Terveisiä! Tervetuloa kurssin kuudennelle tunnille
Suojausprofiilien käytön aloittamiseksi meidän on ymmärrettävä vielä yksi asia: tarkastustilat.
Oletusasetus on Flow Based Mode. Se tarkistaa tiedostot, kun ne kulkevat FortiGaten läpi puskuroimatta. Kun paketti saapuu, se käsitellään ja lähetetään edelleen odottamatta koko tiedoston tai verkkosivun vastaanottamista. Se vaatii vähemmän resursseja ja tarjoaa paremman suorituskyvyn kuin välityspalvelintila, mutta samalla kaikki suojaustoiminnot eivät ole käytettävissä siinä. Esimerkiksi Data Leak Prevention (DLP) -toimintoa voidaan käyttää vain välityspalvelintilassa.
Välityspalvelintila toimii eri tavalla. Se luo kaksi TCP-yhteyttä, yhden asiakkaan ja FortiGaten välille, toisen FortiGaten ja palvelimen välille. Tämän ansiosta se voi puskuroida liikennettä, eli vastaanottaa täydellisen tiedoston tai verkkosivun. Tiedostojen tarkistus erilaisten uhkien varalta alkaa vasta, kun koko tiedosto on puskuroitu. Tämän avulla voit käyttää lisäominaisuuksia, jotka eivät ole käytettävissä Flow-pohjaisessa tilassa. Kuten näette, tämä tila näyttää olevan Flow Basedin vastakohta - turvallisuus on tässä tärkeässä roolissa, ja suorituskyky jää taka-alalle.
Ihmiset kysyvät usein: mikä tila on parempi? Mutta tässä ei ole yleistä reseptiä. Kaikki on aina yksilöllistä ja riippuu tarpeistasi ja tavoitteistasi. Myöhemmin kurssilla yritän näyttää erot suojausprofiilien välillä Flow- ja Proxy-tiloissa. Tämä auttaa vertailemaan toimintoja ja päättämään, mikä on sinulle paras.
Siirrytään suoraan suojausprofiileihin ja katsotaan ensin Web Filtering. Se auttaa seuraamaan tai seuraamaan, millä verkkosivustoilla käyttäjät vierailevat. Mielestäni ei ole tarpeen mennä syvemmälle selittämään tällaisen profiilin tarvetta nykyisessä todellisuudessa. Ymmärretään paremmin, miten se toimii.
Kun TCP-yhteys on muodostettu, käyttäjä pyytää GET-pyyntöä tietyn verkkosivuston sisällön.
Jos web-palvelin vastaa positiivisesti, se lähettää tietoja verkkosivustosta takaisin. Tässä verkkosuodatin tulee peliin. Se tarkistaa tämän vastauksen sisällön Varmennuksen aikana FortiGate lähettää reaaliaikaisen pyynnön FortiGuard Distribution Networkille (FDN) määrittääkseen tietyn verkkosivuston luokan. Määritettyään tietyn verkkosivuston luokan verkkosuodatin suorittaa asetuksista riippuen tietyn toiminnon.
Flow-tilassa on käytettävissä kolme toimintoa:
- Salli - salli pääsy verkkosivustolle
- Estä - estä pääsy verkkosivustolle
- Monitor - salli pääsyn verkkosivustolle ja tallenna se lokeihin
Välityspalvelintilassa kaksi muuta toimintoa lisätään:
- Varoitus - anna käyttäjälle varoitus, että hän yrittää käydä tietyssä resurssissa ja anna käyttäjälle valinta - jatka tai poistu verkkosivustolta
- Todennus - Pyydä käyttäjätunnuksia - tämä antaa tietyille ryhmille pääsyn rajoitettuihin verkkosivustoluokkiin.
Sivusto
Sovellusten hallinnasta voidaan sanoa hyvin vähän. Kuten nimestä voi päätellä, sen avulla voit hallita sovellusten toimintaa. Ja hän tekee tämän käyttämällä eri sovellusten kuvioita, niin kutsuttuja allekirjoituksia. Näiden allekirjoitusten avulla hän voi tunnistaa tietyn sovelluksen ja suorittaa sille tietyn toiminnon:
- Salli - salli
- Monitor - salli ja kirjaa tämä
- Estä - kielletty
- Karanteeni - tallenna tapahtuma lokeihin ja estä IP-osoite tietyksi ajaksi
Voit myös tarkastella olemassa olevia allekirjoituksia verkkosivustolla
Katsotaanpa nyt HTTPS-tarkastusmekanismia. Vuoden 2018 lopun tilastojen mukaan HTTPS-liikenteen osuus ylitti 70 %. Eli ilman HTTPS-tarkistusta pystymme analysoimaan vain noin 30 % verkon läpi kulkevasta liikenteestä. Katsotaanpa ensin, kuinka HTTPS toimii karkeasti arvioituna.
Asiakas käynnistää TLS-pyynnön verkkopalvelimelle ja vastaanottaa TLS-vastauksen ja näkee myös digitaalisen varmenteen, johon tämän käyttäjän on oltava luotettava. Tämä on vähimmäisvaatimus, joka meidän on tiedettävä HTTPS:n toiminnasta; itse asiassa sen toimintatapa on paljon monimutkaisempi. Onnistuneen TLS-kättelyn jälkeen salattu tiedonsiirto alkaa. Ja tämä on hyvä. Kukaan ei pääse käsiksi tietoihin, joita vaihdat verkkopalvelimen kanssa.
Yritysten tietoturvapäälliköille tämä on kuitenkin todellinen päänsärky, koska he eivät voi nähdä tätä liikennettä ja tarkistaa sen sisältöä virustorjuntaohjelmalla, tunkeutumisenestojärjestelmällä tai DLP-järjestelmillä tai millään muullakaan. Tämä vaikuttaa myös negatiivisesti verkossa käytettävien sovellusten ja verkkoresurssien määrittelyn laatuun - juuri siihen, mikä liittyy oppituntiaiheeseemme. HTTPS-tarkastustekniikka on suunniteltu ratkaisemaan tämä ongelma. Sen olemus on hyvin yksinkertainen - itse asiassa HTTPS-tarkastuksen suorittava laite järjestää Man In The Middle -hyökkäyksen. Se näyttää suunnilleen tältä: FortiGate sieppaa käyttäjän pyynnön, järjestää HTTPS-yhteyden sen kanssa ja avaa sitten HTTPS-istunnon käyttäjän käyttämän resurssin kanssa. Tässä tapauksessa FortiGaten myöntämä varmenne näkyy käyttäjän tietokoneella. Sen on oltava luotettu, jotta selain sallii yhteyden.
Itse asiassa HTTPS-tarkastus on melko monimutkainen asia ja sillä on monia rajoituksia, mutta emme käsittele tätä tällä kurssilla. Lisään vain, että HTTPS-tarkistuksen käyttöönotto ei ole minuuttien kysymys; se kestää yleensä noin kuukauden. On tarpeen kerätä tietoa tarvittavista poikkeuksista, tehdä tarvittavat asetukset, kerätä palautetta käyttäjiltä ja säätää asetuksia.
Annettu teoria sekä käytännön osa esitetään tällä videotunnilla:
Seuraavalla oppitunnilla tarkastellaan muita suojausprofiileja: virustorjunta ja tunkeutumisen estojärjestelmä. Seuraa seuraavien kanavien päivityksiä, jotta et missaa sitä:
Lähde: will.com