Filtragem de conteúdo

Filtragem de conteúdo com base no tipo de arquivo

Anteriormente, a filtragem de conteúdo era realizada para bloquear ou permitir certos tipos de tráfego com base no tipo MIME, extensão de arquivo e comando de protocolo. O filtro de conteúdo controla as transferências de arquivos pelo gateway verificando o tráfego em listas de filtro configuradas. Esse tipo de avaliação com base no tipo de arquivo é suportada apenas nas versões do Junos OS antes do Junos OS Release 21.4R1.

A partir do Junos OS Release 21.4R1, a avaliação de conteúdo é feita com base no conteúdo do arquivo. A avaliação de conteúdo baseada no tipo de arquivo é preterida e as configurações relacionadas estão ocultas.

Você pode usar a funcionalidade legada se não quiser migrar para uma funcionalidade aprimorada de filtragem de conteúdo. Você poderá usar as configurações legadas, mas todos os botões de configuração legados estão preteridos e ocultos. Além disso, você receberá logs do sistema e avisos de mensagem de erro quando usar as opções de configuração legadas.

Nesse tipo de avaliação, o módulo do filtro de conteúdo avalia o tráfego antes de todos os outros módulos de segurança de conteúdo, exceto a filtragem da Web. Portanto, se o tráfego atender a critérios configurados no filtro de conteúdo, o filtro de conteúdo age primeiro sobre esse tráfego.

Você pode configurar os seguintes tipos de filtros de conteúdo:

• Filtro de padrão MIME — os padrões MIME são usados para identificar o tipo de tráfego em protocolos HTTP e MAIL. Existem duas listas de padrões MIME que são usados pelo filtro de conteúdo para determinar a ação a ser tomada. A lista MIME de blocos contém uma lista de tráfego do tipo MIME que deve ser bloqueado pelo filtro de conteúdo. A lista de exceção do MIME contém padrões MIME que não devem ser bloqueados pelo filtro de conteúdo e geralmente são subconjuntos de itens na lista de blocos. Observe que a lista de exceção tem uma prioridade maior do que a lista de blocos. Se você tiver entradas MIME que aparecem em ambas as listas, esses tipos MIME não serão bloqueados pelo filtro de conteúdo porque a lista de exceção tem prioridade. Portanto, ao adicionar itens à lista de exceção, é a sua vantagem ser específico.

• Lista de extensão de blocos — Como o nome de um arquivo está disponível durante as transferências de arquivos, usar extensões de arquivo é uma maneira altamente prática de bloquear ou permitir transferências de arquivos. A lista de filtros de conteúdo contém uma lista de extensões de arquivo a serem bloqueadas. Todos os protocolos oferecem suporte ao uso da lista de extensão do bloco.

• Listas de bloqueio e permissão de protocolo — diferentes protocolos usam comandos diferentes para se comunicar entre servidores e clientes. Ao bloquear ou permitir determinados comandos, o tráfego pode ser controlado no nível de comando do protocolo.

  As listas de comando de blocos e permissões destinam-se a ser usadas em combinação, com a lista de permissões agindo como uma lista de exceção para o blocklist.

  Se um comando de protocolo aparecer na lista de permissões e na lista de bloqueio, esse comando será permitido.

  Começando com o Junos OS Release 15.1X49-D100, o tráfego de passagem IPv6 para http, FTP, SMTP, POP3, protocolos IMAP é suportado para filtragem de Web e recursos de segurança de filtragem de conteúdo da Segurança de Conteúdo.

Como nem todos os arquivos ou componentes nocivos podem ser controlados pelo tipo MIME ou pela extensão do arquivo, você também pode usar o módulo de filtro de conteúdo para bloquear ActiveX, Java Applets e outros tipos de conteúdo. Os seguintes tipos de bloqueio de conteúdo são suportados apenas para HTTP:

• Bloqueie o ActiveX

• Bloqueie applets Java

• Bloquear cookies

• Bloqueie arquivos EXE

• Bloqueie arquivos ZIP

Filtragem de conteúdo com base no conteúdo do arquivo

A filtragem de conteúdo foi realizada anteriormente com base no tipo de arquivo, tipo de mímica, tipo de conteúdo e comando de protocolo. A detecção de arquivos usando o tipo MIME, filtros de comando de protocolo ou filtros de extensão de arquivo nem sempre é confiável. A maneira mais fácil de identificar um tipo de arquivo é por extensões de nome de arquivo, mas não é autêntica, pois qualquer extensão pode ser dada a qualquer tipo de arquivo.

A partir do Junos OS Release 21.4R1, o Content Security executa a filtragem de conteúdo para determinar o tipo de arquivo com base no conteúdo do arquivo e não com base nas extensões de arquivo. O conteúdo do arquivo é analisado pela primeira vez para determinar com precisão o tipo de arquivo. Esse recurso complementa a identificação de aplicativos (App ID) e permite que você configure o firewall para identificar e controlar o acesso ao tráfego web (HTTP e HTTPS) e proteger sua rede contra ataques. Quando a correspondência final do aplicativo é confirmada pelo App ID, a política de segurança de conteúdo correspondente é considerada para filtragem de conteúdo.

A filtragem de conteúdo com base no conteúdo do arquivo é executada da seguinte forma:

• Identificação de arquivo: Para cada tipo de arquivo, existem regras definidas para examinar o conteúdo e determinar o tipo de arquivo. O processo de segurança de conteúdo usa o conteúdo do arquivo e o combina com as regras definidas para determinar o tipo de arquivo.

• Defina regras de filtragem de conteúdo para direção de tráfego: o processo de segurança de conteúdo lê a configuração da CLI, analisa e interpreta conjuntos de regras e regras. Você pode definir as regras de filtragem de conteúdo e aplicar as regras para direcionar o tráfego.

  Configurações definidas por regras e regras são adicionadas no nível de [edit security utm utm-policy <utm-policy-name> content-filtering] hierarquia.

  Você pode configurar a opção de redefinição de conexão na regra do filtro de conteúdo. Quando o conteúdo listado dentro da regra é detectado, os manipuladores de protocolo executam a redefinição da conexão TCP com o cliente e o servidor exatamente como configurado na política.

  Nota:

  Opções de filtragem de conteúdo baseadas no tipo de mímica, tipo de conteúdo e comando de protocolo não são suportadas. Depois de atualizar para o Junos OS Release 21.4R1, as opções de filtragem de conteúdo baseadas em extensão de arquivo existentes anteriormente sob as [edit security utm utm-policy <utm-policy-name> content-filtering] [edt security utm feature-profile content-filtering profile <profile-name>hierarquias não são suportadas.

• Use as regras e conjuntos de regras definidos para filtragem de conteúdo: você pode usar as regras e conjuntos de regras definidos acima da [edit security utm default-configuration content-filtering hierarquia. Essas regras e conjunto de regras permitem configurar filtros de conteúdo específicos de direção e redefinição de conexão.

• Seleção de políticas de segurança de conteúdo para filtragem de conteúdo: assim que a correspondência final do aplicativo for confirmada pelo APP ID, a política de segurança de conteúdo em potencial correspondente na qual as regras de filtragem de conteúdo são definidas é escolhida para processamento.

  Para cada política de segurança de conteúdo, uma cadeia é criada com lista de nós definidos por regras e todas as regras configuradas sob um conjunto de regras são adicionadas a uma lista e depois anexadas ao respectivo nó definido por regras.

  Depois que todas as verificações são passadas, um ID exclusivo é alocado para cada regra definida por regras configurada para preservar e organizar as respectivas informações na memória local. Esse armazenamento na memória local é necessário para rastrear as mudanças de configuração que você faz e sincronizar as atualizações.

• Verificação: Use os seguintes comandos para visualizar as estatísticas e erros do sistema de filtragem de conteúdo.

  • Para exibir estatísticas de filtragem de conteúdo em uma política dentro do sistema lógico raiz, use os comandos e show security utm content-filtering statistics root-logical-system utm-policy <utm policy name> os show security utm content-filtering statistics utm policy <utm policy name> comandos.

  • Para exibir estatísticas de filtragem de conteúdo em uma política dentro de um sistema lógico especificado, use o show security utm content-filtering statistics logical-system <logical-system-name> utm-policy <utm policy name> comando.

Se você migrar para esse novo recurso e se houver opções legadas em suas configurações, você receberá as seguintes mensagens de erro e o commit falhará.

Você pode usar a funcionalidade de filtragem de conteúdo legado se não quiser migrar para o recurso aprimorado de filtragem de conteúdo. As opções de configuração legadas são preteridas e ocultas. Você receberá a seguinte mensagem de erro quando usar as opções legadas preteridas.

Suporte para HTTP

O protocolo HTTP oferece suporte a todos os recursos de filtragem de conteúdo. Com o HTTP, o filtro de conteúdo permanece no gateway, verificando cada solicitação e resposta entre o cliente HTTP e o servidor.

Se uma solicitação DE HTTP for retirada devido à filtragem de conteúdo, o cliente receberá uma resposta como:

Portanto, uma mensagem pode aparecer da seguinte forma:

Suporte para FTP

O protocolo FTP não oferece suporte a todos os recursos de filtragem de conteúdo. Ele oferece suporte apenas ao seguinte: Lista de extensão de blocos e lista de blocos de comando de protocolo.

Quando a filtragem de conteúdo bloqueia uma solicitação de FTP, a resposta a seguir é enviada pelo canal de controle:

Portanto, uma mensagem pode aparecer da seguinte forma:

Suporte para e-mail

Os protocolos de e-mail (SMTP, IMAP, POP3) têm suporte limitado de filtragem de conteúdo para os seguintes recursos: Lista de extensão de blocos, Lista de blocos de protocolo e filtragem de padrões MIME. O suporte é limitado para protocolos de e-mail pelos seguintes motivos:

• O filtro de conteúdo verifica apenas um nível de um cabeçalho de e-mail. Portanto, cabeçalhos de e-mail recursivos e anexos criptografados não são digitalizados.

• Se um e-mail inteiro for codificado por MIME, o filtro de conteúdo só pode digitalizar o tipo MIME.

• Se alguma parte de um e-mail for bloqueada devido à filtragem de conteúdo, o e-mail original será descartado e substituído por um arquivo de texto com uma explicação do motivo pelo qual o e-mail foi bloqueado.

A partir do Junos OS Release 19.4R1, o recurso de filtragem de conteúdo e antivírus oferece suporte a protocolos SMTPS, IMAPS e POP3S implícitos e explícitos, e oferece suporte apenas ao modo passivo explícito FTPS.

Modo implícito — Conecte-se à porta criptografada SSL/TLS usando um canal seguro.

Modo explícito — primeiro conecte-se a um canal não seguro e proteja a comunicação emitindo o comando STARTTLS. Para POP3S, use o comando STLS.

Propósito

Veja estatísticas de filtragem de conteúdo.

Ação

Para ver as estatísticas de filtragem de conteúdo na CLI, entre no user@host > show security utm content-filtering statistics comando.

O comando de filtragem de show statistics conteúdo exibe as seguintes informações:

Para visualizar estatísticas de filtragem de conteúdo usando a J-Web:

1. Selecione estatísticas de filtragem de conteúdo claroMonitor>Security>UTM>Content FilteringMonitor>Security>UTM>Content Filtering.

   As estatísticas a seguir tornam-se acessíveis no painel direito.

2. Você pode clicar em estatísticas de filtragem de conteúdo claro para limpar todas as estatísticas vigíveis atuais e começar a coletar novas estatísticas.