Salutations! Bienvenue à la sixième leçon du cours . sur nous maîtrisons les bases du travail avec la technologie NAT sur , et a également publié notre utilisateur test sur Internet. Il est désormais temps de veiller à la sécurité de l'utilisateur dans ses espaces ouverts. Dans cette leçon, nous examinerons les profils de sécurité suivants : filtrage Web, contrôle des applications et inspection HTTPS.
Pour commencer avec les profils de sécurité, nous devons comprendre encore une chose : les modes d'inspection.
La valeur par défaut est le mode Basé sur le flux. Il vérifie les fichiers lorsqu'ils passent par le FortiGate sans mise en mémoire tampon. Une fois le paquet arrivé, il est traité et transmis, sans attendre la réception de l'intégralité du fichier ou de la page Web. Il nécessite moins de ressources et offre de meilleures performances que le mode Proxy, mais en même temps, toutes les fonctionnalités de sécurité n'y sont pas disponibles. Par exemple, Data Leak Prevention (DLP) ne peut être utilisé qu'en mode proxy.
Le mode proxy fonctionne différemment. Il crée deux connexions TCP, une entre le client et FortiGate, la seconde entre FortiGate et le serveur. Cela lui permet de mettre en mémoire tampon le trafic, c'est-à-dire de recevoir un fichier ou une page Web complète. L'analyse des fichiers à la recherche de diverses menaces ne commence qu'une fois que l'intégralité du fichier a été mise en mémoire tampon. Cela vous permet d'utiliser des fonctionnalités supplémentaires qui ne sont pas disponibles en mode basé sur Flow. Comme vous pouvez le constater, ce mode semble être à l'opposé de Flow Based : la sécurité joue ici un rôle majeur et les performances passent au second plan.
Les gens demandent souvent : quel mode est le meilleur ? Mais il n’y a pas de recette générale ici. Tout est toujours individuel et dépend de vos besoins et de vos objectifs. Plus tard dans le cours, j'essaierai de montrer les différences entre les profils de sécurité en modes Flow et Proxy. Cela vous aidera à comparer les fonctionnalités et à décider laquelle vous convient le mieux.
Passons directement aux profils de sécurité et examinons d'abord le filtrage Web. Il permet de surveiller ou de suivre les sites Web visités par les utilisateurs. Je pense qu’il n’est pas nécessaire d’approfondir l’explication de la nécessité d’un tel profil dans les réalités actuelles. Comprenons mieux comment cela fonctionne.
Une fois la connexion TCP établie, l'utilisateur utilise une requête GET pour demander le contenu d'un site Web spécifique.
Si le serveur Web répond positivement, il renvoie des informations sur le site Web. C’est là qu’intervient le filtre web. Il vérifie le contenu de cette réponse. Lors de la vérification, FortiGate envoie une requête en temps réel au réseau de distribution FortiGuard (FDN) pour déterminer la catégorie du site Web donné. Après avoir déterminé la catégorie d'un site Web particulier, le filtre Web, en fonction des paramètres, effectue une action spécifique.
Trois actions sont disponibles en mode Flux :
- Autoriser - autoriser l'accès au site Web
- Bloquer - bloquer l'accès au site Web
- Surveiller - autoriser l'accès au site Web et l'enregistrer dans les journaux
En mode Proxy, deux actions supplémentaires sont ajoutées :
- Avertissement - avertissez l'utilisateur qu'il essaie de visiter une certaine ressource et donnez-lui le choix - continuer ou quitter le site Web.
- Authentifier - Demander les informations d'identification de l'utilisateur - cela permet à certains groupes d'accéder à des catégories restreintes de sites Web.
Le site vous pouvez afficher toutes les catégories et sous-catégories du filtre Web, et également savoir à quelle catégorie appartient un site Web particulier. Et en général, c'est un site assez utile pour les utilisateurs de solutions Fortinet, je vous conseille de mieux le connaître pendant votre temps libre.
Il y a très peu de choses à dire sur le contrôle des applications. Comme son nom l'indique, il permet de contrôler le fonctionnement des applications. Et il le fait en utilisant des modèles provenant de diverses applications, appelés signatures. Grâce à ces signatures, il peut identifier une application spécifique et lui appliquer une action spécifique :
- Autoriser - autoriser
- Surveiller - autoriser et enregistrer ceci
- Bloquer - interdire
- Quarantaine - enregistrez un événement dans les journaux et bloquez l'adresse IP pendant un certain temps
Vous pouvez également consulter les signatures existantes sur le site Web .
Examinons maintenant le mécanisme d'inspection HTTPS. Selon les statistiques fin 2018, la part du trafic HTTPS dépassait 70 %. Autrement dit, sans utiliser l’inspection HTTPS, nous ne pourrons analyser qu’environ 30 % du trafic transitant par le réseau. Tout d’abord, regardons comment fonctionne HTTPS, de manière approximative.
Le client initie une requête TLS au serveur Web et reçoit une réponse TLS, et voit également un certificat numérique qui doit être approuvé pour cet utilisateur. C’est le strict minimum que nous devons savoir sur le fonctionnement du HTTPS ; en fait, son fonctionnement est beaucoup plus compliqué. Après une négociation TLS réussie, le transfert de données cryptées commence. Et c'est bien. Personne ne peut accéder aux données que vous échangez avec le serveur Web.
Cependant, pour les responsables de la sécurité de l'entreprise, c'est un véritable casse-tête, car ils ne peuvent pas voir ce trafic et vérifier son contenu ni avec un antivirus, ni avec un système de prévention des intrusions, ni avec des systèmes DLP, ou quoi que ce soit. Cela affecte également négativement la qualité de la définition des applications et des ressources Web utilisées au sein du réseau - exactement ce qui concerne notre sujet de cours. La technologie d'inspection HTTPS est conçue pour résoudre ce problème. Son essence est très simple : en fait, un appareil qui effectue une inspection HTTPS organise une attaque Man In The Middle. Cela ressemble à ceci : FortiGate intercepte la demande de l'utilisateur, organise une connexion HTTPS avec celui-ci, puis ouvre une session HTTPS avec la ressource à laquelle l'utilisateur a accédé. Dans ce cas, le certificat émis par FortiGate sera visible sur l'ordinateur de l'utilisateur. Il doit être fiable pour que le navigateur autorise la connexion.
En fait, l’inspection HTTPS est une chose assez compliquée et présente de nombreuses limites, mais nous n’en parlerons pas dans ce cours. J'ajouterai simplement que la mise en œuvre de l'inspection HTTPS n'est pas une question de minutes ; cela prend généralement environ un mois. Il est nécessaire de collecter des informations sur les exceptions nécessaires, d'effectuer les réglages appropriés, de recueillir les commentaires des utilisateurs et d'ajuster les paramètres.
La théorie donnée, ainsi que la partie pratique, sont présentées dans cette leçon vidéo :
Dans la prochaine leçon, nous examinerons d'autres profils de sécurité : antivirus et système de prévention des intrusions. Pour ne pas le manquer, suivez l'actualité sur les chaînes suivantes :
Source: habr.com