GrĂŒĂe! Willkommen zur sechsten Lektion des Kurses . Auf Wir beherrschen die Grundlagen der Arbeit mit der NAT-Technologie , und hat auch unseren Testbenutzer fĂŒr das Internet freigegeben. Jetzt ist es an der Zeit, sich um die Sicherheit des Benutzers in seinen FreiflĂ€chen zu kĂŒmmern. In diesem Tutorial behandeln wir die folgenden Sicherheitsprofile: Webfilterung, Anwendungskontrolle und HTTPS-Inspektion.
Um mit Sicherheitsprofilen beginnen zu können, mĂŒssen wir noch etwas verstehen â die Inspektionsmodi.
Die Standardeinstellung ist der flussbasierte Modus. Es ĂŒberprĂŒft Dateien, wĂ€hrend sie FortiGate ohne Pufferung durchlaufen. Sobald ein Paket eintrifft, wird es verarbeitet und weitergeleitet, ohne dass auf das Eintreffen der gesamten Datei oder Webseite gewartet werden muss. Er erfordert weniger Ressourcen und bietet eine bessere Leistung als der Proxy-Modus, gleichzeitig sind jedoch nicht alle Sicherheitsfunktionen verfĂŒgbar. Beispielsweise kann Data Leak Prevention (DLP) nur im Proxy-Modus verwendet werden.
Der Proxy-Modus funktioniert anders. Es erstellt zwei TCP-Verbindungen, eine zwischen dem Client und FortiGate'om, die zweite zwischen FortiGate'om und dem Server. Dadurch kann der Datenverkehr gepuffert werden, d. h. eine vollstĂ€ndige Datei oder Webseite empfangen werden. Das Scannen von Dateien auf verschiedene Bedrohungen beginnt erst, nachdem die gesamte Datei gepuffert wurde. Dadurch können Sie zusĂ€tzliche Funktionen nutzen, die im Flow-basierten Modus nicht verfĂŒgbar sind. Wie Sie sehen, scheint dieser Modus das Gegenteil von Flow Based zu sein â Sicherheit spielt hier eine groĂe Rolle und die Leistung tritt in den Hintergrund.
Wir werden oft gefragt: Welches ist besser? Aber ein allgemeines Rezept gibt es hier nicht. Alles ist immer individuell und richtet sich nach Ihren BedĂŒrfnissen und Aufgaben. Ich werde spĂ€ter im Kurs versuchen, die Unterschiede zwischen Sicherheitsprofilen im Flow- und Proxy-Modus aufzuzeigen. Dies wird Ihnen helfen, Funktionen zu vergleichen und zu entscheiden, welche fĂŒr Sie am besten geeignet ist.
Gehen wir direkt zu den Sicherheitsprofilen und werfen zunÀchst einen Blick auf die Webfilterung. Es hilft dabei, zu kontrollieren oder zu verfolgen, welche Websites Benutzer besuchen. Meiner Meinung nach lohnt es sich nicht, nÀher auf die Notwendigkeit eines solchen Profils in der aktuellen RealitÀt einzugehen. Lassen Sie uns besser verstehen, wie es funktioniert.
Nachdem eine TCP-Verbindung hergestellt wurde, fordert der Benutzer den Inhalt einer bestimmten Website mithilfe einer GET-Anfrage an.
Wenn der Webserver positiv antwortet, sendet er als Antwort Informationen zur Website. Hier kommt der Webfilter ins Spiel. Es prĂŒft den Inhalt der gegebenen Antwort. WĂ€hrend der PrĂŒfung sendet FortiGate eine Echtzeitabfrage an das FortiGuard Distribution Network (FDN), um die Kategorie der gegebenen Website zu ermitteln. Nachdem die Kategorie einer bestimmten Website ermittelt wurde, fĂŒhrt der Webfilter je nach Einstellungen eine bestimmte Aktion aus.
Im Flow-Modus stehen drei Aktionen zur VerfĂŒgung:
- Zulassen â Zugriff auf die Website zulassen
- Blockieren â Zugriff auf die Website blockieren
- Ăberwachen â Zugriff auf die Website zulassen und protokollieren
Im Proxy-Modus werden zwei weitere Aktionen hinzugefĂŒgt:
- Warnung â Geben Sie dem Benutzer eine Warnung, dass er versucht, eine bestimmte Ressource zu besuchen, und geben Sie dem Benutzer die Wahl â fortfahren oder die Website verlassen
- Authentifizieren â Aufforderung zur Eingabe von Benutzeranmeldeinformationen â dies ermöglicht Ihnen, bestimmten Gruppen Zugriff auf eingeschrĂ€nkte Kategorien von Websites zu gewĂ€hren.
Der Standort Sie können alle Kategorien und Unterkategorien des Webfilters sehen und herausfinden, zu welcher Kategorie eine bestimmte Website gehört. Und im Allgemeinen ist dies fĂŒr Benutzer von Fortinet-Lösungen eine ziemlich nĂŒtzliche Website. Ich rate Ihnen, sie in Ihrer Freizeit besser kennenzulernen.
Zur Anwendungskontrolle lÀsst sich sehr wenig sagen. Wie der Name schon sagt, ermöglicht es Ihnen, den Betrieb von Anwendungen zu steuern. Und das mit Hilfe von Mustern verschiedener Anwendungen, den sogenannten Signaturen. Anhand dieser Signaturen kann es eine bestimmte Anwendung ermitteln und eine bestimmte Aktion darauf anwenden:
- Erlauben â zulassen
- Ăberwachen â dies zulassen und protokollieren
- Blockieren â verbieten
- QuarantĂ€ne â Schreiben Sie ein Ereignis in die Protokolle und blockieren Sie die IP-Adresse fĂŒr eine bestimmte Zeit
Sie können auch vorhandene Signaturen auf der Website einsehen .
Schauen wir uns nun den HTTPS-Inspektionsmechanismus an. Laut Statistik lag der Anteil des HTTPS-Verkehrs Ende 2018 bei ĂŒber 70 %. Das heiĂt, ohne HTTPS-Inspektion können wir nur etwa 30 % des durch das Netzwerk flieĂenden Datenverkehrs analysieren. Schauen wir uns zunĂ€chst an, wie HTTPS in grober NĂ€herung funktioniert.
Der Client initiiert eine TLS-Anfrage an den Webserver, erhĂ€lt eine TLS-Antwort und sieht auĂerdem ein digitales Zertifikat, dem dieser Benutzer vertrauen muss. Dies ist das notwendige Minimum, das wir ĂŒber die Funktionsweise von HTTPS wissen mĂŒssen. TatsĂ€chlich ist das Funktionsschema viel komplizierter. Nach einem erfolgreichen TLS-Handshake beginnt die verschlĂŒsselte DatenĂŒbertragung. Und das ist gut. Niemand kann auf die Daten zugreifen, die Sie mit dem Webserver austauschen.
FĂŒr Sicherheitsunternehmen ist dies jedoch ein echtes Problem, da sie diesen Datenverkehr nicht sehen und seinen Inhalt weder mit einem Antivirenprogramm noch mit einem Intrusion-Prevention-System noch mit DLP-Systemen ĂŒberprĂŒfen können. Es wirkt sich auch negativ auf die QualitĂ€t der Definition von Anwendungen und Webressourcen aus, die im Netzwerk verwendet werden â genau das, was fĂŒr unser Unterrichtsthema relevant ist. Die HTTPS-Inspektionstechnologie soll dieses Problem lösen. Das Wesentliche ist ganz einfach: TatsĂ€chlich organisiert das GerĂ€t, das die HTTPS-Inspektion durchfĂŒhrt, einen Man-in-the-Middle-Angriff. Das sieht ungefĂ€hr so ââaus: FortiGate fĂ€ngt die Anfrage des Benutzers ab, stellt eine HTTPS-Verbindung damit her und baut selbststĂ€ndig eine HTTPS-Sitzung mit der vom Benutzer aufgerufenen Ressource auf. Gleichzeitig wird das von FortiGate ausgestellte Zertifikat auf dem Computer des Benutzers sichtbar. Der Browser muss vertrauenswĂŒrdig sein, um die Verbindung zuzulassen.
TatsĂ€chlich ist die HTTPS-Inspektion eine ziemlich komplizierte Sache und weist viele EinschrĂ€nkungen auf, wir werden dies jedoch im Rahmen dieses Kurses nicht berĂŒcksichtigen. Ich möchte nur hinzufĂŒgen, dass die Implementierung der HTTPS-Inspektion keine Frage von Minuten ist, sondern normalerweise etwa einen Monat dauert. Es ist notwendig, Informationen ĂŒber die notwendigen Ausnahmen zu sammeln, entsprechende Einstellungen vorzunehmen, Feedback von Benutzern einzuholen und die Einstellungen anzupassen.
Die obige Theorie sowie der praktische Teil werden in dieser Videolektion vorgestellt:
In der nÀchsten Lektion werden wir uns andere Sicherheitsprofile ansehen: Antivirus und Intrusion Prevention. Um es nicht zu verpassen, bleiben Sie auf den folgenden KanÀlen auf dem Laufenden:
Source: habr.com
