Тестування рішень Palo Alto Networks: як заборонити доступ до соціальних мереж і додатків
Сьогодні я розповім про рішення компанії Palo-Alto Networks і покажу, як налаштувати різні політики, зокрема забороняють користуватися соціальною мережею або додатком іншого роду конкретного користувача.
Palo Alto Networks виробляє досить непогані міжмережеві екрани, контент-фільтри і т.п. речі в одному пристрої. Наскільки я зрозумів зі слів представника компанії - основні розробники пішли з Juniper networks, де вони працювали при створенні серії SSG пристроїв.
Ну да ладно. Більшості це не цікаво, і всі чекають скріншотів. Поїхали:
1. Головна сторінка і dashboard . В принципі тут все зрозуміло (я сподіваюся).
2. ACC (або Application Command Center). Тут ми можемо подивитися, який тип трафіку був помічений в той чи інший проміжок часу, хто був генератором або ініціатором трафіку і т.п.
На наступному скрині чітко видно, як хтось із наших гостей з усіх сил викачує останню версію образу з вільно розповсюджуваної операційної системою.
3. Йдемо далі - вкладка Monitoring. Думаю, немає сенсу пояснювати її значення. Зазначу лише, що їй дуже зручно користуватися при налагодженні, тому що серед загальної вакханалії IP пакетів ми можемо відфільтрувати лише необхідні нам.
4. Політики. Тут задаються політики взаємовідносин між зонами безпеки (які описуються далі), пули і правила NAT та інші штуки, які, без сумніву, важливі в нашому житті: QoS, Captive portal, DoS protection і т.п.
5. Об'єкти. На цій вкладці представлені різні сутності, які ми можемо групувати за різними ознаками, задавати нові і т.д. Надалі ми можемо використовувати ці новостворені параметри в різних політиків доступу.
Крім усього іншого тут визначені сигнатури додатків (а так як Palo Alto вміє їх розпізнавати, то ми можемо окремо фільтрувати трафік того чи іншого додатка. Про це більш детально в кінці статті).
6. Network. Призначення цієї вкладки - настройка за все, що стосується мережі в нашому девайсе. Починаючи від видачі адрес інтерфейсів і закінчуючи налаштуванням IPSec тунелів (Так! Palo Alto підтримує IPSec тунелі).
7. Device. Тут зберігаються різні глобальні налаштування пристрою. Все, що можна налаштувати, знаходиться зліва на скрині.
Спробуємо написати політику, яка забороняє користуватися соціальною мережею для школярів одного комп'ютера (так як користувач цього комп'ютера себе погано вів):
1.
2.
3.
4.
5.
Користувач намагається потрапити на Вконтакте і тут - БАЦ! Не працює. А ми з вами переможно спостерігаємо даремні його спроби:
З іншого боку, такий фільтрацією нікого зараз не здивуєш. Я вас почасти розумію, тому трохи ускладнити завдання. Спробуємо відфільтрувати додаток, яке використовується для доступу до іншої соціальної мережі, але в той же час залишимо доступ туди через WEB.
Отже, уявімо собі, що у нас будується ще один поверх нашого 18-поверхового офісу. Скрізь по будівлі є wifi точки доступу з відкритим SSID (так, ми не жадібні до інтернету). На 18 поверсі закінчують ремонт робочі. Один з них (назвемо його Ашотом) замість того, щоб закінчити класти 30 квадратних метрів кахельної плитки, підключився до мережі і за допомогою месенджера веде активну переписку з черговою "дамою серця". При цьому припустимо, що нам з якихось причин необхідно заборонити всім користуватися месенджером, залишивши при цьому доступною роботу через браузер.
Налаштуємо політику:
Потім вкажемо security зону, звідки буде ініціюватися з'єднання (заодно заборонимо всім з будь-якої адреси користуватися даним клієнтом).
Зазначимо, в яку зону буде йти трафік (щоб не паритися - вкажемо в будь-яку зону):
Тепер нам потрібно заборонити цей самий месенджер. Шукаємо його в базі сигнатур і виставляємо:
Заключне правило - блокуємо весь трафік від програми:
Застосовуємо і зберігаємо конфігурацію. Дивимося, що ми маємо:
Власне, заблокувати додаток у нас вийшло. Тепер дивимося, чи є доступ до сайту з web-браузера:
У принципі реалізувалося все, що було задумано.
Ну да ладно. Більшості це не цікаво, і всі чекають скріншотів. Поїхали:
1. Головна сторінка і dashboard . В принципі тут все зрозуміло (я сподіваюся).
2. ACC (або Application Command Center). Тут ми можемо подивитися, який тип трафіку був помічений в той чи інший проміжок часу, хто був генератором або ініціатором трафіку і т.п.
На наступному скрині чітко видно, як хтось із наших гостей з усіх сил викачує останню версію образу з вільно розповсюджуваної операційної системою.
3. Йдемо далі - вкладка Monitoring. Думаю, немає сенсу пояснювати її значення. Зазначу лише, що їй дуже зручно користуватися при налагодженні, тому що серед загальної вакханалії IP пакетів ми можемо відфільтрувати лише необхідні нам.
4. Політики. Тут задаються політики взаємовідносин між зонами безпеки (які описуються далі), пули і правила NAT та інші штуки, які, без сумніву, важливі в нашому житті: QoS, Captive portal, DoS protection і т.п.
5. Об'єкти. На цій вкладці представлені різні сутності, які ми можемо групувати за різними ознаками, задавати нові і т.д. Надалі ми можемо використовувати ці новостворені параметри в різних політиків доступу.
Крім усього іншого тут визначені сигнатури додатків (а так як Palo Alto вміє їх розпізнавати, то ми можемо окремо фільтрувати трафік того чи іншого додатка. Про це більш детально в кінці статті).
6. Network. Призначення цієї вкладки - настройка за все, що стосується мережі в нашому девайсе. Починаючи від видачі адрес інтерфейсів і закінчуючи налаштуванням IPSec тунелів (Так! Palo Alto підтримує IPSec тунелі).
7. Device. Тут зберігаються різні глобальні налаштування пристрою. Все, що можна налаштувати, знаходиться зліва на скрині.
Спробуємо написати політику, яка забороняє користуватися соціальною мережею для школярів одного комп'ютера (так як користувач цього комп'ютера себе погано вів):
1.
2.
3.
4.
5.
Користувач намагається потрапити на Вконтакте і тут - БАЦ! Не працює. А ми з вами переможно спостерігаємо даремні його спроби:
З іншого боку, такий фільтрацією нікого зараз не здивуєш. Я вас почасти розумію, тому трохи ускладнити завдання. Спробуємо відфільтрувати додаток, яке використовується для доступу до іншої соціальної мережі, але в той же час залишимо доступ туди через WEB.
Отже, уявімо собі, що у нас будується ще один поверх нашого 18-поверхового офісу. Скрізь по будівлі є wifi точки доступу з відкритим SSID (так, ми не жадібні до інтернету). На 18 поверсі закінчують ремонт робочі. Один з них (назвемо його Ашотом) замість того, щоб закінчити класти 30 квадратних метрів кахельної плитки, підключився до мережі і за допомогою месенджера веде активну переписку з черговою "дамою серця". При цьому припустимо, що нам з якихось причин необхідно заборонити всім користуватися месенджером, залишивши при цьому доступною роботу через браузер.
Налаштуємо політику:
Потім вкажемо security зону, звідки буде ініціюватися з'єднання (заодно заборонимо всім з будь-якої адреси користуватися даним клієнтом).
Зазначимо, в яку зону буде йти трафік (щоб не паритися - вкажемо в будь-яку зону):
Тепер нам потрібно заборонити цей самий месенджер. Шукаємо його в базі сигнатур і виставляємо:
Заключне правило - блокуємо весь трафік від програми:
Застосовуємо і зберігаємо конфігурацію. Дивимося, що ми маємо:
Власне, заблокувати додаток у нас вийшло. Тепер дивимося, чи є доступ до сайту з web-браузера:
У принципі реалізувалося все, що було задумано.