Filtrado de contenido

Filtrado de contenido según el tipo de archivo

Anteriormente, el filtrado de contenido se realizaba para bloquear o permitir ciertos tipos de tráfico según el tipo MIME, la extensión de archivo y el comando de protocolo. El filtro de contenido controla las transferencias de archivos a través de la puerta de enlace comprobando el tráfico con las listas de filtros configuradas. Este tipo de evaluación basada en el tipo de archivo solo se admite en versiones de Junos OS anteriores a Junos OS versión 21.4R1.

A partir de Junos OS versión 21.4R1, la evaluación del contenido se realiza en función del contenido del archivo. La evaluación del contenido basada en el tipo de archivo está en desuso y las configuraciones relacionadas están ocultas.

Puede usar la funcionalidad heredada si no desea migrar a la funcionalidad mejorada de filtrado de contenido. Se le permitirá usar las configuraciones heredadas, pero todas las perillas de configuración heredadas están obsoletas y ocultas. Además, recibirá registros del sistema y advertencias de mensajes de error cuando use las opciones de configuración heredadas.

En este tipo de evaluación, el módulo de filtro de contenido evalúa el tráfico antes que todos los demás módulos de seguridad de contenido, excepto el filtrado web. Por lo tanto, si el tráfico cumple los criterios configurados en el filtro de contenido, el filtro de contenido actúa primero sobre este tráfico.

Puede configurar los siguientes tipos de filtros de contenido:

• Filtro de patrones MIME: los patrones MIME se utilizan para identificar el tipo de tráfico en los protocolos HTTP y MAIL. Hay dos listas de patrones MIME que utiliza el filtro de contenido para determinar la acción que se va a realizar. La lista MIME de bloque contiene una lista de tráfico de tipo MIME que debe bloquear el filtro de contenido. La lista de excepciones MIME contiene patrones MIME que el filtro de contenido no debe bloquear y que generalmente son subconjuntos de elementos de la lista de bloqueo. Tenga en cuenta que la lista de excepciones tiene una prioridad más alta que la lista de bloqueo. Si tiene entradas MIME que aparecen en ambas listas, el filtro de contenido no bloquea esos tipos MIME porque la lista de excepciones tiene prioridad. Por lo tanto, al agregar elementos a la lista de excepciones, es ventajoso ser específico.

• Lista de extensiones de bloque: debido a que el nombre de un archivo está disponible durante las transferencias de archivos, el uso de extensiones de archivo es una forma muy práctica de bloquear o permitir transferencias de archivos. La lista de filtros de contenido contiene una lista de extensiones de archivo que se van a bloquear. Todos los protocolos admiten el uso de la lista de extensiones de bloque.

• Listas de permisos y bloqueos de comandos de protocolo: diferentes protocolos utilizan comandos diferentes para comunicarse entre servidores y clientes. Al bloquear o permitir ciertos comandos, el tráfico se puede controlar en el nivel de comando de protocolo.

  Las listas de comandos de bloqueo y permiso están diseñadas para usarse en combinación, con la lista de permisos actuando como una lista de excepciones a la lista de bloqueo.

  Si aparece un comando de protocolo tanto en la lista de permisos como en la lista de bloqueo, ese comando está permitido.

  A partir de Junos OS versión 15.1X49-D100, el tráfico de paso a través de IPv6 para los protocolos HTTP, FTP, SMTP, POP3 e IMAP es compatible con el filtrado web y las funciones de seguridad de filtrado de contenido de Content Security.

Dado que no todos los archivos o componentes dañinos se pueden controlar mediante el tipo MIME o mediante la extensión de archivo, también puede utilizar el módulo de filtro de contenido para bloquear ActiveX, Java Applets y otros tipos de contenido. Los siguientes tipos de bloqueo de contenido solo se admiten para HTTP:

• Bloquear ActiveX

• Bloquear applets de Java

• Bloquear cookies

• Bloquear archivos EXE

• Bloquear archivos ZIP

Filtrado de contenido basado en el contenido del archivo

Anteriormente, el filtrado de contenido se basaba en el tipo de archivo, el tipo MIME, el tipo de contenido y el comando de protocolo. La detección de archivos mediante el tipo MIME, filtros de comandos de protocolo o filtros por extensión de archivo no siempre es confiable. La forma más fácil de identificar un tipo de archivo es por extensiones de nombre de archivo, pero no es auténtico ya que se puede dar cualquier extensión a cualquier tipo de archivo.

A partir de Junos OS versión 21.4R1, Content Security realiza un filtrado de contenido para determinar el tipo de archivo en función del contenido del archivo y no en función de las extensiones de archivo. Primero se analiza el contenido del archivo para determinar con precisión el tipo de archivo. Esta característica complementa la identificación de aplicaciones (App ID) y le permite configurar el firewall para identificar y controlar el acceso al tráfico web (HTTP y HTTPS) y para proteger su red de ataques. Cuando el ID de aplicación confirma la coincidencia final de la aplicación, la política de seguridad de contenido correspondiente se tiene en cuenta para el filtrado de contenido.

El filtrado de contenido basado en el contenido del archivo se realiza de la siguiente manera:

• Identificación de archivos: para cada tipo de archivo, hay reglas definidas para examinar el contenido y determinar el tipo de archivo. El proceso de Content Security utiliza el contenido del archivo y lo compara con las reglas definidas para determinar el tipo de archivo.

• Definir reglas de filtrado de contenido para la dirección del tráfico: el proceso de seguridad de contenido lee la configuración de la CLI, analiza e interpreta los conjuntos de reglas y las reglas. Puede definir las reglas de filtrado de contenido y aplicarlas para dirigir el tráfico.

  El conjunto de reglas y las configuraciones de reglas se agregan bajo el nivel de [edit security utm utm-policy <utm-policy-name> content-filtering] jerarquía.

  Puede configurar la opción de restablecimiento de conexión en la regla de filtro de contenido. Cuando se detecta el contenido enumerado en la regla, los controladores de protocolo realizan el restablecimiento de la conexión TCP con el cliente y el servidor exactamente como están configurados en la directiva.

  Nota:

  No se admiten opciones de filtrado de contenido basadas en el comando MIME-type, content-type y protocol. Después de actualizar a Junos OS versión 21.4R1, no se admiten las opciones de filtrado de contenido basadas en extensiones de archivo existentes anteriormente en las [edit security utm utm-policy <utm-policy-name> content-filtering] jerarquías y [edt security utm feature-profile content-filtering profile <profile-name>.

• Usar las reglas y los conjuntos de reglas definidos para el filtrado de contenido: puede utilizar las reglas y los conjuntos de reglas definidos anteriormente desde la [edit security utm default-configuration content-filtering jerarquía. Estas reglas y conjuntos de reglas le permiten configurar filtros de contenido específicos de dirección y restablecimiento de conexión.

• Selección de la política de seguridad de contenido para el filtrado de contenido: una vez que el ID de la aplicación confirma la coincidencia final de la aplicación, se elige para su procesamiento la política de seguridad de contenido potencial coincidente en la que se definen las reglas de filtrado de contenido.

  Para cada política de seguridad de contenido, se crea una cadena con una lista de nodos de conjunto de reglas y todas las reglas configuradas bajo un conjunto de reglas se agregan a una lista y luego se adjuntan al nodo de conjunto de reglas respectivo.

  Después de pasar todas las comprobaciones, se asigna un ID único para cada conjunto de reglas y regla configurada para conservar y organizar la información respectiva en la memoria local. Este almacenamiento en la memoria local es necesario para realizar un seguimiento de los cambios de configuración que realice y para sincronizar las actualizaciones.

• Comprobación: utilice los siguientes comandos para ver las estadísticas y los errores del sistema de filtrado de contenido.

  • Para mostrar estadísticas de filtrado de contenido en una política dentro del sistema lógico raíz, use los show security utm content-filtering statistics utm policy <utm policy name> comandos y show security utm content-filtering statistics root-logical-system utm-policy <utm policy name> .

  • Para mostrar estadísticas de filtrado de contenido en una política dentro de un sistema lógico especificado, utilice el show security utm content-filtering statistics logical-system <logical-system-name> utm-policy <utm policy name> comando.

Si migra a esta nueva característica y si hay opciones heredadas en sus configuraciones, recibirá los siguientes mensajes de error y se producirá un error en la confirmación.

Puede usar la funcionalidad de filtrado de contenido heredado si no desea migrar a la característica de filtrado de contenido mejorada. Las opciones de configuración heredadas están en desuso y están ocultas. Recibirá el siguiente mensaje de error cuando utilice las opciones heredadas obsoletas.

Compatibilidad con HTTP

El protocolo HTTP admite todas las características de filtrado de contenido. Con HTTP, el filtro de contenido permanece en la puerta de enlace, comprobando cada solicitud y respuesta entre el cliente HTTP y el servidor.

Si se interrumpe una solicitud HTTP debido al filtrado de contenido, el cliente recibe una respuesta como:

Por lo tanto, puede aparecer un mensaje como sigue:

Soporte FTP

El protocolo FTP no admite todas las características de filtrado de contenido. Solo admite lo siguiente: Lista de extensiones de bloque y Lista de bloqueo de comandos de protocolo.

Cuando el filtrado de contenido bloquea una solicitud FTP, se envía la siguiente respuesta a través del canal de control:

Por lo tanto, puede aparecer un mensaje como sigue:

Soporte por correo electrónico

Los protocolos de correo electrónico (SMTP, IMAP, POP3) tienen compatibilidad limitada con el filtrado de contenido para las siguientes características: Lista de extensiones de bloques, Lista de bloqueo de comandos de protocolo y Filtrado de patrones MIME. El soporte es limitado para los protocolos de correo electrónico por las siguientes razones:

• El filtro de contenido examina sólo un nivel de un encabezado de correo electrónico. Por lo tanto, los encabezados de correo electrónico recursivos y los archivos adjuntos cifrados no se analizan.

• Si un correo electrónico completo está codificado MIME, el filtro de contenido sólo puede buscar el tipo MIME.

• Si alguna parte de un correo electrónico se bloquea debido al filtrado de contenido, el correo electrónico original se elimina y se reemplaza por un archivo de texto con una explicación de por qué se bloqueó el correo electrónico.

A partir de Junos OS versión 19.4R1, la función antivirus y filtrado de contenido admite SMTPS implícito y explícito, IMAPS y el protocolo POP3S, y solo admite FTPS de modo pasivo explícito.

Modo implícito: conéctese al puerto cifrado SSL/TLS mediante el canal seguro.

Modo explícito: primero conéctese a un canal no seguro y, a continuación, proteja la comunicación emitiendo el comando STARTTLS. Para POP3S, utilice el comando STLS.

Propósito

Ver estadísticas de filtrado de contenido.

Acción

Para ver estadísticas de filtrado de contenido en la CLI, escriba el user@host > show security utm content-filtering statistics comando.

El comando de filtrado de show statistics contenido muestra la siguiente información:

Para ver estadísticas de filtrado de contenido con J-Web:

1. Seleccione Borrar estadísticas de filtrado de contenidoMonitor>Seguridad>UTM>Monitor de filtrado de contenido>Seguridad>UTM>Filtrado de contenido.

   Las siguientes estadísticas se pueden ver en el panel derecho.

2. Puede hacer clic en Borrar estadísticas de filtrado de contenido para borrar todas las estadísticas visibles actuales y comenzar a recopilar nuevas estadísticas.