Grüße! Willkommen zur sechsten Lektion des Kurses . Auf Wir beherrschen die Grundlagen der Arbeit mit der NAT-Technologie , und hat auch unseren Testbenutzer für das Internet freigegeben. Jetzt ist es an der Zeit, sich um die Sicherheit des Benutzers in seinen Freiflächen zu kümmern. In diesem Tutorial behandeln wir die folgenden Sicherheitsprofile: Webfilterung, Anwendungskontrolle und HTTPS-Inspektion.
Um mit Sicherheitsprofilen beginnen zu können, müssen wir noch etwas verstehen – die Inspektionsmodi.
Die Standardeinstellung ist der flussbasierte Modus. Es überprüft Dateien, während sie FortiGate ohne Pufferung durchlaufen. Sobald ein Paket eintrifft, wird es verarbeitet und weitergeleitet, ohne dass auf das Eintreffen der gesamten Datei oder Webseite gewartet werden muss. Er erfordert weniger Ressourcen und bietet eine bessere Leistung als der Proxy-Modus, gleichzeitig sind jedoch nicht alle Sicherheitsfunktionen verfügbar. Beispielsweise kann Data Leak Prevention (DLP) nur im Proxy-Modus verwendet werden.
Der Proxy-Modus funktioniert anders. Es erstellt zwei TCP-Verbindungen, eine zwischen dem Client und FortiGate'om, die zweite zwischen FortiGate'om und dem Server. Dadurch kann der Datenverkehr gepuffert werden, d. h. eine vollständige Datei oder Webseite empfangen werden. Das Scannen von Dateien auf verschiedene Bedrohungen beginnt erst, nachdem die gesamte Datei gepuffert wurde. Dadurch können Sie zusätzliche Funktionen nutzen, die im Flow-basierten Modus nicht verfügbar sind. Wie Sie sehen, scheint dieser Modus das Gegenteil von Flow Based zu sein – Sicherheit spielt hier eine große Rolle und die Leistung tritt in den Hintergrund.
Wir werden oft gefragt: Welches ist besser? Aber ein allgemeines Rezept gibt es hier nicht. Alles ist immer individuell und richtet sich nach Ihren Bedürfnissen und Aufgaben. Ich werde später im Kurs versuchen, die Unterschiede zwischen Sicherheitsprofilen im Flow- und Proxy-Modus aufzuzeigen. Dies wird Ihnen helfen, Funktionen zu vergleichen und zu entscheiden, welche für Sie am besten geeignet ist.
Gehen wir direkt zu den Sicherheitsprofilen und werfen zunächst einen Blick auf die Webfilterung. Es hilft dabei, zu kontrollieren oder zu verfolgen, welche Websites Benutzer besuchen. Meiner Meinung nach lohnt es sich nicht, näher auf die Notwendigkeit eines solchen Profils in der aktuellen Realität einzugehen. Lassen Sie uns besser verstehen, wie es funktioniert.
Nachdem eine TCP-Verbindung hergestellt wurde, fordert der Benutzer den Inhalt einer bestimmten Website mithilfe einer GET-Anfrage an.
Wenn der Webserver positiv antwortet, sendet er als Antwort Informationen zur Website. Hier kommt der Webfilter ins Spiel. Es prüft den Inhalt der gegebenen Antwort. Während der Prüfung sendet FortiGate eine Echtzeitabfrage an das FortiGuard Distribution Network (FDN), um die Kategorie der gegebenen Website zu ermitteln. Nachdem die Kategorie einer bestimmten Website ermittelt wurde, führt der Webfilter je nach Einstellungen eine bestimmte Aktion aus.
Im Flow-Modus stehen drei Aktionen zur Verfügung:
- Zulassen – Zugriff auf die Website zulassen
- Blockieren – Zugriff auf die Website blockieren
- Überwachen – Zugriff auf die Website zulassen und protokollieren
Im Proxy-Modus werden zwei weitere Aktionen hinzugefügt:
- Warnung – Geben Sie dem Benutzer eine Warnung, dass er versucht, eine bestimmte Ressource zu besuchen, und geben Sie dem Benutzer die Wahl – fortfahren oder die Website verlassen
- Authentifizieren – Aufforderung zur Eingabe von Benutzeranmeldeinformationen – dies ermöglicht Ihnen, bestimmten Gruppen Zugriff auf eingeschränkte Kategorien von Websites zu gewähren.
Der Standort Sie können alle Kategorien und Unterkategorien des Webfilters sehen und herausfinden, zu welcher Kategorie eine bestimmte Website gehört. Und im Allgemeinen ist dies für Benutzer von Fortinet-Lösungen eine ziemlich nützliche Website. Ich rate Ihnen, sie in Ihrer Freizeit besser kennenzulernen.
Zur Anwendungskontrolle lässt sich sehr wenig sagen. Wie der Name schon sagt, ermöglicht es Ihnen, den Betrieb von Anwendungen zu steuern. Und das mit Hilfe von Mustern verschiedener Anwendungen, den sogenannten Signaturen. Anhand dieser Signaturen kann es eine bestimmte Anwendung ermitteln und eine bestimmte Aktion darauf anwenden:
- Erlauben – zulassen
- Überwachen – dies zulassen und protokollieren
- Blockieren – verbieten
- Quarantäne – Schreiben Sie ein Ereignis in die Protokolle und blockieren Sie die IP-Adresse für eine bestimmte Zeit
Sie können auch vorhandene Signaturen auf der Website einsehen .
Schauen wir uns nun den HTTPS-Inspektionsmechanismus an. Laut Statistik lag der Anteil des HTTPS-Verkehrs Ende 2018 bei über 70 %. Das heißt, ohne HTTPS-Inspektion können wir nur etwa 30 % des durch das Netzwerk fließenden Datenverkehrs analysieren. Schauen wir uns zunächst an, wie HTTPS in grober Näherung funktioniert.
Der Client initiiert eine TLS-Anfrage an den Webserver, erhält eine TLS-Antwort und sieht außerdem ein digitales Zertifikat, dem dieser Benutzer vertrauen muss. Dies ist das notwendige Minimum, das wir über die Funktionsweise von HTTPS wissen müssen. Tatsächlich ist das Funktionsschema viel komplizierter. Nach einem erfolgreichen TLS-Handshake beginnt die verschlüsselte Datenübertragung. Und das ist gut. Niemand kann auf die Daten zugreifen, die Sie mit dem Webserver austauschen.
Für Sicherheitsunternehmen ist dies jedoch ein echtes Problem, da sie diesen Datenverkehr nicht sehen und seinen Inhalt weder mit einem Antivirenprogramm noch mit einem Intrusion-Prevention-System noch mit DLP-Systemen überprüfen können. Es wirkt sich auch negativ auf die Qualität der Definition von Anwendungen und Webressourcen aus, die im Netzwerk verwendet werden – genau das, was für unser Unterrichtsthema relevant ist. Die HTTPS-Inspektionstechnologie soll dieses Problem lösen. Das Wesentliche ist ganz einfach: Tatsächlich organisiert das Gerät, das die HTTPS-Inspektion durchführt, einen Man-in-the-Middle-Angriff. Das sieht ungefähr so aus: FortiGate fängt die Anfrage des Benutzers ab, stellt eine HTTPS-Verbindung damit her und baut selbstständig eine HTTPS-Sitzung mit der vom Benutzer aufgerufenen Ressource auf. Gleichzeitig wird das von FortiGate ausgestellte Zertifikat auf dem Computer des Benutzers sichtbar. Der Browser muss vertrauenswürdig sein, um die Verbindung zuzulassen.
Tatsächlich ist die HTTPS-Inspektion eine ziemlich komplizierte Sache und weist viele Einschränkungen auf, wir werden dies jedoch im Rahmen dieses Kurses nicht berücksichtigen. Ich möchte nur hinzufügen, dass die Implementierung der HTTPS-Inspektion keine Frage von Minuten ist, sondern normalerweise etwa einen Monat dauert. Es ist notwendig, Informationen über die notwendigen Ausnahmen zu sammeln, entsprechende Einstellungen vorzunehmen, Feedback von Benutzern einzuholen und die Einstellungen anzupassen.
Die obige Theorie sowie der praktische Teil werden in dieser Videolektion vorgestellt:
In der nächsten Lektion werden wir uns andere Sicherheitsprofile ansehen: Antivirus und Intrusion Prevention. Um es nicht zu verpassen, bleiben Sie auf den folgenden Kanälen auf dem Laufenden:
Source: habr.com