Packet-Filtering con Websense

di Anna Fabi

5 Marzo 2009 09:00

Websense è il leader di mercato per il filtraggio dei contenuti che transitano in una rete Lan. Disponibile in diverse versioni, può gestire piccole e grandi reti

In un precedente articolo abbiamo sottolineato quali sono, in ambito aziendale, i vantaggi del packet-filtering, ossia di quei sistemi che permettono di tenere sotto controllo quali dati passano da Internet ai computer della nostra rete e viceversa. Tra i software migliori per gestire questo sistema c’è la linea Websense della omonima casa produttrice che permette di bloccare le minacce dall’esterno della rete e impedire connessioni non gradite dall’interno.

Introduzione a Websense

La suite di Websense mette a disposizione soluzioni per la protezione di organizzazioni da minacce che possono provenire dall’interno o dall’esterno del Web, mediante bloccaggio del pericolo. Attraverso un database creato dai laboratori Websense, contenente siti divisi in categoria (milioni di indirizzi internet), e un componente attivo della suite simile a uno "sniffer di rete", Websense analizza il traffico uscente o entrante, paragonandolo con quello contenuto nel database, negando o acconsentendo l’acceso.

Il tutto avviene con precispione e in tempi brevi anche in grandi o addirittura enormi reti, grazie ad un elevata robustezza, e una modularità dei componenti della suite davvero unica!

Tra le caratteristiche e i componenti principali della suite ricordiamo:

  • Protezione totale di organizzazioni da: spyware, malcode, phishing, pharming attempts, e altre minacce basate sul web
  • Aggiornamento in tempo reale degli elementi si di sicurezza, tra i quali il database
  • Filtraggio a livello protocollare: p2p, email, file transfert, Istant messaging
  • Possibilità gestionali sul traffico: permette il traffico, blocca il traffico, approva il traffico solo per un tempo limitato o in base all’ora, controllo di banda, controllo di keyword
  • Grafici avanzati e storage su database per catalogare e salvare l’uso, l’accesso e molto altre informazioni del traffico internet
  • Accesso differenziato mediante tipo utente alle reportistiche di Websense
  • Filtraggio del traffico internet integrato in una rete locale anche dinamica, grazie al riconoscimento automatico degli utenti, e integrazioni in domini LDAP esistenti

Principali componenti della suite Websense

Anche se i componenti della suite sono molti, cercheremo qui di introdurli brevemente insieme, anche per capire come interagiscono l’uno con l’altro:

Filtering Service: componente basilare e cuore del programma, è lui che coordina le varie informazioni che arrivano dai servizi della suite e che devono collaborale tra di loro.

Network Agent: Il componente attivo che registra ("sniffa") il traffico entrante e uscente. Deve essere collegato ad uno switch su porta mirror, in quanto deve poter "leggere" tutto il traffico che attraversa lo switch.

Policy Server: mantiene le configurazioni e le informazioni della suite

User Service: in implementazioni della suite dove esiste un servizio di directory LDAP (Active directory, Novel, ecc…) è il componente che comunica con esso, applicando il tipo di filtraggio in base al tipo di utente

Websense Manager: è l’interfaccia grafica (GUI) per le impostazioni della suite

DC Agent: comunicando con lo User Service permette di capire chi sta effettuando tale richiesta verso internet, e quindi di decidere che tipo di filtraggio effettuare.

Database Engine: può essere un motore database già esistente nella rete (MSDE, SQL) e server per salvare tutte le attività degli utenti: pagine viste e pagine bloccate, minuti di accesso, perdita di banda e così via

Log Database: contatta il Filtering service per creare il vero e proprio database

Explorer: è l’interfaccia di accesso verso il database. Completa e di semplice visione, ricca di grafici, statistiche e percentuali d’uso.

RTA (Real Time Analyzer): è un interfaccia simile a Explorer (punto precedente) con la differenza di essere in tempo reale

Brevi cenni sul funzionamento della suite Websense

Prendendo ad esempio la figura 1 qui sotto, vediamo il funzionamento generale della suite. Implementato in una rete con servizio Active Directory, Websense filtrerà il traffico in base al tipo di utente che accede ad internet.

Figura 1: Deployment in Grandi reti

Deployment in Grandi reti

Il traffico "sniffato" dal Network Agent (che deve essere configurato e connesso ad uno switch su porta mirror per "vedere" tutto il traffico) viene elaborato e gestito dal Filtering Service, che, con l’aiuto dello User Service, consentirà o negherà l’accesso.

Tutto il traffico carpito dal Network Agent viene quindi elaborato e gestito dal Filtering Service, che con l’aiuto del Log Database creerà il database per le statistiche visibili attraverso i vari componenti per la reportistica.

Schematizzando per rendere più comprensibile il funzionamento, la suite lavora nel seguente modo:

  1. L’utente effettua una richiesta verso internet e il Network Agent collegato allo switch rileva la richiesta
  2. Attraverso il Filtering Service, che contatta il database Websense delle categorie, il sistema riconosce il tipo di richiesta effettuata e gli assegna una categoria
  3. Lo User Service riconosce l’utente e crea una coppia Tipo Utente – Categoria richiesta
  4. In base a queste informazioni, viene associata la policy prestabilita per il tipo di utente o gruppo di utente LDAP
  5. Infine: se il tipo di utente ha il consenso all’accesso, accederà in trasparenza alla pagina, se non lo ha, il Filtering Service invierà un comando TCP-Reset chiudendo la connessione, e inviando al browser dell’utente una pagina di blocco d’accesso.

Le policy sono configurabili a proprio piacere: è possibile consentire l’accesso a siti di sicurezza informatica per gli amministratori di rete, e negare tale accesso a tutti gli altri gruppi della rete, è possibile consentire l’accesso a Youtube solo in alcune ore della giornata (es pausa pranzo o dopo orari lavorativi) o permettere l’accesso a programmi IM (msn, yahoo, ecc…) ma negare lo scambio di file allegati

Le capacità della suite Websense sono davvero molteplici e tutte ampiamente configurabili, e altamente personalizzabili. Il tutto avviene in maniera trasparente all’utente finale; anche a livello di elaborazione, i passi che sembrano essere macchinosi, vengono svolti celermente.

Contro c’è da notare che la suite, per funzionare bene, richiede hardware potente e personale qualificato per la messa a punto, impostazione, e configurazione, soprattutto in reti ampie o di un certo tipo. La suite Websense viene prodotta in diverse versioni e venduta ad un prezzo che, per la versione Express, è di 25 euro per utente l’anno. Esiste anche, per le aziende più piccole, una versione basata sul Web chiamata Websense Hosted Web Security.

Conclusioni

Websense ci aiuta nella gestione, nel risparmio di banda, e nella messa in sicurezza della nostra rete locale. Attraverso i tool di reportistica, possiamo vedere eventuali minacce, scoprire violazioni, agire in categorie in cui c’è parecchio traffico non consono al tipo di lavoro effettuato. Il Web è cambiato, le infrastrutture, la sicurezza, e i tool/suite devono seguire questo cambiamento. Websense Suite è un sistema davvero completo, potente, professionale che nella corsa della complessità del web, tiene testa a questo costante mutamento di Internet.