Pozdrav! Dobrodošli na šestu lekciju kursa ... Uključeno savladali smo osnove rada sa NAT tehnologijom na , a također je pustio našeg testnog korisnika na internet. Sada je vrijeme da se brinemo o sigurnosti korisnika na njegovim otvorenim prostorima. U ovoj lekciji ćemo pogledati sljedeće sigurnosne profile: Web Filtriranje, Kontrola aplikacija i HTTPS inspekcija.
Da bismo započeli sa sigurnosnim profilima, moramo razumjeti još jednu stvar: načini inspekcije.
Podrazumevano je režim zasnovan na protoku. Provjerava datoteke dok prolaze kroz FortiGate bez baferovanja. Kada paket stigne, obrađuje se i prosljeđuje, bez čekanja da se primi cijeli fajl ili web stranica. Zahtijeva manje resursa i pruža bolje performanse nego Proxy način rada, ali u isto vrijeme nisu sve sigurnosne funkcionalnosti dostupne u njemu. Na primjer, Data Leak Prevention (DLP) može se koristiti samo u proxy načinu.
Proxy način funkcionira drugačije. On stvara dvije TCP veze, jednu između klijenta i FortiGate-a, drugu između FortiGate-a i servera. Ovo mu omogućava baferovanje saobraćaja, tj. primanje kompletne datoteke ili web stranice. Skeniranje datoteka za razne prijetnje počinje tek nakon što je cijela datoteka baferovana. Ovo vam omogućava da koristite dodatne funkcije koje nisu dostupne u režimu zasnovanom na protoku. Kao što vidite, čini se da je ovaj način suprotan od Flow Based – sigurnost igra glavnu ulogu, a performanse su u pozadini.
Ljudi se često pitaju: koji način je bolji? Ali ovde nema opšteg recepta. Uvek je sve individualno i zavisi od vaših potreba i ciljeva. Kasnije u toku kursa pokušaću da pokažem razlike između bezbednosnih profila u Flow i Proxy režimima. Ovo će vam pomoći da uporedite funkcionalnost i odlučite koja je najbolja za vas.
Pređimo direktno na sigurnosne profile i prvo pogledamo Web Filtriranje. Pomaže u praćenju ili praćenju koje web stranice korisnici posjećuju. Mislim da nema potrebe ići dublje u objašnjavanje potrebe za takvim profilom u sadašnjim realnostima. Hajde da bolje razumemo kako to funkcioniše.
Kada se TCP veza uspostavi, korisnik koristi GET zahtjev da zatraži sadržaj određene web stranice.
Ako web server odgovori pozitivno, on šalje informacije o web stranici natrag. Ovdje na scenu stupa web filter. On provjerava sadržaj ovog odgovora.Tokom verifikacije, FortiGate šalje zahtjev u realnom vremenu FortiGuard Distribution Network (FDN) da odredi kategoriju date web stranice. Nakon određivanja kategorije određene web stranice, web filter, ovisno o postavkama, obavlja određenu radnju.
Dostupne su tri radnje u načinu rada Flow:
- Dozvoli - dozvoli pristup web stranici
- Blokiraj - blokira pristup web stranici
- Monitor - dozvolite pristup web stranici i zabilježite to u dnevnike
U načinu rada Proxy dodaju se još dvije radnje:
- Upozorenje - dajte upozorenje korisniku da pokušava posjetiti određeni resurs i dajte korisniku izbor - nastaviti ili napustiti web stranicu
- Authenticate - Zatražite korisničke vjerodajnice - ovo omogućava određenim grupama pristup ograničenim kategorijama web stranica.
Na lokaciji možete vidjeti sve kategorije i podkategorije web filtera, a također i saznati kojoj kategoriji pripada određena web stranica. I općenito, ovo je prilično korisna stranica za korisnike Fortinet rješenja, savjetujem vam da je bolje upoznate u slobodno vrijeme.
Vrlo malo se može reći o kontroli aplikacija. Kao što ime govori, omogućava vam kontrolu rada aplikacija. I to radi koristeći obrasce iz raznih aplikacija, takozvane potpise. Koristeći ove potpise, on može identificirati određenu aplikaciju i primijeniti određenu radnju na nju:
- Dozvoliti - dozvoliti
- Monitor - dozvolite i zabilježite ovo
- Blokiraj - zabrani
- Karantena - zabilježite događaj u evidenciji i blokirajte IP adresu na određeno vrijeme
Također možete vidjeti postojeće potpise na web stranici .
Pogledajmo sada mehanizam HTTPS inspekcije. Prema statistikama na kraju 2018. godine, udio HTTPS prometa premašio je 70%. Odnosno, bez korištenja HTTPS inspekcije, moći ćemo analizirati samo oko 30% prometa koji prolazi kroz mrežu. Prvo, pogledajmo kako HTTPS funkcionira u gruboj aproksimaciji.
Klijent inicira TLS zahtjev web serveru i prima TLS odgovor, a također vidi digitalni certifikat koji mora biti pouzdan za ovog korisnika. Ovo je minimum koji treba da znamo o tome kako HTTPS funkcioniše; u stvari, način na koji funkcioniše je mnogo komplikovaniji. Nakon uspješnog TLS rukovanja, počinje prijenos šifriranih podataka. I ovo je dobro. Niko ne može pristupiti podacima koje razmjenjujete sa web serverom.
Međutim, za službenike sigurnosti kompanije ovo je prava glavobolja, jer ne mogu vidjeti ovaj promet i provjeriti njegov sadržaj ni antivirusom, ni sistemom za sprječavanje upada, ni DLP sistemima, ili bilo čim. Ovo također negativno utječe na kvalitetu definicije aplikacija i web resursa koji se koriste unutar mreže – upravo ono što se odnosi na našu temu lekcije. Tehnologija HTTPS inspekcije dizajnirana je da riješi ovaj problem. Njegova suština je vrlo jednostavna - zapravo, uređaj koji vrši HTTPS inspekciju organizira napad Man In The Middle. To izgleda otprilike ovako: FortiGate presreće zahtjev korisnika, organizira HTTPS vezu s njim, a zatim otvara HTTPS sesiju s resursom kojem je korisnik pristupio. U tom slučaju, sertifikat koji je izdao FortiGate biće vidljiv na računaru korisnika. Mora biti pouzdano da bi pretraživač dozvolio vezu.
Zapravo, HTTPS inspekcija je prilično komplikovana stvar i ima mnoga ograničenja, ali to nećemo razmatrati u ovom kursu. Samo ću dodati da implementacija HTTPS inspekcije nije pitanje minuta; obično traje oko mjesec dana. Potrebno je prikupiti informacije o potrebnim izuzecima, izvršiti odgovarajuća podešavanja, prikupiti povratne informacije od korisnika i prilagoditi postavke.
Zadata teorija, kao i praktični dio, predstavljeni su u ovoj video lekciji:
U sljedećoj lekciji ćemo se osvrnuti na druge sigurnosne profile: antivirusni i sistem za sprječavanje upada. Kako ga ne biste propustili, pratite ažuriranja na sljedećim kanalima:
izvor: www.habr.com