salamlar! Kursun altıncı dərsinə xoş gəlmisiniz
Təhlükəsizlik profillərinə başlamaq üçün daha bir şeyi başa düşməliyik - yoxlama rejimləri.
Defolt axın əsaslı rejimdir. Buferləşdirmədən FortiGate-dən keçən faylları yoxlayır. Paket gəldikdən sonra bütün faylın və ya veb səhifənin gəlməsini gözləmədən işlənir və ötürülür. O, daha az resurs tələb edir və Proksi rejimindən daha yaxşı performans təmin edir, lakin eyni zamanda, bütün Təhlükəsizlik funksiyaları orada mövcud deyil. Məsələn, Data Leak Prevention (DLP) yalnız Proksi rejimində istifadə edilə bilər.
Proksi rejimi fərqli işləyir. O, biri müştəri ilə FortiGate'om, ikincisi FortiGate'om və server arasında olmaqla iki TCP bağlantısı yaradır. Bu, ona trafiki bufer etməyə, yəni tam fayl və ya veb səhifəni almağa imkan verir. Müxtəlif təhlükələr üçün faylların skan edilməsi yalnız bütün fayl buferləndikdən sonra başlayır. Bu, axın əsaslı rejimdə mövcud olmayan əlavə funksiyalardan istifadə etməyə imkan verir. Gördüyünüz kimi, bu rejim Flow Based rejiminin əksi kimi görünür - təhlükəsizlik burada böyük rol oynayır və performans arxa plana keçir.
Bizdən tez-tez soruşurlar ki, hansı daha yaxşıdır? Ancaq burada ümumi resept yoxdur. Hər şey həmişə fərdi və ehtiyaclarınızdan və tapşırıqlarınızdan asılıdır. Mən daha sonra kursda Flow və Proxy rejimlərində təhlükəsizlik profilləri arasındakı fərqləri göstərməyə çalışacağam. Bu, xüsusiyyətləri müqayisə etməyə və hansının sizin üçün daha yaxşı olduğuna qərar verməyə kömək edəcək.
Gəlin birbaşa təhlükəsizlik profillərinə keçək və əvvəlcə Veb Filtrinə baxaq. Bu, istifadəçilərin hansı veb-saytlara daxil olduğunu idarə etməyə və ya izləməyə kömək edir. Hesab edirəm ki, indiki reallıqlarda belə bir profilə ehtiyac olduğunu izah etməyə dərindən getməyə dəyməz. Bunun necə işlədiyini daha yaxşı anlayaq.
TCP bağlantısı qurulduqdan sonra istifadəçi GET sorğusundan istifadə edərək xüsusi veb saytın məzmununu tələb edir.
Veb server müsbət cavab verirsə, cavab olaraq veb sayt məlumatını göndərir. Veb filtrinin işə girdiyi yer budur. O, verilən cavabın məzmununu yoxlayır.Yoxlama zamanı FortiGate verilmiş veb-saytın kateqoriyasını müəyyən etmək üçün FortiGuard Distribution Network (FDN)-ə real vaxt rejimində sorğu göndərir. Müəyyən bir veb saytın kateqoriyasını təyin etdikdən sonra veb filtri, parametrlərdən asılı olaraq, müəyyən bir hərəkəti yerinə yetirir.
Axın rejimində üç hərəkət mövcuddur:
- Allow - vebsayta girişə icazə verin
- Blok - veb-sayta girişi bloklayın
- Monitor - vebsayta girişə icazə verin və onu daxil edin
Proksi rejimində daha iki hərəkət əlavə olunur:
- Xəbərdarlıq - istifadəçiyə müəyyən bir resursu ziyarət etməyə çalışdığı barədə xəbərdarlıq edin və istifadəçiyə seçim verin - veb saytı davam etdirin və ya tərk edin
- Authenticate - istifadəçi etimadnaməsini tələb edir - bu, müəyyən qruplara veb-saytların məhdudlaşdırılmış kateqoriyalarına giriş icazəsi verməyə imkan verir.
Site
Tətbiq nəzarəti haqqında çox az şey demək olar. Adından da göründüyü kimi, proqramların işinə nəzarət etməyə imkan verir. Və o, bunu müxtəlif tətbiqlərin nümunələri, sözdə imzaların köməyi ilə edir. Bu imzalara əsaslanaraq, o, konkret ərizə müəyyən edə və ona konkret hərəkət tətbiq edə bilər:
- İcazə verin - icazə verin
- Monitor - icazə verin və qeyd edin
- Bloklamaq - qadağan etmək
- Karantin - qeydlərə bir hadisə yazın və müəyyən bir müddət üçün IP ünvanını bloklayın
Siz həmçinin saytda mövcud imzalara baxa bilərsiniz
İndi HTTPS yoxlama mexanizminə baxaq. 2018-ci ilin sonuna olan statistikaya görə, HTTPS trafikinin payı 70%-i ötüb. Yəni, HTTPS yoxlamasından istifadə etmədən biz şəbəkədən keçən trafikin yalnız təxminən 30%-ni təhlil edə biləcəyik. Əvvəlcə HTTPS-in təxmini bir şəkildə necə işlədiyinə baxaq.
Müştəri veb serverə TLS sorğusu göndərir və TLS cavabını alır, həmçinin bu istifadəçi üçün etibar edilməli olan rəqəmsal sertifikatı görür. Bu, HTTPS-in işi haqqında bilməli olduğumuz zəruri minimumdur, əslində onun iş sxemi daha mürəkkəbdir. Uğurlu TLS əl sıxmasından sonra şifrələnmiş məlumat ötürülməsi başlayır. Və bu yaxşıdır. Veb server ilə mübadilə etdiyiniz məlumatlara heç kim daxil ola bilməz.
Ancaq təhlükəsizlik şirkətləri üçün bu, əsl başağrısıdır, çünki onlar bu trafiki görə bilmirlər və məzmununu nə antivirus, nə müdaxilənin qarşısının alınması sistemi, nə də DLP sistemləri ilə yoxlaya bilmirlər. Bu, həm də şəbəkə daxilində istifadə olunan proqramların və veb resursların tərifinin keyfiyyətinə mənfi təsir göstərir - məhz dərsimizin mövzusuna uyğun olan. HTTPS yoxlama texnologiyası bu problemi həll etmək üçün nəzərdə tutulub. Onun mahiyyəti çox sadədir - əslində HTTPS yoxlaması ilə məşğul olan cihaz Man In The Middle hücumunu təşkil edir. Bu, belə görünür: FortiGate istifadəçinin sorğusuna müdaxilə edir, onunla HTTPS əlaqəsini təşkil edir və öz başına istifadəçinin əldə etdiyi resursla HTTPS sessiyası yaradır. Eyni zamanda, FortiGate tərəfindən verilmiş sertifikat istifadəçinin kompüterində görünəcək. Brauzerin əlaqəyə icazə verməsi üçün ona etibar edilməlidir.
Əslində, HTTPS yoxlaması olduqca mürəkkəb bir şeydir və bir çox məhdudiyyətlərə malikdir, lakin biz bunu bu kurs çərçivəsində nəzərdən keçirməyəcəyik. Yalnız əlavə edəcəyəm ki, HTTPS yoxlamasının həyata keçirilməsi bir neçə dəqiqəlik bir məsələ deyil, adətən təxminən bir ay çəkir. Lazımi istisnalar haqqında məlumat toplamaq, müvafiq parametrləri etmək, istifadəçilərdən rəy toplamaq və parametrləri tənzimləmək lazımdır.
Yuxarıdakı nəzəriyyə, eləcə də praktiki hissə bu video dərsdə təqdim olunur:
Növbəti dərsdə biz digər təhlükəsizlik profillərinə baxacağıq: antivirus və müdaxilənin qarşısının alınması. Onu qaçırmamaq üçün aşağıdakı kanallardakı yenilikləri izləməyə davam edin:
Mənbə: www.habr.com