Tervitused! Tere tulemast kursuse kuuendasse õppetundi . edasi oleme omandanud NAT-tehnoloogiaga töötamise põhitõed ja avaldas ka meie testkasutaja Internetti. Nüüd on aeg hoolitseda kasutaja ohutuse eest tema avatud aladel. Selles õppetükis vaatleme järgmisi turbeprofiile: veebifiltreerimine, rakenduste juhtimine ja HTTPS-i kontroll.
Turvaprofiilidega alustamiseks peame mõistma veel üht asja: kontrollirežiimid.
Vaikimisi on voolupõhine režiim. See kontrollib faile, kui need läbivad FortiGate'i ilma puhverdamata. Kui pakett saabub, töödeldakse seda ja saadetakse edasi, ootamata kogu faili või veebilehe vastuvõtmist. See nõuab vähem ressursse ja tagab parema jõudluse kui puhverserveri režiim, kuid samal ajal pole kõik turbefunktsioonid selles saadaval. Näiteks Data Leak Prevention (DLP) saab kasutada ainult puhverserveri režiimis.
Puhverserveri režiim töötab erinevalt. See loob kaks TCP-ühendust, ühe kliendi ja FortiGate'i vahel ning teise FortiGate'i ja serveri vahel. See võimaldab tal liiklust puhverdada, st vastu võtta täielikku faili või veebilehte. Failide skannimine erinevate ohtude suhtes algab alles pärast kogu faili puhverdamist. See võimaldab teil kasutada lisafunktsioone, mis pole voopõhises režiimis saadaval. Nagu näete, tundub see režiim olevat Flow Based'i vastand – turvalisus mängib siin suurt rolli ja jõudlus jääb tagaplaanile.
Inimesed küsivad sageli: milline režiim on parem? Kuid siin pole üldist retsepti. Kõik on alati individuaalne ja sõltub teie vajadustest ja eesmärkidest. Püüan hiljem kursusel näidata turvaprofiilide erinevusi Flow ja Proxy režiimides. See aitab teil funktsioone võrrelda ja otsustada, milline on teie jaoks parim.
Liigume otse turvaprofiilide juurde ja vaatame esmalt veebifiltreerimist. See aitab jälgida või jälgida, milliseid veebisaite kasutajad külastavad. Arvan, et praeguses tegelikkuses ei ole vaja sellise profiili vajalikkuse selgitamisse sügavamalt minna. Saame paremini aru, kuidas see toimib.
Kui TCP-ühendus on loodud, kasutab kasutaja konkreetse veebisaidi sisu taotlemiseks GET-päringut.
Kui veebiserver vastab positiivselt, saadab see veebisaidi kohta teavet tagasi. Siin tuleb mängu veebifilter. See kontrollib selle vastuse sisu Kontrollimise ajal saadab FortiGate reaalajas päringu FortiGuard Distribution Networkile (FDN), et määrata kindlaks antud veebisaidi kategooria. Pärast konkreetse veebisaidi kategooria määramist teostab veebifilter sõltuvalt sätetest konkreetse toimingu.
Voolurežiimis on saadaval kolm toimingut.
- Luba – luba juurdepääs veebisaidile
- Blokeeri – blokeeri juurdepääs veebisaidile
- Jälgige – lubage juurdepääs veebisaidile ja salvestage see logidesse
Puhverserveri režiimis lisatakse veel kaks toimingut:
- Hoiatus - hoiatage kasutajat, et ta üritab külastada teatud ressurssi ja andke kasutajale valik - jätkake või lahkuge veebisaidilt
- Autentimine – kasutaja mandaatide taotlemine – see võimaldab teatud rühmadel pääseda juurde piiratud kategooria veebisaitidele.
Site saate vaadata kõiki veebifiltri kategooriaid ja alamkategooriaid, samuti saate teada, millisesse kategooriasse konkreetne veebisait kuulub. Ja üldiselt on see Fortineti lahenduste kasutajatele üsna kasulik sait, soovitan teil seda vabal ajal paremini tundma õppida.
Rakenduste juhtimise kohta saab öelda väga vähe. Nagu nimigi ütleb, võimaldab see juhtida rakenduste tööd. Ja ta teeb seda erinevate rakenduste mustrite, nn signatuuride abil. Nende allkirjade abil saab ta tuvastada konkreetse rakenduse ja rakendada sellele konkreetset toimingut:
- Luba - luba
- Jälgige – lubage ja logige see
- Blokeeri – keela
- Karantiin - salvestage sündmus logidesse ja blokeerige IP-aadress teatud ajaks
Veebilehel saate vaadata ka olemasolevaid allkirju .
Vaatame nüüd HTTPS-i kontrollimehhanismi. 2018. aasta lõpu statistika järgi ületas HTTPS-i liikluse osakaal 70%. See tähendab, et ilma HTTPS-i kontrolli kasutamata saame analüüsida ainult umbes 30% võrku läbivast liiklusest. Esiteks vaatame ligikaudselt, kuidas HTTPS töötab.
Klient algatab veebiserverisse TLS-i päringu ja saab TLS-i vastuse ning näeb ka digitaalset sertifikaati, mida peab selle kasutaja jaoks usaldama. See on miinimum, mida me peame HTTPS-i toimimise kohta teadma; tegelikult on selle toimimine palju keerulisem. Pärast edukat TLS-i käepigistust algab krüpteeritud andmeedastus. Ja see on hea. Keegi ei pääse juurde andmetele, mida veebiserveriga vahetate.
Ettevõtete turvatöötajatele on see aga paras peavalu, sest nad ei näe seda liiklust ega kontrolli selle sisu ei viirusetõrje ega sissetungitõrjesüsteemi, DLP-süsteemide ega muuga. See mõjutab negatiivselt ka võrgus kasutatavate rakenduste ja veebiressursside määratlemise kvaliteeti – täpselt seda, mis meie tunni teemaga seotud on. HTTPS-i kontrollitehnoloogia on loodud selle probleemi lahendamiseks. Selle olemus on väga lihtne – tegelikult korraldab HTTPS-i kontrolli teostav seade Man In The Middle rünnaku. See näeb välja umbes selline: FortiGate püüab kinni kasutaja päringu, korraldab sellega HTTPS-ühenduse ja avab seejärel HTTPS-i seansi ressursiga, millele kasutaja juurde pääses. Sel juhul on FortiGate väljastatud sertifikaat kasutaja arvutis nähtav. Seda peab brauser ühenduse lubamiseks usaldama.
Tegelikult on HTTPS-i kontroll üsna keeruline asi ja sellel on palju piiranguid, kuid seda me sellel kursusel ei käsitle. Lisan lihtsalt, et HTTPS-i kontrolli rakendamine ei ole minutite küsimus, vaid tavaliselt kulub selleks umbes kuu. Vajalik on koguda infot vajalike erandite kohta, teha vastavad seadistused, koguda kasutajatelt tagasisidet, sätteid korrigeerida.
Antud teooriat ja ka praktilist osa tutvustatakse selles videotunnis:
Järgmises õppetükis vaatleme teisi turvaprofiile: viirusetõrje ja sissetungimise vältimise süsteem. Et sellest mitte ilma jääda, jälgige uuendusi järgmistel kanalitel:
Allikas: www.habr.com