Implantação da Solução Blue Coat para Filtragem de Conteúdo

André Daniel da Costa Mainardes

Curso de Especialização em Redes e Segurança de Sistemas

Pontifícia Universidade Católica do Paraná

Curitiba, novembro de 2010.

Resumo

A Internet é uma rica fonte de informação para as empresas, propiciando que estas

estejam atualizadas nas constantes mudanças que ocorrem no mercado, oferecendo uma

vantagem competitiva nas tomada de decisões.

Porém, esta vantagem de possuir a informação no momento em que elas ocorrem,

deixa as organizações expostas a várias ameaças, como roubo de informações ou aplicativos

maliciosos. Por isso, é necessário ter uma preocupação em proteger os acessos dos seus

colaboradores, minimizando os riscos de acesso a conteúdos que não estão dentro da política

da empresa ou páginas que possuam alguma ameaça.

O presente artigo descreve a solução Blue Coat, que prove filtros de acordo com a

estratégia de acesso adota pela empresa para o uso da Internet. Também demonstrará como

esta ferramenta foi implantada em uma empresa com cerca de 8.000 usuários, protegendo os

acessos dos colaboradores.

1 Introdução

A aplicação de políticas relacionadas ao acesso à Internet dentro das empresas é

fundamental para otimizar o links de Internet e diminuir a possibilidade de contaminações

com pragas virtuais.

Segundo a Panda Security, em relatório disponibilizado em Julho de 2010, 28% dos

vírus que atacam as empresas brasileiras são provenientes de acessos à Internet, conforme

gráfico na Figura 1.

Figura 1 - Origens da Contaminação por Vírus [1]

Sendo assim, o navegador se tornou o ponto fraco da segurança da rede nas empresas,

esta informação pode ser comprovada pela Symantec, onde cita que 40% dos ataques

maliciosos são através dos navegadores.

Além dos fatores relativos à segurança da informação, a empresa pode ser

responsabilizada pelo uso indevido ou inadequado do acesso à Internet por seus empregados

conforme prevê o Art. 932 paragrafo III do Código Civil Brasileiro [2].

São inúmeros os crimes que podem ser relacionados ao acesso à Internet. Segundo a

Central Nacional de Denúncias de Crime Cibernéticos [3] as principais infrações são

pornografia infantil, apologia e incitação a crimes contra a vida e homofobia.

Um estudo realizado pelo Centro de Estudos sobre Tecnologias da Informação e da

Comunicação no Brasil aponta que cerca de 60% das empresas brasileiras utilizam algum

método de controle ao acesso dos profissionais à Internet. As principais restrições são para os

sites de relacionamentos (48%), de comunicação (41%) e correios eletrônicos pessoais (30%)

[4].

Outro ponto relevante é o uso abusivo do acesso à Internet, comprometendo a

produtividade dos funcionarios. Segundo uma pesquisa realizada pela Vault.com, cerca de

90% dos funcionários utilizam a Internet para fins pessoais dentro da empresa. Destes, 15%

utilizam mais de 2 horas diárias [5].

2 A Ferramenta Blue Coat ProxySG (Security Gateway)

Fundada em 1996, a Blue Coat Inc. fornece soluções a mais de 15.000 clientes em

todo o mundo, incluindo 81% da Fortune Global 500 [5].

Segundo o Gartner Group, consultoria fundada em 1979, a ferramenta oferecida pela

Blue Coat Inc. foi eleita líder de mercado [6].

As ferramentas aplicadas no ambiente são:

Proxy SG 510-20 (Appliance)

Proxy AV 810-A (Appliance)

BCAAA (Software)

Reporter 9 Standard (Software)

2.1 Topologia Lógica

O ambiente que provê o acesso à Internet para todas as unidades está implantando no

datacenter da IBM em Hortolândia – SP.

A Figura 2 demonstra esta topologia

Figura 2 - Topologia Lógica

O acesso à Internet realizado pela empresa X é centralizado neste ambiente garantindo

que apenas o tráfego autorizado e monitorado.

Os equipamentos que entregam o serviço de acesso à Internet estão montados de

forma redundante. Isto é, os equipamentos PROXYSG01 e PROXYSG02 estão interligados

de maneira que, no caso de falha em um dos equipamentos, outro assuma o seu

processamento. Esta configuração se repete nos servidores HOR138 e HOR139 que realizam

a autenticação.

2.2 Categorizações Dinâmicas

Como a empresa optou por oferecer acesso à Internet para os funcionários, bloquear

todos os sites e liberar apenas os necessários geraria uma demanda considerável, o tempo para

liberar cada site multiplicado pelo número de solicitações inviabilizaria a liberação deste

recurso.

Logo, é necessário que a ferramenta categorize dinamicamente os sites diminuindo o

tempo de ação e melhorando a organização do acesso. A ferramenta Blue Coat ProxySG

possui mecanismos de categorização dinâmica de conteúdos.

Esta tecnologia chama-se Blue Coat Web Filter que consistem em um sistema on-line

mantido pela fabricante que contém a avaliação de bilhões de websites.

Os sites que não estão classificados nesta base são processados em tempo real através

do serviço DRTR™ (Real-Time Rating). Na figura 3 é possível visualizar este processo.

Figura 3 - Funcionamento da Categorização Dinâmica [7]

O acesso é definido pelas regras de acesso e bloqueio vigentes, porém, o sistema

processa todas as solicitações de acesso utilizando o banco de dados local para realizar a

categorização.

Segundo a fabricante, aproximadamente 94 % das requisições do usuário são

processadas localmente. O restante é processado nos servidores em nuvem de maneira

transparente para o usuário.

O resultado deste processo também alimenta o banco de dados local de todos os

clientes que utilizam esta ferramenta.

3 Configuração das Ferramentas

Esta seção demonstra as configurações básicas para a aplicação das politicas que serão

utilizadas para prover o acesso seguro à Internet.

3.1 Configurações das Interfaces de Rede

As configurações de rede dos equipamentos ProxySG foram realizadas na interface 0:0

em cada equipamento, respectivamente os IPs são:

172.16.48.246/20

172.16.48.245/20

Estes endereços compreendem as interfaces físicas, utilizados basicamente para

manutenção e administração dos equipamentos via o protocolo HTTPS.

Conforme pode ser observada na Figura 4, a configuração do default gateway deverá ser

definida para que a ferramenta tenha comunicação com o link Internet e com todos os

equipamentos que irão utilizar este recurso.

No caso, foram inseridas regras no firewall permitindo a saída de todo o tráfego à

Internet proveniente dos endereços IPs da ferramenta.

Figura 4 - Default Gateway

O equipamento consulta o servidor DNS interno do ambiente, este possui consulta

recursiva para as demais zonas não-autoritativas. A Figura 5 demonstra a configuração dos

servidores DNS na ferramenta.

Figura 5 - Configuração do DNS

O motivo de usar os servidores de DNS internos foi o fato de o ambiente possuir o nome

do domínio interno (estrutura Microsoft Active Directory) idêntico ao domínio válido na

Internet. Esta configuração „falha‟ é conhecida como Slipt-brain syndrome, assim, o Proxy irá

resolver os nomes da zona interna que correspondem a aplicativos internos como intranet e

outros aplicativos baseados em webservices.

O ambiente foi desenhado para ser resistente a falhas. Para tanto, foram criados dois

Failover Groups, um com os seguintes endereços virtuais:

172.16.48.243/20

172.16.48.244/20

Os endereços de multicast:

224.16.48.244

224.16.48.243

O equipamento nomeado PROXYSG01 foi definido com Master do grupo

172.16.48.244/20 e Slave do grupo 172.16.48.243/20 conforme demonstra a Figura 6.

Figura 6 - Configuração Failover PROXYSG01

O equipamento nomeado PROXYSG02 foi definido como Master do grupo

172.16.48.243/20 e Slave do grupo 172.20.48.244/20 ilustrado na Figura 7.

Figura 7 - Configuração Failover PROXYSG02

Duas entradas no DNS interno do tipo “A” chamadas “proxy” apontam para estes IPs

virtuais. O balanceamento dos acessos dos usuários entre os appliances foi utilizando Round

Robin que resolve o nome em IP a cada consulta do usuário ao Proxy.

Figura 8 - Configuração DNS Interno

Após as configurações básicas, é possível criar os filtros e as configurações específicas

que controla o acesso à Internet.

3.2 Configuração do Filtro de Conteúdo

Os equipamentos foram configurados para utilizar os filtros de conteúdo IWF (Internet

Watch Foundation), que combate a pornografia infantil na Internet e o BCWF (Blue Coat

WebFilter).

Figura 9 - Content Filtering

Para o filtro IWF foi marcada a opção Automactilly check for updates que atualiza a

base constantemente. Credenciais não são necessárias para este filtro devido trata-se de um

filtro aberto;

Figura 10 - Internet Watch Foundation

Para o filtro BCWF, a opção de atualização automática também é habilitada e

adicionado credencias apara efetuar a atualização da base.

Figura 11 - Blue Coat WebFilter

Estas configurações são a parte mais significativa da ferramenta que é a categorização

dos sites.

3.3 Autenticação Integrada

A autenticação do serviço Proxy é integrada com o Microsoft Active Directory. Para

esta funcionalidade foi implantado o serviço BCAAA (Blue Coat Authentication and

Authorization Agent) em dois servidores membros do domínio interno para ativar a

funcionalidade IWA (Integrated Windows Authentication). Este recurso deixa transparente a

autenticação dos usuários ao acessar a Internet e definem o nível de acesso baseado em

grupos de segurança.

Figura 12 – Servidores IWA

Os servidores membros que executam este serviço executam o sistema operacional

Microsoft Windows 2003 Standard respondendo pelos endereços IPs 172.16.50.212/20 e

172.16.50.214/20. O agente BCAAA foi configurado para receber conexões na porta

TCP/16101 e para ser executado pelo usuário “dominio\awpbc”. A Figura 12 mostra o

resultado desta configuração.

3.4 Servidor de Relatórios de Acesso à Internet

A funcionalidade Access Logging armazena os logs de acesso dos usuários e enviam

para o servidor Bluecoat Reporter 9 a cada cinco minutos via protocolo FTP conforme

demonstra a Figura 13. Este servidor executa o sistema operacional Microsoft Windows 2003

Standard configurado com o IP 172.16.50.214/20.

Figura 13 - Configurações do FTP

Os logs são gerados nos próprios appliances PROXYSG01 e PROXYSG02 e são

encaminhados para este servidor. O serviço Blue Coat Reporter consolidam as informações

para que sejam disponibilizadas nos relatórios.

3.5 Serviços Externos - Antivirus

Os arquivos que são baixados pelo usuário passam adicionalmente pela varredura do

equipamento PROXYAV configurado com o endereço IP 172.16.48.247/20.

O gerenciamento do sistema é via protocolo HTTPS na porta TCP/8082, conforme

destaca a Figura 14.

Figura 14 - Configuração do PROXYAV

A comunicação entre o ProxySG e o ProxyAV ocorre através do protocolo ICAP

(Internet Content Adaption Protocol) que permite que o conteúdo seja identificado e

analisado pelo sistema de varredura de antivírus.

Figura 15 - ICAP Services no ProxySG

Se o arquivo que está sendo carregado ainda não foi verificado pelo ProxyAV, ou seja,

não está em cache, o usuário terá uma pequena lentidão no download.

O ProxyAV utiliza o sistema de antivírus da Sophos, porém suporta diversos

fabricantes de antivírus.

Este sistema de antivírus tem como objetivo inibir que conteúdos viróticos ou mal

intencionados cheguem à rede interna. Isto cria uma barreira anterior ao antivírus instalado na

estação de trabalho. Por este motivo, o fabricante do antivírus desta camada é diferente do

fabricante da proteção front-end.

4 Grupos de Segurança e Regras

Dentro do domínio interno baseado no Microsoft Active Directory, foram criados

quatro grupos de segurança para liberação do acesso à Internet para os usuários:

Usuários Internet VIP: 1% dos usuários

Usuários Internet Aplicativos: 2% dos usuários

Usuários Internet TI: 1% dos usuários

Usuários Internet: 96% dos usuários

Estes grupos de segurança estão definidos no ProxySG e possuem a seguinte

configuração/liberação das categorias. Por padrão, a última regra bloqueia qualquer site que

não esteja categorizado pelo sistema ou liberado explicitamente. Esta configuração é

demonstrada na Figura 16.

Figura 16 - Regras por Grupos AD

Dentre as 80 regras disponíveis pela ferramenta, apenas 35 foram disponibilizadas

para o ambiente juntamente com 1 categoria personalizada que contém os endereços liberados

explicitamente. A Figura 17 ilustra a relação dos grupos de segurança do Active Directory

com as categorias:

Figura 17 - Categoria X Grupos

As 45 categorias restantes foram bloqueadas para todos os grupos juntamente com 1

categoria personalizada que possuem endereços adicionados explicitamente. Na Figura 17,

são exibidas as categorias banidas.

Figura 18 - Categorias Banidas

Estes grupos foram banidos por segurança, no caso da categoria “Phishing” ou por

não serem de interesse da empresa como “Nudity” e “Abortion”.

5 Configuração do Navegador

As configurações do Proxy foram adicionadas na ferramenta via GPO (Group Policy

Objects) configuradas no domínio conforme ilustra a Figura 19. Todo usuário possui definido

no navegador padrão Microsoft Internet Explorer esta configuração e não tem privilégios para

modifica-la.

Figura 19 - Politica de Configuração

Apenas a autenticação integrada com o Active Directory permite que os usuários que

são membros de algum grupo disponível tenha acesso à Internet. Por motivos de segurança,

não foram liberados outras formas de autenticação para os equipamentos membros do

domínio.

6 Testando o Acesso à Internet

Ao efetuar logon com um usuário membro do grupo “Usuários Acesso Internet” e

tentar acessar um site com sua categoria não permitida, exemplo “Social Network” o ProxySG

redireciona o acesso à uma página desenvolvida para esta finalidade. Conforme foi

visualizado na Figura 20, o acesso foi bloqueado para este usuário.

Figura 20 - Categoria Bloqueada para o Grupo "Usuários Internet"

Ao efetuar o logon no equipamento com um usuário membro do grupo “Usuarios

Internet VIP”, o acesso é concedido conforme observado na Figura 21.

Figura 21 - Categoria Liberada para o Grupo "Usuários Internet VIP"

7 Relatórios

A ferramenta Blue Coat Reporter 9 possibilita a geração de relatórios e estatísticas que

auxiliam na gestão do ambiente de acesso à Internet. Abaixo na Figura 22 estão alguns dos

principais indicadores.

Figura 22 - Indicadores do Blue Coat Reporter 9

A ferramenta permite a geração de relatórios mais detalhados como acessos por

usuários, período, IP e outros modelos que podem ser customizados conforme a necessidade.

8 Conclusão

O desafio de oferecer aos usuários corporativos um acesso controlado e seguro à

Internet cresce exponencialmente. Milhões de sites e ameaças, desenvolvidas nas mais

diversas tecnologias, oferecem riscos imensuráveis à empresa.

Possuir politicas e normas internas que doutrinem os usuários para a correta utilização

deste recurso, aliado às tecnologias que ofereçam indicadores gerenciais, visibilidade

acompanhando o crescimento da Internet é fundamental para que seja possível equilibrar a

segurança da informação negócio.

Neste artigo, foi demonstrado como a ferramenta oferecida pela Blue Coat auxilia a

empresa a alcançar estes objetivos, facilitando a organização e melhorando o desempenho do

acesso à Internet.

Bibliografia

[1] Panda Security – Acessado em 01/11/2010.

http://press.pandasecurity.com/wp-content/uploads/2010/08/2nd-International-Security-

Barometer.pdf

[2] Índice Fundamental do Direto – Acessado em 02/11/2010.

http://www.dji.com.br/codigos/2002_lei_010406_cc/010406_2002_cc_0927_a_0943.htm

[3] Safenet– Acessado em 01/11/2010.

http://www.safernet.org.br/site/indicadores

[4] Administrador – Acessado em 04/11/2010.

http://www.administradores.com.br/informe-se/informativo/internet-sem-limites-

compromete-produtividade-de-empresa/255/

[5] Blue Coat, Inc. – Acessado em 10/11/2010.

http://www.bluecoat.com/company/aboutbluecoat

[6] Gartner, Inc. – Acessado em 16/02/2010. http://www.gartner.com/technology/media-products/reprints/cisco/article6/article6.html

[7] Blue Coat, Inc. – Acessado em 10/11/2010.

http://www.bluecoat.com/resources/datasheets