Pozdravy! Vítejte v šesté lekci kurzu . Na zvládli jsme základy práce s technologií NAT na , a také uvolnil našeho testovacího uživatele na internet. Nyní je čas postarat se o bezpečnost uživatele v jeho otevřených prostorách. V tomto kurzu se budeme zabývat následujícími bezpečnostními profily: Web Filtering, Application Control a HTTPS Inspection.
Abychom mohli začít s bezpečnostními profily, musíme pochopit ještě jednu věc – kontrolní režimy.
Výchozí nastavení je režim Flow Based. Kontroluje soubory při průchodu FortiGate bez ukládání do vyrovnávací paměti. Jakmile paket dorazí, je zpracován a předán dál, aniž by se čekalo na příchod celého souboru nebo webové stránky. Vyžaduje méně prostředků a poskytuje lepší výkon než režim proxy, ale zároveň v něm nejsou k dispozici všechny funkce zabezpečení. Například ochranu před únikem dat (DLP) lze použít pouze v režimu proxy.
Proxy režim funguje jinak. Vytváří dvě TCP spojení, jedno mezi klientem a FortiGate'om, druhé mezi FortiGate'om a serverem. To mu umožňuje ukládat provoz do vyrovnávací paměti, tj. přijímat kompletní soubor nebo webovou stránku. Kontrola souborů na přítomnost různých hrozeb se spustí až po uložení celého souboru do vyrovnávací paměti. To vám umožní používat další funkce, které nejsou dostupné v režimu Flow based. Jak vidíte, tento režim se zdá být opakem Flow Based – bezpečnost zde hraje hlavní roli a výkon ustupuje do pozadí.
Často dostáváme otázku, který z nich je lepší? Obecný recept zde ale neexistuje. Vše je vždy individuální a záleží na vašich potřebách a úkolech. Rozdíly mezi bezpečnostními profily v režimech Flow a Proxy se pokusím ukázat později v kurzu. To vám pomůže porovnat funkce a rozhodnout se, která je pro vás nejlepší.
Pojďme přímo k bezpečnostním profilům a nejprve se podívejme na Web Filtering. Pomáhá kontrolovat nebo sledovat, které webové stránky uživatelé navštěvují. Myslím, že nemá cenu zabíhat hluboko do vysvětlování potřeby takového profilu v současné realitě. Pojďme lépe pochopit, jak to funguje.
Po navázání TCP spojení si uživatel vyžádá obsah konkrétní webové stránky pomocí požadavku GET.
Pokud webový server odpoví kladně, odešle informace o webu jako odpověď. Zde přichází na řadu webový filtr. Zkontroluje obsah dané odpovědi a při kontrole odešle FortiGate v reálném čase dotaz do distribuční sítě FortiGuard (FDN) pro určení kategorie daného webu. Po určení kategorie konkrétního webu webový filtr v závislosti na nastavení provede konkrétní akci.
V režimu Flow jsou k dispozici tři akce:
- Povolit – povolení přístupu na web
- Blokovat – zablokuje přístup na webovou stránku
- Monitor – povolte přístup na web a zalogujte jej
V režimu proxy jsou přidány další dvě akce:
- Varování – upozorní uživatele, že se pokouší navštívit určitý zdroj, a dejte uživateli na výběr – pokračovat nebo opustit web
- Authenticate – výzva k zadání přihlašovacích údajů uživatele – umožňuje povolit určitým skupinám přístup k omezeným kategoriím webových stránek.
Tato stránka můžete vidět všechny kategorie a podkategorie webového filtru a také zjistit, do které kategorie konkrétní web patří. A vůbec, pro uživatele řešení Fortinet je to docela užitečná stránka, radím vám ji lépe poznat ve volném čase.
O ovládání aplikací lze říci jen velmi málo. Jak již název napovídá, umožňuje ovládat chod aplikací. A dělá to pomocí vzorů různých aplikací, takzvaných podpisů. Na základě těchto podpisů může určit konkrétní aplikaci a aplikovat na ni konkrétní akci:
- Povolit - povolit
- Monitorovat - povolit a zaznamenat to
- Blokovat - zakázat
- Karanténa - zapíše událost do logů a zablokuje IP adresu na určitou dobu
Na webu si také můžete prohlédnout existující podpisy .
Nyní se podíváme na kontrolní mechanismus HTTPS. Podle statistik za konec roku 2018 přesáhl podíl HTTPS provozu 70 %. To znamená, že bez použití inspekce HTTPS budeme schopni analyzovat pouze asi 30 % provozu procházející sítí. Nejprve se podívejme, jak HTTPS funguje v hrubé aproximaci.
Klient zahájí požadavek TLS na webový server a obdrží odpověď TLS a také uvidí digitální certifikát, který musí být pro tohoto uživatele důvěryhodný. To je nezbytné minimum, které o práci HTTPS potřebujeme vědět, ve skutečnosti je schéma její práce mnohem složitější. Po úspěšném TLS handshake začne šifrovaný přenos dat. A to je dobré. Nikdo nemá přístup k datům, která si vyměňujete s webovým serverem.
Pro bezpečnostní společnosti je to však skutečný bolehlav, protože tento provoz nevidí a jeho obsah nekontrolují ani antivirem, ani systémem prevence narušení, ani systémy DLP, ničím. Negativně také ovlivňuje kvalitu definice aplikací a webových zdrojů používaných v rámci sítě – právě to, co je relevantní pro naše téma lekce. K vyřešení tohoto problému je navržena inspekční technologie HTTPS. Jeho podstata je velmi jednoduchá – ve skutečnosti zařízení, které se zabývá kontrolou HTTPS, organizuje útok Man In The Middle. Vypadá to asi takto: FortiGate zachytí požadavek uživatele, zorganizuje s ním HTTPS spojení a sám o sobě vyvolá HTTPS relaci se zdrojem, ke kterému uživatel přistupuje. Zároveň bude certifikát vydaný FortiGate viditelný na počítači uživatele. Aby prohlížeč umožnil připojení, musí být důvěryhodný.
Ve skutečnosti je kontrola HTTPS poměrně komplikovaná věc a má mnoho omezení, ale tím se v rámci tohoto kurzu nebudeme zabývat. Jen doplním, že implementace kontroly HTTPS není otázkou minut, většinou trvá zhruba měsíc. Je nutné shromáždit informace o nezbytných výjimkách, provést příslušná nastavení, získat zpětnou vazbu od uživatelů a upravit nastavení.
Výše uvedená teorie, stejně jako praktická část, jsou uvedeny v této video lekci:
V další lekci se podíváme na další bezpečnostní profily: antivirus a prevenci narušení. Abyste to nezmeškali, sledujte novinky na následujících kanálech:
Zdroj: www.habr.com