implantação da solução blue coat para filtragem de ...jamhour/rss/tccrss09a/andre daniel da...
TRANSCRIPT
Implantação da Solução Blue Coat para Filtragem de Conteúdo
André Daniel da Costa Mainardes
Curso de Especialização em Redes e Segurança de Sistemas
Pontifícia Universidade Católica do Paraná
Curitiba, novembro de 2010.
Resumo
A Internet é uma rica fonte de informação para as empresas, propiciando que estas
estejam atualizadas nas constantes mudanças que ocorrem no mercado, oferecendo uma
vantagem competitiva nas tomada de decisões.
Porém, esta vantagem de possuir a informação no momento em que elas ocorrem,
deixa as organizações expostas a várias ameaças, como roubo de informações ou aplicativos
maliciosos. Por isso, é necessário ter uma preocupação em proteger os acessos dos seus
colaboradores, minimizando os riscos de acesso a conteúdos que não estão dentro da política
da empresa ou páginas que possuam alguma ameaça.
O presente artigo descreve a solução Blue Coat, que prove filtros de acordo com a
estratégia de acesso adota pela empresa para o uso da Internet. Também demonstrará como
esta ferramenta foi implantada em uma empresa com cerca de 8.000 usuários, protegendo os
acessos dos colaboradores.
1 Introdução
A aplicação de políticas relacionadas ao acesso à Internet dentro das empresas é
fundamental para otimizar o links de Internet e diminuir a possibilidade de contaminações
com pragas virtuais.
Segundo a Panda Security, em relatório disponibilizado em Julho de 2010, 28% dos
vírus que atacam as empresas brasileiras são provenientes de acessos à Internet, conforme
gráfico na Figura 1.
Figura 1 - Origens da Contaminação por Vírus [1]
Sendo assim, o navegador se tornou o ponto fraco da segurança da rede nas empresas,
esta informação pode ser comprovada pela Symantec, onde cita que 40% dos ataques
maliciosos são através dos navegadores.
Além dos fatores relativos à segurança da informação, a empresa pode ser
responsabilizada pelo uso indevido ou inadequado do acesso à Internet por seus empregados
conforme prevê o Art. 932 paragrafo III do Código Civil Brasileiro [2].
São inúmeros os crimes que podem ser relacionados ao acesso à Internet. Segundo a
Central Nacional de Denúncias de Crime Cibernéticos [3] as principais infrações são
pornografia infantil, apologia e incitação a crimes contra a vida e homofobia.
Um estudo realizado pelo Centro de Estudos sobre Tecnologias da Informação e da
Comunicação no Brasil aponta que cerca de 60% das empresas brasileiras utilizam algum
método de controle ao acesso dos profissionais à Internet. As principais restrições são para os
sites de relacionamentos (48%), de comunicação (41%) e correios eletrônicos pessoais (30%)
[4].
Outro ponto relevante é o uso abusivo do acesso à Internet, comprometendo a
produtividade dos funcionarios. Segundo uma pesquisa realizada pela Vault.com, cerca de
90% dos funcionários utilizam a Internet para fins pessoais dentro da empresa. Destes, 15%
utilizam mais de 2 horas diárias [5].
2 A Ferramenta Blue Coat ProxySG (Security Gateway)
Fundada em 1996, a Blue Coat Inc. fornece soluções a mais de 15.000 clientes em
todo o mundo, incluindo 81% da Fortune Global 500 [5].
Segundo o Gartner Group, consultoria fundada em 1979, a ferramenta oferecida pela
Blue Coat Inc. foi eleita líder de mercado [6].
As ferramentas aplicadas no ambiente são:
Proxy SG 510-20 (Appliance)
Proxy AV 810-A (Appliance)
BCAAA (Software)
Reporter 9 Standard (Software)
2.1 Topologia Lógica
O ambiente que provê o acesso à Internet para todas as unidades está implantando no
datacenter da IBM em Hortolândia – SP.
A Figura 2 demonstra esta topologia
Figura 2 - Topologia Lógica
O acesso à Internet realizado pela empresa X é centralizado neste ambiente garantindo
que apenas o tráfego autorizado e monitorado.
Os equipamentos que entregam o serviço de acesso à Internet estão montados de
forma redundante. Isto é, os equipamentos PROXYSG01 e PROXYSG02 estão interligados
de maneira que, no caso de falha em um dos equipamentos, outro assuma o seu
processamento. Esta configuração se repete nos servidores HOR138 e HOR139 que realizam
a autenticação.
2.2 Categorizações Dinâmicas
Como a empresa optou por oferecer acesso à Internet para os funcionários, bloquear
todos os sites e liberar apenas os necessários geraria uma demanda considerável, o tempo para
liberar cada site multiplicado pelo número de solicitações inviabilizaria a liberação deste
recurso.
Logo, é necessário que a ferramenta categorize dinamicamente os sites diminuindo o
tempo de ação e melhorando a organização do acesso. A ferramenta Blue Coat ProxySG
possui mecanismos de categorização dinâmica de conteúdos.
Esta tecnologia chama-se Blue Coat Web Filter que consistem em um sistema on-line
mantido pela fabricante que contém a avaliação de bilhões de websites.
Os sites que não estão classificados nesta base são processados em tempo real através
do serviço DRTR™ (Real-Time Rating). Na figura 3 é possível visualizar este processo.
Figura 3 - Funcionamento da Categorização Dinâmica [7]
O acesso é definido pelas regras de acesso e bloqueio vigentes, porém, o sistema
processa todas as solicitações de acesso utilizando o banco de dados local para realizar a
categorização.
Segundo a fabricante, aproximadamente 94 % das requisições do usuário são
processadas localmente. O restante é processado nos servidores em nuvem de maneira
transparente para o usuário.
O resultado deste processo também alimenta o banco de dados local de todos os
clientes que utilizam esta ferramenta.
3 Configuração das Ferramentas
Esta seção demonstra as configurações básicas para a aplicação das politicas que serão
utilizadas para prover o acesso seguro à Internet.
3.1 Configurações das Interfaces de Rede
As configurações de rede dos equipamentos ProxySG foram realizadas na interface 0:0
em cada equipamento, respectivamente os IPs são:
172.16.48.246/20
172.16.48.245/20
Estes endereços compreendem as interfaces físicas, utilizados basicamente para
manutenção e administração dos equipamentos via o protocolo HTTPS.
Conforme pode ser observada na Figura 4, a configuração do default gateway deverá ser
definida para que a ferramenta tenha comunicação com o link Internet e com todos os
equipamentos que irão utilizar este recurso.
No caso, foram inseridas regras no firewall permitindo a saída de todo o tráfego à
Internet proveniente dos endereços IPs da ferramenta.
Figura 4 - Default Gateway
O equipamento consulta o servidor DNS interno do ambiente, este possui consulta
recursiva para as demais zonas não-autoritativas. A Figura 5 demonstra a configuração dos
servidores DNS na ferramenta.
Figura 5 - Configuração do DNS
O motivo de usar os servidores de DNS internos foi o fato de o ambiente possuir o nome
do domínio interno (estrutura Microsoft Active Directory) idêntico ao domínio válido na
Internet. Esta configuração „falha‟ é conhecida como Slipt-brain syndrome, assim, o Proxy irá
resolver os nomes da zona interna que correspondem a aplicativos internos como intranet e
outros aplicativos baseados em webservices.
O ambiente foi desenhado para ser resistente a falhas. Para tanto, foram criados dois
Failover Groups, um com os seguintes endereços virtuais:
172.16.48.243/20
172.16.48.244/20
Os endereços de multicast:
224.16.48.244
224.16.48.243
O equipamento nomeado PROXYSG01 foi definido com Master do grupo
172.16.48.244/20 e Slave do grupo 172.16.48.243/20 conforme demonstra a Figura 6.
Figura 6 - Configuração Failover PROXYSG01
O equipamento nomeado PROXYSG02 foi definido como Master do grupo
172.16.48.243/20 e Slave do grupo 172.20.48.244/20 ilustrado na Figura 7.
Figura 7 - Configuração Failover PROXYSG02
Duas entradas no DNS interno do tipo “A” chamadas “proxy” apontam para estes IPs
virtuais. O balanceamento dos acessos dos usuários entre os appliances foi utilizando Round
Robin que resolve o nome em IP a cada consulta do usuário ao Proxy.
Figura 8 - Configuração DNS Interno
Após as configurações básicas, é possível criar os filtros e as configurações específicas
que controla o acesso à Internet.
3.2 Configuração do Filtro de Conteúdo
Os equipamentos foram configurados para utilizar os filtros de conteúdo IWF (Internet
Watch Foundation), que combate a pornografia infantil na Internet e o BCWF (Blue Coat
WebFilter).
Figura 9 - Content Filtering
Para o filtro IWF foi marcada a opção Automactilly check for updates que atualiza a
base constantemente. Credenciais não são necessárias para este filtro devido trata-se de um
filtro aberto;
Figura 10 - Internet Watch Foundation
Para o filtro BCWF, a opção de atualização automática também é habilitada e
adicionado credencias apara efetuar a atualização da base.
Figura 11 - Blue Coat WebFilter
Estas configurações são a parte mais significativa da ferramenta que é a categorização
dos sites.
3.3 Autenticação Integrada
A autenticação do serviço Proxy é integrada com o Microsoft Active Directory. Para
esta funcionalidade foi implantado o serviço BCAAA (Blue Coat Authentication and
Authorization Agent) em dois servidores membros do domínio interno para ativar a
funcionalidade IWA (Integrated Windows Authentication). Este recurso deixa transparente a
autenticação dos usuários ao acessar a Internet e definem o nível de acesso baseado em
grupos de segurança.
Figura 12 – Servidores IWA
Os servidores membros que executam este serviço executam o sistema operacional
Microsoft Windows 2003 Standard respondendo pelos endereços IPs 172.16.50.212/20 e
172.16.50.214/20. O agente BCAAA foi configurado para receber conexões na porta
TCP/16101 e para ser executado pelo usuário “dominio\awpbc”. A Figura 12 mostra o
resultado desta configuração.
3.4 Servidor de Relatórios de Acesso à Internet
A funcionalidade Access Logging armazena os logs de acesso dos usuários e enviam
para o servidor Bluecoat Reporter 9 a cada cinco minutos via protocolo FTP conforme
demonstra a Figura 13. Este servidor executa o sistema operacional Microsoft Windows 2003
Standard configurado com o IP 172.16.50.214/20.
Figura 13 - Configurações do FTP
Os logs são gerados nos próprios appliances PROXYSG01 e PROXYSG02 e são
encaminhados para este servidor. O serviço Blue Coat Reporter consolidam as informações
para que sejam disponibilizadas nos relatórios.
3.5 Serviços Externos - Antivirus
Os arquivos que são baixados pelo usuário passam adicionalmente pela varredura do
equipamento PROXYAV configurado com o endereço IP 172.16.48.247/20.
O gerenciamento do sistema é via protocolo HTTPS na porta TCP/8082, conforme
destaca a Figura 14.
Figura 14 - Configuração do PROXYAV
A comunicação entre o ProxySG e o ProxyAV ocorre através do protocolo ICAP
(Internet Content Adaption Protocol) que permite que o conteúdo seja identificado e
analisado pelo sistema de varredura de antivírus.
Figura 15 - ICAP Services no ProxySG
Se o arquivo que está sendo carregado ainda não foi verificado pelo ProxyAV, ou seja,
não está em cache, o usuário terá uma pequena lentidão no download.
O ProxyAV utiliza o sistema de antivírus da Sophos, porém suporta diversos
fabricantes de antivírus.
Este sistema de antivírus tem como objetivo inibir que conteúdos viróticos ou mal
intencionados cheguem à rede interna. Isto cria uma barreira anterior ao antivírus instalado na
estação de trabalho. Por este motivo, o fabricante do antivírus desta camada é diferente do
fabricante da proteção front-end.
4 Grupos de Segurança e Regras
Dentro do domínio interno baseado no Microsoft Active Directory, foram criados
quatro grupos de segurança para liberação do acesso à Internet para os usuários:
Usuários Internet VIP: 1% dos usuários
Usuários Internet Aplicativos: 2% dos usuários
Usuários Internet TI: 1% dos usuários
Usuários Internet: 96% dos usuários
Estes grupos de segurança estão definidos no ProxySG e possuem a seguinte
configuração/liberação das categorias. Por padrão, a última regra bloqueia qualquer site que
não esteja categorizado pelo sistema ou liberado explicitamente. Esta configuração é
demonstrada na Figura 16.
Figura 16 - Regras por Grupos AD
Dentre as 80 regras disponíveis pela ferramenta, apenas 35 foram disponibilizadas
para o ambiente juntamente com 1 categoria personalizada que contém os endereços liberados
explicitamente. A Figura 17 ilustra a relação dos grupos de segurança do Active Directory
com as categorias:
Figura 17 - Categoria X Grupos
As 45 categorias restantes foram bloqueadas para todos os grupos juntamente com 1
categoria personalizada que possuem endereços adicionados explicitamente. Na Figura 17,
são exibidas as categorias banidas.
Figura 18 - Categorias Banidas
Estes grupos foram banidos por segurança, no caso da categoria “Phishing” ou por
não serem de interesse da empresa como “Nudity” e “Abortion”.
5 Configuração do Navegador
As configurações do Proxy foram adicionadas na ferramenta via GPO (Group Policy
Objects) configuradas no domínio conforme ilustra a Figura 19. Todo usuário possui definido
no navegador padrão Microsoft Internet Explorer esta configuração e não tem privilégios para
modifica-la.
Figura 19 - Politica de Configuração
Apenas a autenticação integrada com o Active Directory permite que os usuários que
são membros de algum grupo disponível tenha acesso à Internet. Por motivos de segurança,
não foram liberados outras formas de autenticação para os equipamentos membros do
domínio.
6 Testando o Acesso à Internet
Ao efetuar logon com um usuário membro do grupo “Usuários Acesso Internet” e
tentar acessar um site com sua categoria não permitida, exemplo “Social Network” o ProxySG
redireciona o acesso à uma página desenvolvida para esta finalidade. Conforme foi
visualizado na Figura 20, o acesso foi bloqueado para este usuário.
Figura 20 - Categoria Bloqueada para o Grupo "Usuários Internet"
Ao efetuar o logon no equipamento com um usuário membro do grupo “Usuarios
Internet VIP”, o acesso é concedido conforme observado na Figura 21.
Figura 21 - Categoria Liberada para o Grupo "Usuários Internet VIP"
7 Relatórios
A ferramenta Blue Coat Reporter 9 possibilita a geração de relatórios e estatísticas que
auxiliam na gestão do ambiente de acesso à Internet. Abaixo na Figura 22 estão alguns dos
principais indicadores.
Figura 22 - Indicadores do Blue Coat Reporter 9
A ferramenta permite a geração de relatórios mais detalhados como acessos por
usuários, período, IP e outros modelos que podem ser customizados conforme a necessidade.
8 Conclusão
O desafio de oferecer aos usuários corporativos um acesso controlado e seguro à
Internet cresce exponencialmente. Milhões de sites e ameaças, desenvolvidas nas mais
diversas tecnologias, oferecem riscos imensuráveis à empresa.
Possuir politicas e normas internas que doutrinem os usuários para a correta utilização
deste recurso, aliado às tecnologias que ofereçam indicadores gerenciais, visibilidade
acompanhando o crescimento da Internet é fundamental para que seja possível equilibrar a
segurança da informação negócio.
Neste artigo, foi demonstrado como a ferramenta oferecida pela Blue Coat auxilia a
empresa a alcançar estes objetivos, facilitando a organização e melhorando o desempenho do
acesso à Internet.
Bibliografia
[1] Panda Security – Acessado em 01/11/2010.
http://press.pandasecurity.com/wp-content/uploads/2010/08/2nd-International-Security-
Barometer.pdf
[2] Índice Fundamental do Direto – Acessado em 02/11/2010.
http://www.dji.com.br/codigos/2002_lei_010406_cc/010406_2002_cc_0927_a_0943.htm
[3] Safenet– Acessado em 01/11/2010.
http://www.safernet.org.br/site/indicadores
[4] Administrador – Acessado em 04/11/2010.
http://www.administradores.com.br/informe-se/informativo/internet-sem-limites-
compromete-produtividade-de-empresa/255/
[5] Blue Coat, Inc. – Acessado em 10/11/2010.
http://www.bluecoat.com/company/aboutbluecoat
[6] Gartner, Inc. – Acessado em 16/02/2010. http://www.gartner.com/technology/media-products/reprints/cisco/article6/article6.html
[7] Blue Coat, Inc. – Acessado em 10/11/2010.
http://www.bluecoat.com/resources/datasheets