Vær hilset! Velkommen til kursets sjette lektion . på vi har mestret det grundlæggende i at arbejde med NAT-teknologi på , og frigav også vores testbruger til internettet. Nu er det tid til at tage vare på brugerens sikkerhed i hans åbne rum. I denne øvelse dækker vi følgende sikkerhedsprofiler: Webfiltrering, applikationskontrol og HTTPS-inspektion.
For at komme i gang med sikkerhedsprofiler skal vi forstå en ting mere - inspektionstilstande.
Standardindstillingen er flowbaseret tilstand. Det tjekker filer, når de passerer gennem FortiGate uden buffering. Når en pakke ankommer, behandles den og sendes videre uden at vente på, at hele filen eller websiden ankommer. Det kræver færre ressourcer og giver bedre ydeevne end Proxy-tilstand, men samtidig er ikke al sikkerhedsfunktionalitet tilgængelig i den. For eksempel kan Data Leak Prevention (DLP) kun bruges i Proxy-tilstand.
Proxy-tilstand fungerer anderledes. Det skaber to TCP-forbindelser, en mellem klienten og FortiGate'om, den anden mellem FortiGate'om og serveren. Dette gør det muligt at buffere trafik, dvs. modtage en komplet fil eller webside. Scanning af filer for forskellige trusler starter først, når hele filen er blevet bufferet. Dette giver dig mulighed for at bruge yderligere funktioner, der ikke er tilgængelige i flowbaseret tilstand. Som du kan se, ser denne tilstand ud til at være det modsatte af Flow Based - sikkerhed spiller en stor rolle her, og ydeevnen falder i baggrunden.
Vi bliver ofte spurgt, hvilken er bedst? Men der er ingen generel opskrift her. Alt er altid individuelt og afhænger af dine behov og opgaver. Jeg vil forsøge at vise forskellene mellem sikkerhedsprofiler i Flow- og Proxy-tilstande senere i kurset. Dette vil hjælpe dig med at sammenligne funktioner og beslutte, hvad der er bedst for dig.
Lad os gå direkte til sikkerhedsprofilerne og først se på webfiltrering. Det hjælper med at kontrollere eller holde styr på, hvilke websteder brugere besøger. Jeg tror ikke, det er værd at gå dybt ind i at forklare behovet for en sådan profil i den nuværende realitet. Lad os bedre forstå, hvordan det fungerer.
Efter at en TCP-forbindelse er etableret, anmoder brugeren om indholdet af et specifikt websted ved hjælp af en GET-anmodning.
Hvis webserveren reagerer positivt, sender den hjemmesideinformationen som svar. Det er her webfilteret kommer i spil. Den kontrollerer indholdet af det givne svar Under kontrollen sender FortiGate en forespørgsel i realtid til FortiGuard Distribution Network (FDN) for at bestemme kategorien for den givne hjemmeside. Efter at have bestemt kategorien for et bestemt websted, udfører webfilteret, afhængigt af indstillingerne, en bestemt handling.
Tre handlinger er tilgængelige i flowtilstand:
- Tillad - tillad adgang til webstedet
- Bloker - bloker adgangen til hjemmesiden
- Overvåg - tillad adgang til hjemmesiden og log den
Yderligere to handlinger tilføjes i proxy-tilstand:
- Advarsel - giv brugeren en advarsel om, at han forsøger at besøge en bestemt ressource og giv brugeren et valg - fortsæt eller forlad hjemmesiden
- Godkend - bed om brugeroplysninger - dette giver dig mulighed for at give visse grupper adgang til begrænsede kategorier af websteder.
Webstedet du kan se alle webfilterets kategorier og underkategorier, samt finde ud af hvilken kategori en bestemt hjemmeside tilhører. Og generelt, for brugere af Fortinet-løsninger, er dette et ret nyttigt websted, jeg råder dig til at lære det bedre at kende i din fritid.
Meget lidt kan siges om Application Control. Som navnet antyder, giver det dig mulighed for at kontrollere driften af applikationer. Og det gør han ved hjælp af mønstre af forskellige applikationer, de såkaldte signaturer. Baseret på disse signaturer kan den bestemme en specifik applikation og anvende en specifik handling på den:
- Tillad - tillad
- Overvåg - tillad og log dette
- Bloker - forbyd
- Karantæne - skriv en hændelse til logfilerne og bloker IP-adressen i et bestemt tidsrum
Du kan også se eksisterende signaturer på hjemmesiden .
Lad os nu se på HTTPS-inspektionsmekanismen. Ifølge statistikker for udgangen af 2018 oversteg andelen af HTTPS-trafik 70 %. Det vil sige, uden at bruge HTTPS-inspektion, vil vi kun være i stand til at analysere omkring 30% af den trafik, der flyder gennem netværket. Lad os først se på, hvordan HTTPS fungerer i en grov tilnærmelse.
Klienten starter en TLS-anmodning til webserveren og modtager et TLS-svar og ser også et digitalt certifikat, som denne bruger skal have tillid til. Dette er det nødvendige minimum, som vi har brug for at vide om arbejdet med HTTPS, faktisk er skemaet for dets arbejde meget mere kompliceret. Efter et vellykket TLS-håndtryk begynder krypteret dataoverførsel. Og det her er godt. Ingen kan få adgang til de data, du udveksler med webserveren.
Men for sikkerhedsfirmaer er dette en reel hovedpine, fordi de ikke kan se denne trafik og kontrollere dens indhold med hverken antivirus eller indtrængningsforebyggelsessystem eller DLP-systemer, ingenting. Det påvirker også negativt kvaliteten af definitionen af applikationer og webressourcer, der bruges inden for netværket - lige hvad der er relevant for vores emne i lektionen. HTTPS-inspektionsteknologien er designet til at løse dette problem. Dens essens er meget enkel - faktisk organiserer den enhed, der er involveret i HTTPS-inspektion, et Man In The Middle-angreb. Det ser nogenlunde sådan ud: FortiGate opsnapper brugerens anmodning, organiserer en HTTPS-forbindelse med den og opretter på egen hånd en HTTPS-session med den ressource, som brugeren har adgang til. Samtidig vil certifikatet udstedt af FortiGate være synligt på brugerens computer. Det skal være tillid til, at browseren tillader forbindelsen.
Faktisk er HTTPS-inspektion en ret kompliceret ting og har mange begrænsninger, men vi vil ikke overveje dette inden for rammerne af dette kursus. Jeg vil kun tilføje, at implementeringen af HTTPS-inspektion ikke er et spørgsmål om minutter, det tager normalt omkring en måned. Det er nødvendigt at indsamle oplysninger om de nødvendige undtagelser, foretage de relevante indstillinger, indsamle feedback fra brugere og justere indstillingerne.
Ovenstående teori, såvel som den praktiske del, præsenteres i denne videolektion:
I den næste lektion vil vi se på andre sikkerhedsprofiler: antivirus og indtrængningsforebyggelse. For ikke at gå glip af det, følg med for opdateringer på følgende kanaler:
Kilde: www.habr.com