שאלות נפוצות ותשובות (קצת פחות נפוצות): כיצד להגדיר חסימה או גישה לאתרים ספציפיים לתחנות ספציפיות

שאלות נפוצות ותשובות (קצת פחות נפוצות): כיצד להגדיר חסימה או גישה לאתרים ספציפיים לתחנות ספציפיות

Print Friendly, PDF & Email

נשאלתי לא פעם כיצד אפשר להגדיר חסימה של אתרי אינטרנט לתחנות מסוימות בעוד שתחנות אחרות ימשיכו להנות מגישה לא מוגבלת לאינטרנט. נראה שאין מנהל רשת שזה לא קרה לו: המנהלים מתחילים לשים לב שאט אט יותר ויותר עובדים ”עובדים“ עליהם בעיניים ובמקום לעבוד – מעדכנים את הפרופיל ב-Facebook כל היום וכתוצאה מחליטים לסגור לכולם את האינטרנט. כמובן שלא עוברות יותר מ-5 דקות עד שהם מבינים שזה לא עסק וצריך לפתוח למשתמשים מסוימים אתרים מסוימים, לאחרים אתרים אחרים ולמיוחסים כלשהם – את כל האינטרנט. אם זה לא מספיק אז פעמים רבות מגלה מנהל הרשת המתוסכל שלאחר שבמאמצים ניכרים הצליח לחסום את האינטרנט לקבוצה הרלוונטית הוא בעצם חסם אותן מלקבל עדכוני אבטחה למערכת ההפעלה או גרוע מכך – אנטיוירוס. חשוב לדעת כי אנטיוירוסים רבים וביניהם גם Trend Micro המוכר, מבצעים בדיקה של כתובת ה-URL שהוזנה על ידי המשתמש טרם אישורה לביצוע על ידי הדפדפן כאשר בדיקה זו מבוצעת במקרים רבים ישירות מול שרתים של יצרן תוכנת האנטיוירוס הפזורים ברחבי העולם.

כך שמדובר בנושא שאינו פשוט כלל ועיקר. עם זאת, אני נענה לאתגר ואנסה בשורות הקרובות לפרט, ראשית, את האתגרים הנובעים מדרישה שכזו ואת הנושאים שיש לשים אליהם לב במיוחד בעת ביצוע הגדרות מסוג זה ואת המשמעויות הנלוות להן ולאחר מכן את האופן הטכני שבו ניתן לבצע את ההגדרה המבוקשת.

תחילה, הייתי ממליץ לגבש עמדה ארגונית מדוע יש לחסום את האתרים שהוגדרו, או יותר נכון, מהו הקריטריון (אם ניתן לזהות כזה) הקובע מהו אתר מורשה ומהו אתר שיש לחסום. הסיבה לכך היא שבעידן שבו כמות האתרים הקיימים באינטרנט הוא עצום וקצב גדילת האינטרנט גם הוא עצום, ניסיון של ארגון לבצע סינון תכנים על בסיס רשימות שחורות ולבנות הוא במקרה הטוב נאיבי ובמקרה הפחות טוב מסוכן (אסביר בהמשך). משום כך, בציודים רבים, וביניהם הציוד של חברת Fortinet, קיימת אפשרות סינון אתרים על פי סיווג המבוצע ומתעדכן על ידי מרכזי מחקר של יצרן הציוד.

כעת, חשוב להבין כי גם אם ננהל רשימות שחורות של אתרים שאנו מעוניינים למנוע את כניסת המשתמשים שלנו אליהם עדיין נותר ”חור“ משמעותי המאפשר להם להיכנס לאותם אתרים שברשימה השחורה. קיימים באינטרנט אתרי Proxy רבים המאפשרים לגולש אליהם להקליד כתובת URL ואותו אתר Proxy יגלוש לאתר שצוין ויחזיר את התוצאות לגולש. בנוסף, קיימים אתרים רבים המאפשרים להוריד תוכנת Proxy מבוססת Web ולכן מאפשרת לגולש להקים אתר חינמי פשוט באחד מהשירותים האינטרנטיים המאפשרים זאת ולהתקין באותו אתר את תוכנת ה-Proxy ומאותו רגע יוכל המשתמש לגלוש באין מפריע. על מנת למנוע, או לפחות לצמצם את ממדי הבעיה ניתן, במוצרים רבים, וביניהם גם ה-Fortigate של חברת Fortinet להגדיר כחלק מהקריטריונים שמעוניינים לחסום גם קריטריון שרתי Proxy וכך, על בסיס הסיווג שמבוצע במרכזי המחקר של היצרן, אתרים המכילים קוד של שרתי Proxy יחסמו לגישה באופן אוטומטי.

אם כל זה עדיין לא מספיק, נותרו לנו עדיין שני מכשולים עיקריים: הראשון הוא אופן זיהוי התחנות/משתמשים שאותם ברצוננו לחסום או שלהם אנו רוצים לאפשר גישה לאינטרנט. אם קיים  בארגונך שרת DHCP המחלק כתובות באופן דינאמי לכל הרשת (טיפוסי לשרתי DHCP) לא תוכל לחסום או לאפשר לפי כתובת IP, כלומר ברור שתוכל לעשות זאת ב-Firewall אלא שלא תהיה לכך משמעות רבה אם התחנה תחליף את כתובתה באופן אקראי. במקרים כאלו תוכל לבצע את החסימה לפי משתמש או באופן גורף לכל הארגון. המכשול השני הוא זיהוי האתרים שאותם נרצה לחסום/לאפשר. בשל בעיית העומסים הקיימת כמעט תמיד באתרים הגדולים פותחו דרכי התמודדות שונות עם העומס, חלק מהאתרים משויכים למספר שרתים בכתובות IP חוקיות שונות תחת אותו שם שרת (DNS Name). בטכניקה אחרת האתרים משויכים למספר שרתים בכתובות IP ו-URL שונות כאשר קיימים מנגנוני ניתוב ביניהם כך שחסימה של IP או URL לא תמיד מספיקה.

בנוסף, אתרים רבים (כדוגמת Facebook) מאפשרים עבודה מוצפנת ב-HTTPS וכאן זה המקום שהדברים מסתבכים באמת: כאשר מחשב מבצע פניה לאתר ב-HTTPS אפילו כתובת ה-URL נשלחת באופן מוצפן כך שאין אפשרות לשום ציוד שנמצא בין המחשב לאינטרנט (ובכלל זה Firewall כדוגמת Fortigate) לראות לאן פנתה התחנה ולחסום/לאפשר את הגישה. הדרך היחידה שבה ניתן לבצע זאת היא על ידי פתיחת ההצפנה בדרך על ידי שימוש ב-SSL Proxy כלשהו אשר חושף אפשרות גישה אליו ב-HTTPS הגם שקיימים ציודים רבים (כדוגמת BigIP של F5 וגם Fortigate של Fortinet) המסוגלים לעשות זאת חשוב להבין שברגע שעושים זאת המשתמש יכול לדעת שמנטרים אותו ושבודקים את פניותיו לאתרים אליהם הוא גולש. חשוב לדעת זאת מפני שלא כל ארגון מוכן לכך שהעובדים שלו ידעו ברמה כזו שבודקים אותם. בכלל, היות ובארגונים רבים, בשל הסיבות שהוזכרו לעיל, הגישה ב-HTTPS כלומר, ב-TCP Port 443 פתוחה לכולם ולכל מקום, וירוסים רבים ותוכנות זדוניות שונות משתמשים באופן תקשורת זה על מנת לתקשר עם מפעיליהם ומשום כך מהווה אחד הפורטים הבעייתיים ביותר מבחינת אבטחת המידע. אני ממליץ לכל מנהל אבטחת מידע או אחראי אבטחת מידע המעוניין להגן באופן מיטבי על המידע בארגונו לארגן רשימה של אתרים שלהם מותר לגשת ב-HTTPS ורק אליהם לאפשר את הגישה לפי IP ופורט. באופן זה ניתן למנוע ממתקפות רבות להשיג את יעדיהן.

אם בכל זאת, למרות כל האמור לעיל, עדיין לא השתכנעת בכך שיש לתכנן חסימה/מתן גישה כזו בקפידה, להלן הסבר כללי כיצד להגדיר את החסימה או מתן הגישה לאתרים ספציפיים לפי URL:

1. בשלב הראשון יש להגדיר את אובייקט הטווח החסום ואת אובייקט הטווח המורשה בטאב "Addresses" כ-Address Range
2. לאחר מכן, יש להגדיר בכרטיסיה UTM חסימה תחת URL Filter בפילטר בשם מסוים ולהגדיר פילטר נוסף המאפשר גישה לאתרים המורשים
3. לאחר מכן, יש להגדיר תחת טאב Firewall מדיניות גישה (Policy) כך שתותר הגישה של שני הטווחים לאינטרנט (מבחינת כתובות IP) כאשר מוגדר ב-Protection Profile פרופיל המכיל את ה-Url Filter שהוגדר קודם לכן.

זהו, כעת זה מוגדר (לצערי אין ברשותי Fortigate 100C כמו שחלק מהאנשים שפנו אלי ביקשו ממני ולכן נצרכתי להיסתמך על זכרוני בלבד).

השאר תגובה