IW: Filtrovanie webového obsahu

Kolaz.JPG Dnes už az­da kaž­dá väč­šia fir­ma ale­bo or­ga­ni­zá­cia ne­ja­kým spô­so­bom ob­me­dzu­je inter­ne­to­vé pri­po­je­nie svo­jich za­mes­tnan­cov. De­je sa tak z dvoch hlav­ných dô­vo­dov – na zvý­še­nie bez­peč­nos­ti a pro­duk­ti­vi­ty. Či už ide o za­bez­pe­če­nie všet­kých mož­ných ciest, kto­rý­mi sa malware mô­že dos­tať do sie­te, ale­bo o ob­me­dzenie prís­tu­pu za­mes­tnan­cov na niek­to­ré inter­ne­to­vé strán­ky, v oboch prí­pa­doch hrá úlo­hu filtro­va­nie dát. Pri filtro­va­ní webu je dô­le­ži­té za­me­rať sa na po­žia­dav­ky, kto­ré vy­chá­dza­jú z vnú­tor­nej sie­te von, a to naj­mä cez webo­vý pro­to­kol HTTP (port 80).

Filtro­vať webo­vý ob­sah, ku kto­ré­mu ma­jú mať za­mes­tnan­ci prís­tup, mož­no v praxi na dvoch úrov­niach: pria­mo na des­kto­pe pou­ží­va­te­ľa ale­bo na brá­ne, cez kto­rú sú klien­tske po­čí­ta­če pri­po­je­né na inter­net. Po­rov­ná­vať vo všeo­bec­nos­ti efek­ti­vi­tu tých­to dvoch spô­so­bov asi ne­má zmy­sel, keď­že zá­le­ží na kon­krét­nej im­ple­men­tá­cii a ty­pe jed­not­li­vých pro­duk­tov nain­šta­lo­va­ných v sys­té­me.

V tom­to člán­ku pred­sta­ví­me nie­koľ­ko sof­tvé­ro­vých nás­tro­jov, kto­ré mož­no pou­žiť na filtro­va­nie webo­vé­ho ob­sa­hu. Tre­ba však po­dot­knúť, že kaž­dý spô­sob filtro­va­nia sa dá obísť.

Pou­ži­tie filtro­va­nia ob­sa­hu je z toh­to dô­vo­du lep­šie pou­ží­vať ako dopl­nok k stop­nu­tiu mož­ných miest, od­kiaľ sa malware mô­že dos­tať do sie­te. Ta­kis­to je vhod­né za­mes­tnan­com v or­ga­ni­zá­cii vy­svet­liť, že filtro­va­nie, ako aj ob­me­dzenie dos­tup­nos­ti niek­to­rých strá­nok je len dopl­nok k zvý­še­niu bez­peč­nos­ti. Pre­to je dô­le­ži­té za­mes­tnan­cov pou­čiť o tom, že strán­ky, kto­ré sú po­vo­le­né (fil­ter ich ne­za­chy­tí), ne­mu­sia byť pri prá­ci pot­reb­né a ich pre­hlia­da­nie v pra­cov­nom ča­se ne­mu­sí byť do­vo­le­né.

Filtro­va­nie na úrov­ni des­kto­pu

OpenDNS

Vy­ni­ka­jú­ca služ­ba, kto­rá je na­vy­še za­dar­mo, je OpenDNS. Pre pou­ží­va­te­ľov z ce­lé­ho sve­ta den­ne spra­cu­je viac ako 20 mi­liárd po­žia­da­viek. OpenDNS pos­ky­tu­je kla­sic­ký prek­lad do­mé­no­vých mien, ale na roz­diel od oby­čaj­nej služ­by DNS ok­rem iné­ho pri­dá­va aj mož­nosť de­fi­no­vať si vlas­tné pra­vid­lá na filtro­va­nie webo­vé­ho ob­sa­hu. Pou­ží­va­teľ si mô­že vy­brať z troch ver­zií služ­by, kto­ré sa lí­šia množ­stvom fun­kcií a ce­nou. Zá­klad­ná ver­zia OpenDNS Ba­sic sa pos­ky­tu­je za­dar­mo a im­ple­men­tá­cia služ­by DNS ne­vy­ža­du­je in­šta­lá­ciu aké­ho­koľ­vek sof­tvé­ru na klien­tsky po­čí­tač.

opendns.png

Veľ­ká vý­ho­da nás­tro­jov, kto­ré fun­gu­jú pros­tred­níc­tvom služ­by DNS, je jed­no­du­chosť nas­ta­ve­ní a efek­ti­vi­ta. Opäť však tre­ba pa­mä­tať na mož­nosť zme­niť pre­fe­ro­va­ný DNS server, pre­to­že na tom ce­lé filtro­va­nie sto­jí a pa­dá.

Sú­bor hosts
Po­čí­ta­čo­ví exper­ti sú­bor hosts v ope­rač­ných sys­té­moch už dob­re poz­na­jú. Pre os­tat­ných uve­die­me, že ide o sú­bor ob­sa­hu­jú­ci zá­zna­my o do­mé­nach a im pri­ra­de­nej IP ad­re­se. Keď to­tiž za­dá­te vo webo­vom pre­hlia­da­či ne­ja­ký ná­zov inter­ne­to­vej strán­ky, eš­te pred tým (ak nie je nas­ta­ve­né inak), ako sys­tém za­čne zis­ťo­vať zá­zna­my DNS pre da­nú do­mé­nu z DNS server­a, po­zrie sa do sú­bo­ru hosts, či ten neob­sa­hu­je IP ad­re­su pre za­da­ný ná­zov do­mé­ny.

hosts.png

Prob­lé­mom pri pou­ži­tí sú­bo­ru hosts je to, že je ne­vyh­nut­né za­dať všet­ky kon­krét­ne náz­vy blo­ko­va­ných do­mén. Tre­ba mať pre­to dos­ta­toč­ne ob­siah­ly zoz­nam za­ká­za­ných do­mén ale­bo blo­ko­vať len vy­bra­né strán­ky, kto­ré zvyk­nú pou­ží­va­te­lia v pra­cov­nom ča­se naj­viac nav­šte­vo­vať.

Vy­ra­diť ten­to „fil­ter“ mož­no jed­no­du­cho – od­strá­ne­ním zá­zna­mov zo sú­bo­ru hosts. No ak má pou­ží­va­teľ za­ká­za­ný zá­pis do sú­bo­ru hosts, nie je o nič jed­no­duch­šie vy­ra­diť ten­to spô­sob blo­ko­va­nia ur­či­tých webo­vých strá­nok ako ne­ja­ký sof­tvér nain­šta­lo­va­ný na po­čí­ta­či.

K9 Web Pro­tec­tion
Kva­lit­né nás­tro­je ur­če­né na filtro­va­nie webo­vé­ho ob­sa­hu mô­žu mať aj po­do­bu sof­tvé­ru nain­šta­lo­va­né­ho na klien­tskom po­čí­ta­či. Ap­li­ká­cia K9 Web Pro­tec­tion od spo­loč­nos­ti Blue Coat Sys­tems, kto­rá je na do­má­ce pou­ži­tie do­kon­ca za­dar­mo, je to­ho dô­ka­zom. K9 Web Pro­tec­tion je sof­tvér in­šta­lu­jú­ci sa pria­mo na pou­ží­va­teľ­ský po­čí­tač, na kto­rom má filtro­vať webo­vý ob­sah. Na od­filtro­va­nie nev­hod­ných strá­nok pou­ží­va da­ta­bá­zu umies­tne­nú na server­i, kto­rá sa prie­bež­ne ak­tua­li­zu­je, tak­že pou­ží­va­teľ má vždy naj­ak­tuál­nej­ší zoz­nam škod­li­vých webo­vých strá­nok.

K9 Web.png

Filtro­va­nie na úrov­ni brá­ny


Squid
V prí­pa­de toh­to po­pu­lár­ne­ho nás­tro­ja ide vlas­tne o proxy server vy­ba­ve­ný rôz­ny­mi za­ují­ma­vý­mi fun­kcia­mi. Na li­nuxovej plat­for­me pat­rí Squid me­dzi naj­zná­mej­šie proxy server­y. Exis­tu­je aj pre OS Win­dows, tam však nie je až ta­ký ob­ľú­be­ný. Je­ho do­mé­nou sú naj­mä pro­to­ko­ly HTTP a FTP, ale má v se­be za­pra­co­va­nú aj čias­toč­nú pod­po­ru HTTPS, TLS či SSL. Squid do­ká­že filtro­vať webo­vé strán­ky pod­ľa náz­vu do­mé­ny, ale už nie pod­ľa ob­sa­hu webo­vej strán­ky, čo je ško­da. Na dru­hej stra­ne pos­ky­tu­je flexibi­li­tu v po­do­be nas­ta­ve­nia po­vo­le­ných adries MAC či nas­ta­ve­nia den­nej do­by, keď má byť filtro­va­nie ak­tív­ne.

squid.png

Vzhľa­dom na to, že ide stá­le naj­mä o proxy server, fakt, že Squid ne­pos­ky­tu­je filtro­va­nie na zá­kla­de ob­sa­hu webo­vej strán­ky, nie je roz­ho­du­jú­ci. Vhod prí­de aj mož­nosť ria­diť ob­jem dát pre­te­ka­jú­cich cez download a up­load.

Ke­rio Con­trol
Ten­to za­ují­ma­vý pro­dukt bol do kon­ca má­ja toh­to ro­ka na tr­hu pod náz­vom Ke­rio Win­Rou­te Fi­rewall a dáv­nej­šie ako Win­Rou­te Pro. Ide o sof­tvé­ro­vý ga­teway fi­rewall ob­sa­hu­jú­ci množ­stvo uži­toč­ných nas­ta­ve­ní, ako aj filtro­va­nie webo­vé­ho ob­sa­hu. Vhod­ná fun­kcia je aj mož­nosť nas­ta­viť li­mi­to­va­nie rých­los­ti inter­ne­to­vé­ho pri­po­je­nia, a to špe­ci­fic­ky pre kon­krét­ny po­čí­tač v sie­ti. Sa­moz­rej­mé je zob­ra­ze­nie šta­tis­tic­kých uka­zo­va­te­ľov v po­do­be preh­ľad­ne vy­ge­ne­ro­va­nej webo­vej strán­ky.

kerio.png

Un­tang­le
V prí­pa­de toh­to za­ují­ma­vé­ho pro­duk­tu ide o sof­tvér za­lo­že­ný na li­nuxovej dis­tri­bú­cii De­bian. Prin­cíp plat­for­my Un­tang­le sa za­kla­dá na up­ra­ve­nom ope­rač­nom sys­té­me, nain­šta­lo­va­nom na sa­mos­tat­nom server­i, kto­rý fun­gu­je ako inter­ne­to­vá brá­na. Vý­rob­ca pos­ky­tu­je päť rôz­nych ba­lí­kov nás­tro­ja Un­tang­le. Naj­zák­lad­nej­šia ver­zia Li­te Pac­ka­ge ob­sa­hu­jú­ca kľú­čo­vé ap­li­ká­cie sa pos­ky­tu­je za­dar­mo, na­vy­še je kva­lit­ne vy­ba­ve­ná a pou­ži­teľ­ná. Ok­rem fun­kcií webo­vé­ho filtra a fi­rewal­lu do­ká­že nap­rík­lad blo­ko­vať spam, rek­lam­né ban­ne­ry a malware. Z ko­mer­čných ap­li­ká­cií mož­no pou­ží­vať eSoftWeb Fil­ter umož­ňu­jú­ci blo­ko­vať viac ako 100 mi­lió­nov webo­vých strá­nok, roz­de­le­ných do 57 ka­te­gó­rií. Net­re­ba za­bud­núť ani na ko­merč­ný anti­ví­ru­so­vý sof­tvér a sa­moz­rej­má je aj per­so­nál­na pod­po­ra pro­duk­tu.

untangle.jpg

Účin­nosť filtro­va­nia webo­vé­ho ob­sa­hu
Obísť webo­vé filtre pra­cu­jú­ce na úrov­ni inter­ne­to­vých brán nie je v mno­hých prí­pa­doch zlo­ži­té. Všet­ko zá­vi­sí od spô­so­bu a hĺbky, do kto­rej kon­tro­lu­je jed­not­li­vé dá­ta fil­ter (fi­rewal­lu). Pre­to tre­ba dbať na pro­fe­sio­nál­nu kon­fi­gu­rá­ciu a, sa­moz­rej­me, aj na kva­li­tu filtra.

Ke­by nap­rík­lad do­ká­zal fil­ter kon­tro­lo­vať len po­le Host po­žia­dav­ky HTTP, moh­lo by sa stať, že by po­vo­lil stiah­nu­tie strán­ky, kto­rá me­tó­dou GET žia­da ne­ja­ké nev­hod­né sú­bo­ry. Ta­kis­to by moh­la nas­tať opač­ná si­tuácia, že fil­ter by strán­ku pod­ľa náz­vu sú­bo­ru (ad­re­sy sú­bo­ru) za­blo­ko­val, ale v po­li Host by mo­hol byť ná­zov do­mé­ny, kto­rý by v sú­vis­los­ti s ob­sa­hom po­žia­dav­ky GET zna­me­nal nie­čo cel­kom iné, ale fil­ter by to vy­hod­no­til nes­práv­ne. Pre­to by bo­lo vhod­né, aby fil­ter bral do úva­hy ce­lý ná­zov do­mé­ny spo­lu s ad­re­sou sú­bo­ru, kto­rú ob­sa­hu­je po­žia­dav­ka GET.

Sa­moz­rej­mé sú filtrač­né rie­še­nia, kto­ré pos­ky­tu­jú ana­lý­zu webo­vých strá­nok naj­mä na zá­kla­de ich ob­sa­hu. Po­dob­ne ako pro­dukt Ke­rio Con­trol ana­ly­zu­jú po­čet a dô­le­ži­tosť jed­not­li­vých vý­ra­zov v ob­sa­hu webo­vej strán­ky a pod­ľa strik­tnos­ti nas­ta­ve­nia filtra roz­hod­nú o po­vo­le­ní ale­bo ne­po­vo­le­ní zob­ra­ze­nia webo­vej strán­ky. Ap­li­ko­va­nie ur­či­tých pra­vi­diel na webo­vú pre­máv­ku má ok­rem iné­ho aj po­zi­tív­ne bez­peč­nos­tné as­pek­ty. Už len za­ká­za­ním pre­ze­ra­nia strá­nok, kto­ré ob­sa­hu­jú text warez, sa dá vy­hnúť množ­stvu malwaru.

Dô­le­ži­tý fak­tor pri za­bez­pe­čo­va­ní kva­lit­nej sprá­vy des­kto­pov je naj­mä ob­me­dzenie práv pou­ží­va­te­ľa na da­nom sys­té­me. Pre väč­ši­nu za­mes­tnan­cov v rôz­nych fir­mách nie je vô­bec pot­reb­ný ad­mi­nis­trá­tor­ský prís­tup k ope­rač­né­mu sys­té­mu. Dá sa to za­bez­pe­čiť buď vy­tvo­re­ním úč­tu s ob­me­dze­ný­mi prá­va­mi, ale­bo od­ob­ra­ním len tých práv, kto­ré sa ma­jú vy­slo­ve­ne za­ká­zať. Exis­tu­je aj bez­plat­ný nás­troj Stea­dyS­ta­te od spo­loč­nos­ti Mic­ro­soft, kto­rý umož­ňu­je jed­no­du­cho a efek­tív­ne od­ob­rať ur­či­té pri­vi­lé­giá v sys­té­me Win­dows.

Od­ob­ra­ním mož­nos­ti nas­ta­vo­vať pa­ra­met­re sie­ťo­vej kar­ty sa nap­rík­lad ze­fek­tív­ni pou­ži­tie služ­by OpenDNS. Ak to­tiž ne­bu­de mať pou­ží­va­teľ mož­nosť zme­niť nas­ta­ve­nia DNS sie­ťo­vej kar­ty, všet­ky po­žia­dav­ky na prek­lad do­mé­no­vé­ho me­na bu­dú sme­ro­va­né cez fil­ter služ­by OpenDNS.

Zá­ver
Ho­ci všet­ky tu spo­me­nu­té nás­tro­je sú kva­lit­né, net­re­ba za­bú­dať na to, že za­brá­niť obí­de­niu tých­to opat­re­ní je ne­mož­né. Pra­vid­lá na filtro­va­nie pre­vádz­ky sú v mno­hých prí­pa­doch nas­ta­ve­né veľ­mi voľ­ne (da­jú sa te­da obísť), ale na dru­hej stra­ne, ke­by bo­li príl­iš prís­ne, už by bo­la ak­tuál­na otáz­ka reál­nej pou­ži­teľ­nos­ti inter­ne­to­vé­ho pri­po­je­nia. Roz­hod­ne naj­vyš­šiu efek­ti­vi­tu bu­dú mať filtrač­né nás­tro­je v or­ga­ni­zá­ciách, kde sú pou­ží­va­te­lia me­nej zdat­ní v ob­las­ti IT. No kaž­dý po­čí­ta­čo­vý pro­fe­sio­nál ne­bu­de po­va­žo­vať filtro­va­nie webu za nep­re­ko­na­teľ­né.



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

In­for­mač­ná bez­peč­nosť: Geog­ra­fic­ky dis­tri­buo­va­ná ochra­na dát
Ako minimalizovať výpadok IT služieb a stratu dát v dôsledku nepriaznivých udalostí. Zatiaľ čo v predošlej dekáde stačilo chrániť pred výpadkom niektoré aplikácie.  čítať »
 
Pla­te­ná rek­la­ma vs. op­ti­ma­li­zá­cia SEO – vý­ho­dy, ne­ga­tí­va, mož­nos­ti
Špecialisti na SEO tvrdia, že správnou optimalizáciou webu máte šancu získať oveľa viac ako platenou reklamou. Naproti tomu experti na platenú reklamu argumentujú dosahovaním rýchlych a merateľných výsledkov. čítať »
 
Ar­chi­tekt vs Pro­jek­to­vý ma­na­žér - spo­jen­ci, či ne­pria­te­lia?
Tieto roly existujú v každom väčšom projekte, ale napriek tomu ich spolupráca často neprebieha tak hladko ako by sa očakávalo. Je dôvod v samotných rolách, alebo leží úplne inde? čítať »
 
Ap­pli­ca­tion De­li­ve­ry – efek­tív­na ochra­na pro­ti hac­ke­rom a op­ti­ma­li­zá­cia vý­ko­nu slu­žieb
Sú vaše webové služby chránené proti hackerom? Programátori často urobia chyby, ktoré dokážu útočníci zneužiť.   čítať »
 
Cloud com­pu­ting: Oča­ká­va­nia a reali­ta, preh­ľad pos­ky­to­va­te­ľov (Ama­zon, Goog­le, IBM, Mic­ro­soft)
Cloud computing, technológia predstavujúca model zdieľania hardvérových zdrojov pomocou virtualizácie a automatizácie, v súčasnosti naberá rýchlosť pri globálnom rozširovaní sa do celého spektra sektorov poskytujúcich obrovské množstvo služieb. čítať »
 
Dá­ta nie sú len ved­ľaj­ším pro­duk­tom pre­vádz­ky IS
Na otázku, ako stručne hodnotíte informačný systém vašej organizácie, by sme dostali mnoho rôznych odpovedí. čítať »
 
BYOD pod­po­ru­je ino­vač­né ini­cia­tí­vy ta­len­to­va­ných za­mes­tnan­cov
Jeden z charakteristických atribútov trendu BYOD je možnosť vynútenia technologického pokroku v IT podpore biznisu „zdola", najčastejšie zo strany mladších používateľov. čítať »
 
Li­cen­čnú čis­to­tu je ťaž­ké us­trá­žiť
Pre licenčného manažéra je znalosť aktuálnych licenčných podmienok od dvoch až troch výrobcov softvéru na všetok využívaný softvér v spoločnosti nedosiahnuteľná méta. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter