با درود! به درس ششم دوره خوش آمدید . بر ما بر اصول اولیه کار با فناوری NAT تسلط داریم ، و همچنین کاربر آزمایشی ما را در اینترنت منتشر کرد. اکنون زمان آن رسیده است که از ایمنی کاربر در فضاهای باز خود مراقبت کنیم. در این درس به نمایههای امنیتی زیر نگاه میکنیم: Web Filtering، Application Control و بازرسی HTTPS.
برای شروع کار با پروفایل های امنیتی، باید یک چیز دیگر را درک کنیم: حالت های بازرسی.
حالت پیشفرض، حالت مبتنی بر جریان است. این فایل ها را هنگام عبور از FortiGate بدون بافر بررسی می کند. پس از رسیدن بسته، بدون انتظار برای دریافت کل فایل یا صفحه وب، پردازش و ارسال می شود. به منابع کمتری نیاز دارد و عملکرد بهتری نسبت به حالت پروکسی ارائه میکند، اما در عین حال، تمام قابلیتهای امنیتی در آن موجود نیست. به عنوان مثال، Data Leak Prevention (DLP) فقط در حالت Proxy قابل استفاده است.
حالت پروکسی متفاوت عمل می کند. دو اتصال TCP ایجاد می کند، یکی بین کلاینت و فورتی گیت، دومی بین فورتی گیت و سرور. این به آن اجازه می دهد تا ترافیک را بافر کند، یعنی یک فایل یا صفحه وب کامل را دریافت کند. اسکن فایل ها برای تهدیدهای مختلف تنها پس از بافر شدن کل فایل آغاز می شود. این به شما امکان می دهد از ویژگی های اضافی استفاده کنید که در حالت مبتنی بر جریان در دسترس نیستند. همانطور که می بینید، به نظر می رسد این حالت برعکس Flow Based است - امنیت در اینجا نقش اصلی را ایفا می کند و عملکرد در صندلی عقب قرار می گیرد.
مردم اغلب می پرسند: کدام حالت بهتر است؟ اما هیچ دستور العمل کلی در اینجا وجود ندارد. همه چیز همیشه فردی است و به نیازها و اهداف شما بستگی دارد. بعداً در دوره سعی خواهم کرد تفاوت بین پروفایل های امنیتی در حالت های Flow و Proxy را نشان دهم. این به شما کمک می کند عملکرد را مقایسه کنید و تصمیم بگیرید که کدام یک برای شما بهترین است.
بیایید مستقیماً به نمایه های امنیتی برویم و ابتدا به Web Filtering نگاه کنیم. این به نظارت یا ردیابی وب سایت هایی که کاربران بازدید می کنند کمک می کند. من فکر می کنم نیازی به توضیح بیشتر در توضیح نیاز به چنین نمایه ای در واقعیت های کنونی نیست. بیایید بهتر بفهمیم که چگونه کار می کند.
هنگامی که یک اتصال TCP برقرار شد، کاربر از یک درخواست GET برای درخواست محتوای یک وب سایت خاص استفاده می کند.
اگر وب سرور پاسخ مثبت دهد، اطلاعات مربوط به وب سایت را پس می فرستد. اینجاست که فیلتر وب وارد عمل می شود. محتویات این پاسخ را تأیید می کند. در طول تأیید، FortiGate یک درخواست بلادرنگ به شبکه توزیع FortiGuard (FDN) ارسال می کند تا دسته بندی وب سایت داده شده را تعیین کند. پس از تعیین دسته بندی یک وب سایت خاص، وب فیلتر بسته به تنظیمات، اقدام خاصی را انجام می دهد.
سه عملکرد در حالت جریان وجود دارد:
- اجازه - اجازه دسترسی به وب سایت
- مسدود کردن - دسترسی به وب سایت را مسدود کنید
- نظارت - اجازه دسترسی به وب سایت و ثبت آن در سیاهههای مربوط
در حالت پروکسی، دو عمل دیگر اضافه می شود:
- اخطار - به کاربر هشدار دهید که سعی دارد از یک منبع خاص بازدید کند و به کاربر حق انتخاب بدهید - ادامه یا ترک وب سایت
- احراز هویت - درخواست اعتبار کاربر - این به گروه های خاصی اجازه می دهد تا به دسته های محدود وب سایت ها دسترسی داشته باشند.
این سایت می توانید تمام دسته ها و زیرمجموعه های فیلتر وب را مشاهده کنید و همچنین متوجه شوید که یک وب سایت خاص به کدام دسته تعلق دارد. و به طور کلی، این یک سایت بسیار مفید برای کاربران راهکارهای Fortinet است، به شما توصیه می کنم در اوقات فراغت خود با آن بیشتر آشنا شوید.
در مورد Application Control چیز بسیار کمی می توان گفت. همانطور که از نام آن پیداست، به شما اجازه می دهد تا عملکرد برنامه ها را کنترل کنید. و او این کار را با استفاده از الگوهایی از برنامه های مختلف انجام می دهد که اصطلاحاً امضا نامیده می شود. با استفاده از این امضاها، او می تواند یک برنامه خاص را شناسایی کرده و یک عمل خاص را برای آن اعمال کند:
- اجازه دادن - اجازه دادن
- مانیتور - اجازه دهید و این را ثبت کنید
- مسدود کردن - ممنوع کردن
- قرنطینه - یک رویداد را در گزارشها ثبت کنید و آدرس IP را برای مدت معینی مسدود کنید
همچنین می توانید امضاهای موجود را در وب سایت مشاهده کنید .
حالا بیایید به مکانیسم بازرسی HTTPS نگاه کنیم. طبق آمار در پایان سال 2018، سهم ترافیک HTTPS از 70 درصد فراتر رفت. یعنی بدون استفاده از بازرسی HTTPS، تنها حدود 30 درصد از ترافیک عبوری از شبکه را قادر خواهیم بود آنالیز کنیم. ابتدا، بیایید به نحوه عملکرد HTTPS در یک تقریب تقریبی نگاه کنیم.
کلاینت درخواست TLS را به وب سرور آغاز می کند و پاسخ TLS را دریافت می کند و همچنین گواهی دیجیتالی را می بیند که باید برای این کاربر قابل اعتماد باشد. این حداقل چیزی است که ما باید در مورد نحوه عملکرد HTTPS بدانیم؛ در واقع، نحوه عملکرد آن بسیار پیچیدهتر است. پس از یک دست دادن موفقیت آمیز TLS، انتقال داده های رمزگذاری شده آغاز می شود. و این خوب است. هیچ کس نمی تواند به داده هایی که با سرور وب مبادله می کنید دسترسی داشته باشد.
با این حال، برای افسران امنیتی شرکت، این یک دردسر واقعی است، زیرا آنها نمی توانند این ترافیک را ببینند و محتوای آن را با آنتی ویروس، یا یک سیستم جلوگیری از نفوذ، یا سیستم های DLP یا هر چیز دیگری بررسی کنند. این همچنین بر کیفیت تعریف برنامه ها و منابع وب مورد استفاده در شبکه تأثیر منفی می گذارد - دقیقاً آنچه به موضوع درس ما مربوط می شود. فناوری بازرسی HTTPS برای حل این مشکل طراحی شده است. ماهیت آن بسیار ساده است - در واقع، دستگاهی که بازرسی HTTPS را انجام می دهد، حمله Man In The Middle را سازماندهی می کند. چیزی شبیه به این است: FortiGate درخواست کاربر را رهگیری می کند، یک اتصال HTTPS را با آن سازماندهی می کند و سپس یک جلسه HTTPS را با منبعی که کاربر به آن دسترسی داشته باز می کند. در این صورت گواهی صادر شده توسط فورتی گیت بر روی کامپیوتر کاربر قابل مشاهده خواهد بود. برای اینکه مرورگر اجازه اتصال را بدهد باید به آن اعتماد کرد.
در واقع، بازرسی HTTPS یک چیز نسبتاً پیچیده است و محدودیت های زیادی دارد، اما ما در این دوره به این موضوع توجه نمی کنیم. من فقط اضافه میکنم که اجرای بازرسی HTTPS چند دقیقه نیست؛ معمولاً حدود یک ماه طول میکشد. جمع آوری اطلاعات در مورد استثناهای لازم، انجام تنظیمات مناسب، جمع آوری بازخورد از کاربران و تنظیم تنظیمات ضروری است.
تئوری داده شده و همچنین بخش عملی در این درس ویدیویی ارائه شده است:
در درس بعدی به پروفایل های امنیتی دیگر خواهیم پرداخت: آنتی ویروس و سیستم جلوگیری از نفوذ. برای اینکه آن را از دست ندهید، به روز رسانی ها را در کانال های زیر دنبال کنید:
منبع: www.habr.com