH), która używa portu TCP 22. SSH często jest dozwolone przez zapory ogniowe, a ponieważ używa zarówno uwierzytelniania, jak i szyfrowania, może być trudno monitorować różnicę między legalna sesja SSH i ukryty tunel. W tym przykładzie przeglądarka internetowa wysyła żądanie strony HTTP na porcie TCP 80, a inna aplikacja działająca w systemie klienta przechwytuje i przekierowuje żądanie portu 80 do tunelu zaszyfrowanego przez SSH. Drugi koniec tunelu SSH może być serwerem docelowym lub serwerem proxy gdzieś między klientem a serwerem. Aplikacja kliencka (w tym przypadku przeglądarka internetowa) nie jest świadoma przekierowania ruchu i nie wymaga zmiany konfiguracji. Jest to podobne do podejścia stosowanego przez tradycyjne VPN. Ostateczna forma tunelowania protokołów znalazła ograniczone zastosowanie, ponieważ protokół IPv6 stał się szerzej dostępny. Wciąż w powijakach jako protokół obejmujący cały Internet, niemniej jednak jest dostępny w niektórych częściach świata, a brokerzy tuneli oferują połączenia tunelujące ruch IPv6 w sieci szkieletowej IPv4. Może to stać się problematyczne, jeśli strona główna lub witryna sądzi, że filtruje żądania wychodzące, ale szuka tylko zawartości w pakietach IPv4. Tunelowanie aplikacji (nazywane również tunelowaniem aplikacji statycznej) wymaga ponownej konfiguracji aplikacji klienckiej w celu przekierowania żądań przez inny port na komputerze klienckim. Zwykle użytkownik przedefiniowuje adres docelowy aplikacji na adres hosta lokalnego (w zakresie 127.0.0.x, odnosząc się do urządzenia lokalnego), a następnie aplikacja ustanawia połączenie z tego portu lokalnego do miejsca docelowego na dozwolonym port sieciowy. Takie podejście wymaga zmiany konfiguracji aplikacji klienckiej. Niektóre produkty VPN Secure Sockets Layer (SSL) wykorzystują to podejście do tunelowania jednego lub więcej protokołów lub całego ruchu przez zaszyfrowany tunel HTTP. Tunelowanie za pośrednictwem protokołu lub aplikacji zazwyczaj wymaga dostępu w celu skonfigurowania istniejących ustawień aplikacji lub zainstalowania dodatkowego oprogramowania. Dlatego tunelowanie jest niedostępne dla użytkowników w organizacjach, które dają użytkownikom końcowym ograniczoną kontrolę nad swoimi komputerami. Tunelowanie jest większym problemem dla rodziców, których zręczne technicznie dzieci mogą instalować aplikacje tunelujące, aby obejść kontrolę rodzicielską.

W organizacji, która przeprowadza filtrowanie sieci Web na serwerze proxy, graniczna zapora sieciowa organizacji musi zezwalać na wychodzące żądania HTTP z adresu IP tego serwera proxy. Użytkownik, który może skonfigurować ruch tak, aby wyglądał tak, jakby pochodził z adresu IP serwera proxy, może być w stanie przechodzić przez zaporę sieciową bez faktycznego przechodzenia przez serwer proxy. Ta taktyka, znana jako fałszowanie adresów, wykorzystuje luźne zasady routingu na routerach, które przekazują cały nieznany ruch do bram domyślnych bez sprawdzania, czy ruch ten pochodzi z kierunku zgodnego z podanym adresem źródłowym. Wadą podszywania się, z punktu widzenia atakującego, jest to, że duża organizacja z dużym ruchem sieciowym przechodzącym przez sieć zauważy tymczasową niedostępność serwera proxy spowodowaną przez podszywanie się. Organizacja może przeciwdziałać fałszowaniu, konfigurując routery wewnętrzne tak, aby sprawdzały swoje tablice routingu, aby sprawdzić, czy adres pakietu przychodzącego do interfejsu jest zgodny z sieciami dostępnymi przez ten interfejs. Router odrzuca pakiety, których adresy źródłowe są niezgodne z ich rzeczywistym źródłem. Ta taktyka, zwana filtrowaniem odwrotnej ścieżki, wymaga bardziej wydajnego (i droższego) routera, więc zazwyczaj nie jest dostępna dla użytkownika domowego próbującego skonfigurować ochronę sieciową dla kontroli rodzicielskiej.

Żaden schemat zabezpieczeń, zarówno fizyczny, jak i logiczny, nie jest całkowicie wolny od luk, a filtrowanie sieci z pewnością nie jest wyjątkiem od tej reguły. Użytkownicy, którzy chcą uzyskać dostęp do zablokowanych treści, mają do dyspozycji różne taktyki, chociaż rozwiązania różnią się pod względem łatwości użycia. Spoofing IP, tunelowanie protokołów i niektóre formy szyfrowania nie są trywialnymi praktykami, a zatem są narzędziami technicznie biegłych użytkowników w stosunkowo niewielkiej liczbie. Jednak inne technologie, takie jak anonimowe serwery proxy, witryny tłumaczeniowe i usługi pamięci podręcznej, są łatwym sposobem na pokonanie filtrowania przez przeciętnego użytkownika. Dostawcy filtrów internetowych nieustannie dążą do zwiększenia skuteczności swoich produktów, a zwolennicy ochrony prywatności i wolności słowa wspierają ciągłe wysiłki mające na celu pokonanie tego, co nazywają oprogramowaniem cenzurujący

Chociaż filtrowanie sieci Web oparte na kliencie nie jest powszechne w dużych organizacjach ze względu na koszty i zarządzanie takimi usługami na dużą skalę, produkty umożliwiające rodzicom blokowanie treści dla ich dzieci w domu stały się wielkim biznesem. Wielu dużych dostawców usług internetowych, takich jak AOL i MSN, oferuje narzędzia do blokowania treści przez rodziców jako bezpłatną funkcję swoich usług. Inne firmy sprzedają samodzielne produkty, które można zainstalować na komputerze domowym, z zabezpieczonym hasłem rodzicielskim dostępem administracyjnym do funkcji blokowania treści. Net Nanny, CYBERsitter i CyberPatrol to jedne z bardziej popularnych ofert. Te produkty zwykle znajdują się na pojedynczych komputerach, a nie na urządzeniu sieciowym, chociaż jeśli komputer domowy jest skonfigurowany jako koncentrator łączności sieciowej (na przykład w przypadku udostępniania połączenia internetowego firmy Microsoft), elementy sterujące mogą filtrować ruch w taki sam sposób, jak organizacyjny serwer proxy. Wiele z tych produktów filtruje również inny ruch, w tym pocztę e-mail, udostępnianie plików peer-to-peer i komunikatory internetowe, a także oferuje filtrowanie w językach obcych, blokowanie adresów docelowych i reguły dostępu według pory dnia.

Zadaniem zapory jest analizowanie informacji o ruchu przez nią przechodzącym i stosowanie reguł opartych na tych informacjach. Utrzymanie akceptowalnego czasu reakcji i przepustowości wymaga, aby zapora działała szybko i skutecznie. W tym celu większość zapór sprawdza jedynie informacje warstwy sieci, takie jak adresy źródłowe i docelowe oraz porty. Niedawno dostawcy zapór ogniowych dodawali więcej funkcji w celu zwiększenia bezpieczeństwa i atrakcyjności produktu. Wiele firm nazywa obecnie swoje bardziej zaawansowane zapory „bramami usługowymi” lub „bramami bezpieczeństwa”, ponieważ pojęcie Unified Threat Management (UTM) staje się coraz bardziej popularne. Te urządzenia UTM łączą wiele funkcji, które wcześniej wymagały pojedynczych urządzeń, takich jak oprogramowanie antywirusowe, wykrywanie włamań i filtrowanie zarówno wiadomości-śmieci, jak i treści internetowych. Zaawansowane badanie ruchu zwiększa zapotrzebowanie na sprzęt firewall. Aby zmniejszyć spadek wydajności spowodowany zwiększoną inspekcją pakietów, wiele zapór umożliwia administratorowi zdefiniowanie określonych reguł lub protokołów do zaawansowanego sprawdzania. Na przykład, ponieważ wirusy są najbardziej rozpowszechnione w połączeniach e-mail, sieci Web i peer-to-peer, administrator zapory może potrzebować skonfigurować tylko kontrolę antywirusową na regułach mających zastosowanie do tych protokołów. Podobnie, jeśli firewall musi monitorować tylko wychodzące żądania HTTP z jednego adresu IP, serwera proxy sieci Web, dodatkowe obciążenie funkcji monitorowania może być ograniczone do tego profilu ruchu. Decyzja między filtrowaniem ruchu internetowego na serwerze proxy (zezwolenie firewallowi po prostu na przepuszczanie ruchu z tego adresu) a filtrowaniem ruchu internetowego na firewallu (posiadanie firewalla do inspekcji adresu URL) zależy od ilości ruchu internetowego i budżetu (jedno urządzenie lub dwa). Decyzja wpływa również na siłę twierdzenia, że ​​organizacja skutecznie filtruje treści budzące zastrzeżenia. Jeśli graniczna zapora sieciowa organizacji przeprowadza filtrowanie, to jest to zależne od tego, czy zapora sieciowa jest jedynym sposobem, w jaki ruch opuszcza sieć organizacji. W grę mogą wchodzić inne wektory ruchu, w tym sieci bezprzewodowe, tunelowanie protokołów i anonimowe serwery proxy. Jeśli organizacja polega na komputerach klienckich do korzystania z serwera proxy sieci Web według zasad, należy również wziąć pod uwagę stopień, w jakim użytkownicy mogą obchodzić tę zasadę.

Serwer proxy to urządzenie, które akceptuje żądanie z komputera klienckiego, a następnie przekierowuje je do ostatecznego miejsca docelowego. Serwery proxy służą organizacji do różnych celów, w tym do redukcji ruchu przez drogie łącza sieci rozległej i połączeń internetowych, zwiększonej wydajności dzięki buforowaniu często odwiedzanych stron internetowych oraz ochronie użytkowników wewnętrznych poprzez ukrywanie ich rzeczywistych adresów IP przed docelowymi serwerami sieci Web . Serwery proxy stanowią również naturalne miejsce kontroli dla organizacji, umożliwiając uwierzytelnianie i śledzenie żądań sieci Web, które przechodzą przez to pojedyncze urządzenie. Większość przeglądarek obsługuje ręczną konfigurację serwera proxy dla całego ruchu internetowego, a także automatyczne wykrywanie serwerów proxy działających w sieci organizacji. Organizacje korzystające z serwerów proxy sieci Web zazwyczaj zezwalają na wychodzący ruch sieciowy tylko z adresu IP serwera proxy, zmuszając cały ruch HTTP do korzystania z serwera proxy. Korzystanie z zaszyfrowanej sesji internetowej (HTTPS) jest możliwe za pośrednictwem serwera proxy, chociaż albo kosztem możliwości monitorowania treści (jeśli proxy tylko przepuszcza ruch), albo kosztem kompleksowej prywatności zaszyfrowane łącze (jeśli proxy odszyfrowuje i ponownie szyfruje sesję). Osoby fizyczne używają również serwerów proxy, aby zachować prywatność swoich działań w sieci, jak opisano w sekcji 31.7.4. W związku z tym, oprócz pełnienia funkcji naturalnego nośnika dla aplikacji filtrujących zawartość, serwery proxy stanowią również poważne zagrożenie dla tych samych aplikacji

Filtrowanie ruchu internetowego zazwyczaj odbywa się w wąskim punkcie sieci, takim jak zapora lub serwer proxy sieci Web, albo na indywidualnym komputerze klienckim. Korzyści skali skłaniają organizacje do filtrowania na urządzeniach sieciowych, podczas gdy produkty zaprojektowane do kontroli rodzicielskiej korzystania z Internetu przez dzieci zwykle znajdują się na indywidualnych komputerach domowych.

Przy ogromnym rozmiarze sieci Web bardziej typowym podejściem jest użycie listy blokowanych stron trzecich. Większość z nich to produkty komercyjne z zastrzeżonymi bazami danych, opracowane przez połączenie zautomatyzowanych „robotów internetowych” i personelu technicznego oceniającego witryny internetowe. Niektóre firmy próbowały uniemożliwić naukowcom próbę poznania list blokujących i strategii, ale Urząd Praw Autorskich Stanów Zjednoczonych przyznał w 2003 r. Zwolnienie z ustawy Digital Millennium Copyright Act (DMCA) w celu dozwolonego użytku przez naukowców badających te listy. Istnieją również dwie alternatywy filtrowania typu open source, z publicznie wyświetlanymi (i konfigurowalnymi) listami bloków, które działają na buforujących serwerach proxy: SquidGuard15 i DansGuardian.

Z wyjątkiem dopasowywania na podstawie treści, które jeszcze nie dotarło na rynek w żaden znaczący sposób, większość filtrów – czy to adresów, domen czy słów kluczowych – obejmuje dopasowywanie list tekstowych.

Ręczne listy „złych adresów URL”

Wiele zapór zapewnia administratorom możliwość blokowania poszczególnych adresów URL w konfiguracji zapory. Wprowadzane ręcznie reguły te nadają się do jednorazowego blokowania, gdy alert zabezpieczeń lub dochodzenie zidentyfikuje witryny zawierające wirusy lub inne złośliwe oprogramowanie. Podejście to jest również przydatne do demonstrowania ogólnych możliwości filtrowania zapory oraz do testowania innych technologii Webblocking. Na przykład w organizacji korzystającej z komercyjnego rozwiązania blokującego na serwerze proxy sieci Web prosta reguła blokowania adresów URL na granicznym firewallu organizacji zapewniłaby łatwe wyrywkowe testowanie skuteczności komercyjnego rozwiązania. Biorąc jednak pod uwagę ekstremalne rozmiary i ciągły rozwój sieci, ręczne podejście nie jest dobrze skalowane, aby chronić przed wszystkimi możliwymi źródłami niepożądanego materiału.