Salutacions! Benvinguts a la sisena lliçó del curs . Encès hem dominat els fonaments bàsics de treballar amb la tecnologia NAT , i també va llançar el nostre usuari de prova a Internet. Ara toca cuidar la seguretat de l'usuari als seus espais oberts. En aquest tutorial, tractarem els següents perfils de seguretat: filtratge web, control d'aplicacions i inspecció HTTPS.
Per començar amb els perfils de seguretat, hem d'entendre una cosa més: els modes d'inspecció.
El valor predeterminat és el mode basat en el flux. Comprova els fitxers mentre passen per FortiGate sense emmagatzemar la memòria intermèdia. Un cop arriba un paquet, es processa i es transmet sense esperar que arribi tot el fitxer o la pàgina web. Requereix menys recursos i ofereix un millor rendiment que el mode Proxy, però al mateix temps, no hi ha disponibles totes les funcionalitats de seguretat. Per exemple, la prevenció de fuites de dades (DLP) només es pot utilitzar en mode intermediari.
El mode proxy funciona de manera diferent. Crea dues connexions TCP, una entre el client i FortiGate'om, la segona entre FortiGate'om i el servidor. Això li permet emmagatzemar el trànsit, és a dir, rebre un fitxer o una pàgina web complets. L'exploració de fitxers per detectar diverses amenaces només s'inicia després que s'hagi guardat a la memòria intermèdia tot el fitxer. Això us permet utilitzar funcions addicionals que no estan disponibles en el mode basat en flux. Com podeu veure, aquest mode sembla ser el contrari del basat en el flux: la seguretat hi juga un paper important i el rendiment s'esvaeix en segon pla.
Sovint ens pregunten, quin és millor? Però aquí no hi ha cap recepta general. Tot és sempre individual i depèn de les vostres necessitats i tasques. Intentaré mostrar les diferències entre els perfils de seguretat en els modes Flow i Proxy més endavant al curs. Això us ajudarà a comparar les funcions i decidir quina és la millor per a vosaltres.
Anem directament als perfils de seguretat i primer mirem el filtratge web. Ajuda a controlar o fer un seguiment de quins llocs web visiten els usuaris. Crec que no val la pena aprofundir en explicar la necessitat d'aquest perfil en les realitats actuals. Entenem millor com funciona.
Després d'establir una connexió TCP, l'usuari sol·licita el contingut d'un lloc web específic mitjançant una sol·licitud GET.
Si el servidor web respon positivament, envia la informació del lloc web com a resposta. Aquí és on entra en joc el filtre web. Comprova el contingut de la resposta donada. Durant la comprovació, FortiGate envia una consulta en temps real a la xarxa de distribució de FortiGuard (FDN) per determinar la categoria del lloc web donat. Després de determinar la categoria d'un lloc web concret, el filtre web, depenent de la configuració, realitza una acció específica.
Hi ha tres accions disponibles en el mode de flux:
- Permetre: permet l'accés al lloc web
- Bloquejar: bloqueja l'accés al lloc web
- Monitor: permet l'accés al lloc web i registra'l
S'afegeixen dues accions més en mode Proxy:
- Advertència: aviseu a l'usuari que està intentant visitar un determinat recurs i doneu a l'usuari una opció: continua o abandona el lloc web
- Autenticació - sol·licita les credencials d'usuari - això us permet permetre que determinats grups accedeixin a categories restringides de llocs web.
El lloc podeu veure totes les categories i subcategories del filtre web, així com esbrinar a quina categoria pertany un lloc web concret. I en general, per als usuaris de les solucions Fortinet, aquest és un lloc força útil, us aconsello que el conegueu millor en el vostre temps lliure.
Es pot dir molt poc sobre el control d'aplicacions. Com el seu nom indica, permet controlar el funcionament de les aplicacions. I ho fa amb l'ajuda de patrons de diverses aplicacions, les anomenades signatures. A partir d'aquestes signatures, pot determinar una aplicació concreta i aplicar-hi una acció concreta:
- Permetre - permetre
- Monitor: permeteu-ho i registreu-lo
- Bloquejar - prohibir
- Quarantena: escriu un esdeveniment als registres i bloqueja l'adreça IP durant un temps determinat
També podeu veure les signatures existents al lloc web .
Vegem ara el mecanisme d'inspecció HTTPS. Segons les estadístiques de finals de 2018, la quota de trànsit HTTPS va superar el 70%. És a dir, sense utilitzar la inspecció HTTPS, podrem analitzar només al voltant del 30% del trànsit que circula per la xarxa. Primer, mirem com funciona HTTPS en una aproximació aproximada.
El client inicia una sol·licitud TLS al servidor web i rep una resposta TLS, i també veu un certificat digital que ha de ser de confiança per a aquest usuari. Aquest és el mínim necessari que necessitem saber sobre el treball d'HTTPS, de fet, l'esquema del seu treball és molt més complicat. Després d'una encaixada de mans TLS amb èxit, comença la transferència de dades xifrades. I això és bo. Ningú pot accedir a les dades que intercanvieu amb el servidor web.
Tanmateix, per a les empreses de seguretat, això és un autèntic maldecap, perquè no poden veure aquest trànsit i comprovar-ne el contingut ni amb antivirus, ni amb sistema de prevenció d'intrusions, ni amb sistemes DLP, res. També afecta negativament la qualitat de la definició d'aplicacions i recursos web utilitzats dins de la xarxa, el que és rellevant per al nostre tema de la lliçó. La tecnologia d'inspecció HTTPS està dissenyada per resoldre aquest problema. La seva essència és molt senzilla: de fet, el dispositiu que es dedica a la inspecció HTTPS organitza un atac Man In The Middle. S'assembla a això: FortiGate intercepta la sol·licitud de l'usuari, organitza una connexió HTTPS amb ella i, per si sola, genera una sessió HTTPS amb el recurs al qual accedeix l'usuari. Al mateix temps, el certificat emès per FortiGate serà visible a l'ordinador de l'usuari. Ha de ser de confiança perquè el navegador permeti la connexió.
De fet, la inspecció HTTPS és una cosa força complicada i té moltes limitacions, però això no ho tindrem en compte en el marc d'aquest curs. Només afegiré que la implementació de la inspecció HTTPS no és qüestió de minuts, normalment triga un mes. Cal recollir informació sobre les excepcions necessàries, fer la configuració adequada, recollir comentaris dels usuaris i ajustar la configuració.
La teoria anterior, així com la part pràctica, es presenten en aquesta lliçó de vídeo:
A la lliçó següent, veurem altres perfils de seguretat: antivirus i prevenció d'intrusions. Per no perdre'l, estigueu atents a les novetats als següents canals:
Font: www.habr.com