{Бинарный} Форпост | Блог Артёма Синицына

В прошлый раз, рассказывая о новых функциях недавно вышедшего Forefront TMG Beta 3, я упоминал об URL Filtering в свете самого фундаментального нововведения. Причин тому есть сразу несколько, но обо всём по порядку.

Предыстория

Любой администратор, отвечающий за предоставление доступа компании к ресурсам сети Интернет, рано или поздно сталкивается с необходимостью этот самый доступ ограничить, как бы парадоксально это ни звучало.

Полагаю, большинство российских администраторов ISA Server хотя бы раз создавало на самой вершине политики брандмауэра запрещающее правило доступа к таким полезным ресурсам, как odnoklassniki.ru, vkontakte.ru  и иже с ними.

Да, ISA Server позволяет контролировать доступ к ресурсам сети Интернет за счёт запрещающих правил политики брандмауэра (Firewall Policy), наборов URL-адресов (URL Set), наборов доменных имен (Domain Name Set), гибких настоек HTTP-фильтра на уровне приложений и так далее. Проблема в том, что делать это всё приходиться ручками. А так как сеть Интернет динамична по своей природе, созданный вчера набор адресов всех социальных сетей и сайтов знакомств сегодня уже не актуален. Вот и приходиться администратору день за днём разгребать файлы журналов, выуживать из них адреса и сетевые имена и добавлять их в запрещающее правило. А завтра снова в бой, покой нам только снится…

Ну, конечно, не всё ещё прогнило в датском королевстве. Сообщество делится предварительно созданными наборами доменных имен и URL-адресов для ISA Server, разбитых на типовые категории. Правда, многих администраторов, воспользовавшихся данными наборами (служб категоризации на дому), тут же настигает ошеломляющее открытие – сайт Яндекс почему-то оказывается в категории “Детская порнография” и финансовый директор не может получить к нему доступ (что, согласитесь, естественно), а вот сервис, подобный LovePlanet, – в разделе “Finance”, от чего офис-менеджер Люда может посвятить весь рабочий день общению с иностранными гуру фондовых рынков =)

Ситуацию спасают только специализированные службы, занимающиеся анализом и категоризацией всех этих мириад “полезных” ресурсов на просторах всемирной сети. До недавнего времени в ISA Server реализовать подобный функционал можно было исключительно за счет приобретения и установки стороннего фильтра компании-категоризатора. Примером подобных продуктов могут служить Websense Web Filter и GFI WebMonitor. Ранее существовал ещё один прекрасный российский продукт этого класса с красноречивым названием SurfControl, но он был куплен уже упомянутой Websense.

Но и этот, казалось бы, беспроигрышный вариант, омрачался рядом проблем. Сторонние фильтры стоят далеко не дёшево, предъявляют дополнительные требования к совместимости и поддержке сразу нескольких разнородных продуктов и, уж поверьте, далеко не всегда сказываются положительным образом на функционировании ISA Server в целом.

Туман так и продолжал бы мазать сажей лоскут неба над датским королевством, если бы не…

Характер героя

Как я уже говорил, в составе Forefront TMG Beta 3 появилась функция полноценного анализа и контроля доступа к определённым ресурсам сети Интернет, именуемая URL Filtering. Надо отметить, что данная функция была анонсирована на самой ранней стадии разработки Forefront TMG и в зачаточном состоянии присутствовала ещё в самой первой публичной бета-версии. Но в более зрелой Forefront TMG Beta 2 она почему-то отсутствовала напрочь. Зато в Forefront TMG Beta 3 мы получили функцию URL Filtering практически в том виде, в котором она будет присутствовать в окончательном релизе Forefront TMG.

Профессиональная деятельность

По роду своей деятельности URL Filtering категоризацией бесчисленного множества интернет-ресурсов, так же как и другие службы-категоризаторы, упомянутые мною ранее.

URL Filtering включает в себя более 80(!) различных тематических категорий URL-адресов. Одни категории представляют собой набор адресов, потенциально опасных ресурсов – Phishing, Malicious, Anonymizers. Другие содержат адреса с очень востребованным и, что главное, необходимым в работе содержимым – Games, Criminal Activities, Pornography.

Вы можете использовать одну или несколько категорий в правилах доступа политики брандмауэра ISA Server для запрета доступа определённым сетевым узлам, пользователям и группам пользователей с учетом расписания или без него.

Откуда что берется?

Естественно предполагать, что обычными статическими наборами адресов проблему не решить. Описанные наборы адресов в описанных мною категориях динамически изменяются за счет загрузки обновлений с сайта компании Microsoft. А что же за сервис отвечает за данного рода обновления?

На конференции RSA 2009 компания Microsoft анонсировала новую репутационную службу Microsoft Reputation Service (MRS). MRS представляет собой систему категоризации различных объектов, в частности URL-адресов различных интернет-ресурсов. Согласно заявлениям специалистов компании Microsoft база данных MRS на данный момент содержит, ни много и мало, а десятки миллионов уникальных URL-адресов.

MRS – это cloud-based service, как сейчас модно говорить. Сервера MRS располагаются в дата-центрах компании Microsoft  и обслуживают клиентские запросы по сети Интернет. Репутационная служба MRS в дальнейшем будет использоваться практическими всеми продуктами безопасности компании Microsoft. Forefront TMG – это только первая ласточка.

Да чем же она хороша?

Так чем же URL Filtering в содружестве с MRS лучше аналогичных, уже существующих продуктов категоризации интернет-ресурсов? — спросит любознательный читатель.

Основной отличительной особенностью MRS от аналогичных служб является его, если позволите, компонентная архитектура. База MRS является результатом работы не только специалистов компании Microsoft. В базу MRS агрегируется информация из таких сервисов категоризации как iFilter, BrightCloud, Marshall8e6 и не только. Этот механизм очень похож на многоядерную архитектуру Forefront Security for Exchange Server или Forefront Security for SharePoint Server. О достоинствах данного подхода сказано очень много, можно сказать ещё больше, но это выходит за рамки нашей сегодняшней беседы.

Вот откуда берутся десятки миллионов категоризированных адресов. В дальнейшем компания Microsoft планирует и далее расширять круг партнёров в контексте расширения базы данных службы MRS.

Без друзей меня чуть-чуть, а с друзьями много

Прелести URL Filtering на этом не заканчиваются. Если пользователь использует для запроса веб-ресурса зашифрованное соединение по протоколу SSL, невозможно понять что за данные пользователь передаёт, а, соответственно, невозможно контролировать доступ пользователя к ресурсам на основе тематических категорий. Это очень распространённая проблема, которой страдают решения по предоставлению доступа к ресурсам сети Интернет. Но только не Forefront TMG.

URL Filtering совместно с новой функцией инспекции исходящих HTTPS-соединений (HTTPS Outbound Inspection) позволяет расширить контроль доступа к ресурсам даже на зашифрованные соединения. Такой возможностью может похвастаться далеко не каждое решение по контролю доступа.

Ложка дёгтя

И всё-таки бесплатный сыр бывает только… За использование URL Filtering, а точнее за загрузку обновлений службы MRS, нужно будет платить. Причём лицензироваться данная функция Forefront TMG будет так же как и обновления модуля проверки трафика на наличие вредоносного кода (Antimalware Protection).

Под занавес

URL Filtering, безусловно, является очень интересной функцией, поставляемой, что называется, из коробки. Но чтобы понять, насколько действительно этот функционал хорош, необходимо провести тестирование “боем”. И для этого не нужно ждать окончательного выхода Forefront TMG. Загрузите Forefront TMG Beta 3 и начните знакомство с URL Filtering прямо сейчас.

Related Posts

1. Свежая информация о выходе Forefront TMG
2. 3 года ожидания, 3 буквы названия, 3 буквы статуса – Forefront TMG 2010 RTM
3. Отказоустойчивый доступ к ресурсам сети Интернет с помощью Forefront TMG
4. Доклад “Forefront TMG 2010 – полноправный наследник ISA Server”
5. Запись вебкаста “Защита электронной почты с помощью Forefront TMG” | Forefront Ninjutsu Sono Itchi (#1)