¡Saludos! Bienvenidos a la sexta lección del curso. . En Hemos dominado los conceptos básicos del trabajo con tecnología NAT en , y también lanzó a nuestro usuario de prueba a Internet. Ahora toca cuidar la seguridad del usuario en sus espacios abiertos. En esta lección veremos los siguientes perfiles de seguridad: filtrado web, control de aplicaciones e inspección HTTPS.
Para comenzar con los perfiles de seguridad, debemos comprender una cosa más: los modos de inspección.
El valor predeterminado es el modo basado en flujo. Comprueba los archivos a medida que pasan por FortiGate sin almacenamiento en búfer. Una vez que llega el paquete, se procesa y reenvía, sin esperar a que se reciba el archivo o la página web completos. Requiere menos recursos y proporciona un mejor rendimiento que el modo Proxy, pero al mismo tiempo, no todas las funciones de seguridad están disponibles en él. Por ejemplo, la Prevención de fuga de datos (DLP) solo se puede utilizar en modo Proxy.
El modo proxy funciona de manera diferente. Crea dos conexiones TCP, una entre el cliente y FortiGate, la segunda entre FortiGate y el servidor. Esto le permite almacenar en búfer el tráfico, es decir, recibir un archivo completo o una página web. El análisis de archivos en busca de diversas amenazas comienza sólo después de que se haya almacenado en el búfer todo el archivo. Esto le permite utilizar funciones adicionales que no están disponibles en el modo basado en Flow. Como puede ver, este modo parece ser lo opuesto al basado en flujo: la seguridad juega un papel importante aquí y el rendimiento pasa a un segundo plano.
La gente suele preguntar: ¿qué modo es mejor? Pero aquí no existe una receta general. Todo es siempre individual y depende de sus necesidades y objetivos. Más adelante en el curso intentaré mostrar las diferencias entre los perfiles de seguridad en los modos Flow y Proxy. Esto le ayudará a comparar la funcionalidad y decidir cuál es mejor para usted.
Pasemos directamente a los perfiles de seguridad y veamos primero el filtrado web. Ayuda a monitorear o rastrear qué sitios web visitan los usuarios. Creo que no es necesario profundizar en la explicación de la necesidad de un perfil así en las realidades actuales. Entendamos mejor cómo funciona.
Una vez que se establece una conexión TCP, el usuario utiliza una solicitud GET para solicitar el contenido de un sitio web específico.
Si el servidor web responde positivamente, envía información sobre el sitio web. Aquí es donde entra en juego el filtro web. Verifica el contenido de esta respuesta. Durante la verificación, FortiGate envía una solicitud en tiempo real a la Red de Distribución FortiGuard (FDN) para determinar la categoría del sitio web determinado. Después de determinar la categoría de un sitio web en particular, el filtro web, según la configuración, realiza una acción específica.
Hay tres acciones disponibles en el modo Flujo:
- Permitir: permitir el acceso al sitio web
- Bloquear: bloquear el acceso al sitio web
- Monitorear: permitir el acceso al sitio web y registrarlo en los registros
En modo Proxy se añaden dos acciones más:
- Advertencia: advierte al usuario de que está intentando visitar un determinado recurso y le da la opción de continuar o abandonar el sitio web.
- Autenticar: solicitar credenciales de usuario; esto permite que ciertos grupos accedan a categorías restringidas de sitios web.
El sitio puede ver todas las categorías y subcategorías del filtro web y también averiguar a qué categoría pertenece un sitio web en particular. Y en general, este es un sitio bastante útil para los usuarios de soluciones Fortinet, te aconsejo que lo conozcas mejor en tu tiempo libre.
Es muy poco lo que se puede decir sobre el control de aplicaciones. Como sugiere el nombre, te permite controlar el funcionamiento de las aplicaciones. Y lo hace utilizando patrones de diversas aplicaciones, las llamadas firmas. Usando estas firmas, puede identificar una aplicación específica y aplicarle una acción específica:
- Permitir - permitir
- Monitorear: permitir y registrar esto
- Bloquear - prohibir
- Cuarentena: registra un evento en los registros y bloquea la dirección IP durante un tiempo determinado
También puede ver las firmas existentes en el sitio web. .
Ahora veamos el mecanismo de inspección HTTPS. Según las estadísticas de finales de 2018, la proporción de tráfico HTTPS superó el 70%. Es decir, sin utilizar la inspección HTTPS, solo podremos analizar alrededor del 30% del tráfico que pasa por la red. Primero, veamos cómo funciona HTTPS en una aproximación aproximada.
El cliente inicia una solicitud TLS al servidor web y recibe una respuesta TLS, y también ve un certificado digital en el que este usuario debe confiar. Esto es lo mínimo que necesitamos saber sobre cómo funciona HTTPS; de hecho, la forma en que funciona es mucho más complicada. Después de un protocolo de enlace TLS exitoso, comienza la transferencia de datos cifrados. Y esto es bueno. Nadie puede acceder a los datos que intercambia con el servidor web.
Sin embargo, para los responsables de seguridad de las empresas esto supone un auténtico quebradero de cabeza, ya que no pueden ver este tráfico y comprobar su contenido ni con un antivirus, ni con un sistema de prevención de intrusiones, ni con sistemas DLP, ni nada. Esto también afecta negativamente a la calidad de la definición de las aplicaciones y recursos web utilizados dentro de la red, exactamente lo que se refiere al tema de nuestra lección. La tecnología de inspección HTTPS está diseñada para resolver este problema. Su esencia es muy simple: de hecho, un dispositivo que realiza una inspección HTTPS organiza un ataque Man In The Middle. Se parece a esto: FortiGate intercepta la solicitud del usuario, organiza una conexión HTTPS con ella y luego abre una sesión HTTPS con el recurso al que accedió el usuario. En este caso, el certificado emitido por FortiGate será visible en el ordenador del usuario. Se debe confiar en que el navegador permita la conexión.
De hecho, la inspección HTTPS es algo bastante complicado y tiene muchas limitaciones, pero no lo consideraremos en este curso. Solo agregaré que implementar la inspección HTTPS no es cuestión de minutos; generalmente lleva alrededor de un mes. Es necesario recopilar información sobre las excepciones necesarias, realizar las configuraciones adecuadas, recopilar comentarios de los usuarios y ajustar la configuración.
La teoría dada, así como la parte práctica, se presentan en esta videolección:
En la próxima lección veremos otros perfiles de seguridad: antivirus y sistema de prevención de intrusiones. Para no perdértelo, sigue las actualizaciones en los siguientes canales:
Fuente: habr.com