Χαιρετίσματα! Καλώς ήρθατε στο έκτο μάθημα του μαθήματος . επί έχουμε μάθει τα βασικά της εργασίας με την τεχνολογία NAT , και επίσης κυκλοφόρησε το δοκιμαστικό μας χρήστη στο Διαδίκτυο. Τώρα ήρθε η ώρα να φροντίσουμε για την ασφάλεια του χρήστη στους ανοιχτούς χώρους του. Σε αυτό το σεμινάριο, θα καλύψουμε τα ακόλουθα προφίλ ασφαλείας: Φιλτράρισμα Ιστού, Έλεγχος Εφαρμογών και Έλεγχος HTTPS.
Για να ξεκινήσουμε με τα προφίλ ασφαλείας, πρέπει να καταλάβουμε ένα ακόμη πράγμα - τις λειτουργίες επιθεώρησης.
Η προεπιλογή είναι η λειτουργία με βάση τη ροή. Ελέγχει τα αρχεία καθώς περνούν μέσα από το FortiGate χωρίς buffer. Μόλις φτάσει ένα πακέτο, υποβάλλεται σε επεξεργασία και μεταβιβάζεται χωρίς να περιμένει να φτάσει ολόκληρο το αρχείο ή η ιστοσελίδα. Απαιτεί λιγότερους πόρους και παρέχει καλύτερη απόδοση από τη λειτουργία διακομιστή μεσολάβησης, αλλά ταυτόχρονα δεν είναι διαθέσιμες όλες οι λειτουργίες ασφαλείας σε αυτήν. Για παράδειγμα, το Data Leak Prevention (DLP) μπορεί να χρησιμοποιηθεί μόνο σε λειτουργία Proxy.
Η λειτουργία διακομιστή μεσολάβησης λειτουργεί διαφορετικά. Δημιουργεί δύο συνδέσεις TCP, μία μεταξύ του πελάτη και του FortiGate'om, η δεύτερη μεταξύ του FortiGate'om και του διακομιστή. Αυτό του επιτρέπει να αποθηκεύει προσωρινά την κυκλοφορία, δηλαδή να λαμβάνει ένα πλήρες αρχείο ή ιστοσελίδα. Η σάρωση αρχείων για διάφορες απειλές ξεκινά μόνο μετά την αποθήκευση ολόκληρου του αρχείου στην προσωρινή μνήμη. Αυτό σας επιτρέπει να χρησιμοποιείτε πρόσθετες λειτουργίες που δεν είναι διαθέσιμες στη λειτουργία με βάση τη ροή. Όπως μπορείτε να δείτε, αυτή η λειτουργία φαίνεται να είναι το αντίθετο από το Flow Based - η ασφάλεια παίζει σημαντικό ρόλο εδώ και η απόδοση σβήνει στο παρασκήνιο.
Συχνά μας ρωτούν ποιο είναι καλύτερο; Αλλά εδώ δεν υπάρχει γενική συνταγή. Όλα είναι πάντα μεμονωμένα και εξαρτώνται από τις ανάγκες και τα καθήκοντά σας. Θα προσπαθήσω να δείξω τις διαφορές μεταξύ των προφίλ ασφαλείας σε λειτουργίες ροής και διακομιστή μεσολάβησης αργότερα στο μάθημα. Αυτό θα σας βοηθήσει να συγκρίνετε χαρακτηριστικά και να αποφασίσετε ποια είναι η καλύτερη για εσάς.
Ας πάμε απευθείας στα προφίλ ασφαλείας και ας δούμε πρώτα το Φιλτράρισμα Ιστού. Βοηθά στον έλεγχο ή την παρακολούθηση των ιστοσελίδων που επισκέπτονται οι χρήστες. Νομίζω ότι δεν αξίζει να εμβαθύνουμε στην εξήγηση της ανάγκης για ένα τέτοιο προφίλ στην τρέχουσα πραγματικότητα. Ας καταλάβουμε καλύτερα πώς λειτουργεί.
Αφού δημιουργηθεί μια σύνδεση TCP, ο χρήστης ζητά το περιεχόμενο μιας συγκεκριμένης τοποθεσίας web χρησιμοποιώντας ένα αίτημα GET.
Εάν ο διακομιστής ιστού ανταποκριθεί θετικά, στέλνει πληροφορίες στον ιστότοπο ως απάντηση. Εδώ μπαίνει στο παιχνίδι το φίλτρο ιστού. Ελέγχει το περιεχόμενο της δεδομένης απάντησης Κατά τη διάρκεια του ελέγχου, το FortiGate στέλνει ένα ερώτημα σε πραγματικό χρόνο στο Δίκτυο διανομής FortiGuard (FDN) για να προσδιορίσει την κατηγορία του συγκεκριμένου ιστότοπου. Μετά τον καθορισμό της κατηγορίας ενός συγκεκριμένου ιστότοπου, το φίλτρο web, ανάλογα με τις ρυθμίσεις, εκτελεί μια συγκεκριμένη ενέργεια.
Τρεις ενέργειες είναι διαθέσιμες στη λειτουργία ροής:
- Να επιτρέπεται - επιτρέπεται η πρόσβαση στον ιστότοπο
- Αποκλεισμός - αποκλεισμός πρόσβασης στον ιστότοπο
- Παρακολούθηση - επιτρέψτε την πρόσβαση στον ιστότοπο και καταγράψτε τον
Δύο ακόμη ενέργειες προστίθενται σε λειτουργία διακομιστή μεσολάβησης:
- Προειδοποίηση - προειδοποιήστε τον χρήστη ότι προσπαθεί να επισκεφθεί έναν συγκεκριμένο πόρο και δώστε στον χρήστη μια επιλογή - συνεχίστε ή αποχωρήστε από τον ιστότοπο
- Έλεγχος ταυτότητας - προτροπή για διαπιστευτήρια χρήστη - αυτό σας επιτρέπει να επιτρέψετε σε ορισμένες ομάδες την πρόσβαση σε περιορισμένες κατηγορίες ιστοτόπων.
Η ιστοσελίδα μπορείτε να δείτε όλες τις κατηγορίες και τις υποκατηγορίες του φίλτρου ιστού, καθώς και να μάθετε σε ποια κατηγορία ανήκει ένας συγκεκριμένος ιστότοπος. Και γενικά, για τους χρήστες των λύσεων Fortinet, αυτός είναι ένας αρκετά χρήσιμος ιστότοπος, σας συμβουλεύω να το γνωρίσετε καλύτερα στον ελεύθερο χρόνο σας.
Πολύ λίγα μπορούν να ειπωθούν για τον Έλεγχο Εφαρμογών. Όπως υποδηλώνει το όνομα, σας επιτρέπει να ελέγχετε τη λειτουργία των εφαρμογών. Και αυτό το κάνει με τη βοήθεια μοτίβων διαφόρων εφαρμογών, τις λεγόμενες υπογραφές. Με βάση αυτές τις υπογραφές, μπορεί να καθορίσει μια συγκεκριμένη εφαρμογή και να εφαρμόσει μια συγκεκριμένη ενέργεια σε αυτήν:
- Επιτρέπω - επιτρέπω
- Παρακολούθηση - επιτρέψτε και καταγράψτε αυτό
- Αποκλεισμός - απαγόρευση
- Καραντίνα - γράψτε ένα συμβάν στα αρχεία καταγραφής και αποκλείστε τη διεύθυνση IP για ορισμένο χρόνο
Μπορείτε επίσης να δείτε τις υπάρχουσες υπογραφές στον ιστότοπο .
Τώρα ας δούμε τον μηχανισμό επιθεώρησης HTTPS. Σύμφωνα με στατιστικά στοιχεία για το τέλος του 2018, το μερίδιο της επισκεψιμότητας HTTPS ξεπέρασε το 70%. Δηλαδή, χωρίς τη χρήση επιθεώρησης HTTPS, θα μπορούμε να αναλύσουμε μόνο το 30% περίπου της κίνησης που ρέει μέσω του δικτύου. Αρχικά, ας δούμε πώς λειτουργεί το HTTPS σε μια χονδρική προσέγγιση.
Ο πελάτης εκκινεί ένα αίτημα TLS στον διακομιστή ιστού και λαμβάνει μια απάντηση TLS και βλέπει επίσης ένα ψηφιακό πιστοποιητικό που πρέπει να είναι αξιόπιστο για αυτόν τον χρήστη. Αυτό είναι το απαραίτητο ελάχιστο που πρέπει να γνωρίζουμε για το έργο του HTTPS, στην πραγματικότητα, το σχέδιο της δουλειάς του είναι πολύ πιο περίπλοκο. Μετά από μια επιτυχημένη χειραψία TLS, ξεκινά η κρυπτογραφημένη μεταφορά δεδομένων. Και αυτό είναι καλό. Κανείς δεν μπορεί να έχει πρόσβαση στα δεδομένα που ανταλλάσσετε με τον διακομιστή web.
Ωστόσο, για τις εταιρείες ασφαλείας, αυτό είναι πραγματικός πονοκέφαλος, γιατί δεν μπορούν να δουν αυτήν την κίνηση και να ελέγξουν το περιεχόμενό της ούτε με antivirus, ούτε με σύστημα πρόληψης εισβολής, ούτε με συστήματα DLP, τίποτα. Επηρεάζει επίσης αρνητικά την ποιότητα του ορισμού των εφαρμογών και των πόρων Ιστού που χρησιμοποιούνται στο δίκτυο - ακριβώς ό,τι είναι σχετικό με το θέμα του μαθήματος. Η τεχνολογία επιθεώρησης HTTPS έχει σχεδιαστεί για να λύσει αυτό το πρόβλημα. Η ουσία του είναι πολύ απλή - στην πραγματικότητα, η συσκευή που ασχολείται με την επιθεώρηση HTTPS οργανώνει μια επίθεση Man In The Middle. Μοιάζει κάπως έτσι: Το FortiGate παρεμποδίζει το αίτημα του χρήστη, οργανώνει μια σύνδεση HTTPS με αυτό και από μόνο του δημιουργεί μια περίοδο λειτουργίας HTTPS με τον πόρο στον οποίο έχει πρόσβαση ο χρήστης. Ταυτόχρονα, το πιστοποιητικό που εκδίδεται από το FortiGate θα είναι ορατό στον υπολογιστή του χρήστη. Πρέπει να είναι αξιόπιστο ώστε το πρόγραμμα περιήγησης να επιτρέπει τη σύνδεση.
Στην πραγματικότητα, η επιθεώρηση HTTPS είναι ένα αρκετά περίπλοκο πράγμα και έχει πολλούς περιορισμούς, αλλά δεν θα το εξετάσουμε στο πλαίσιο αυτού του μαθήματος. Θα προσθέσω μόνο ότι η υλοποίηση της επιθεώρησης HTTPS δεν είναι θέμα λεπτών, συνήθως διαρκεί περίπου ένα μήνα. Είναι απαραίτητο να συλλέξετε πληροφορίες σχετικά με τις απαραίτητες εξαιρέσεις, να κάνετε τις κατάλληλες ρυθμίσεις, να συλλέξετε σχόλια από τους χρήστες και να προσαρμόσετε τις ρυθμίσεις.
Η παραπάνω θεωρία, καθώς και το πρακτικό μέρος, παρουσιάζονται σε αυτό το βίντεο μάθημα:
Στο επόμενο μάθημα, θα δούμε άλλα προφίλ ασφαλείας: προστασία από ιούς και αποτροπή εισβολής. Για να μην το χάσετε, μείνετε συντονισμένοι για ενημερώσεις στα παρακάτω κανάλια:
Πηγή: www.habr.com