Groetnis! Wolkom by de sechsde les fan de kursus . Op de wy hawwe behearsket de basis fan wurkjen mei NAT technology op , en ek ús testbrûker frijlitten op it ynternet. No is it tiid om te soargjen foar de feiligens fan de brûker yn syn iepen romten. Yn dizze les sille wy de folgjende befeiligingsprofilen besjen: Webfiltering, Applikaasjekontrôle, en HTTPS-ynspeksje.
Om te begjinnen mei befeiligingsprofilen, moatte wy noch ien ding begripe: ynspeksjemodi.
De standert is Flow-basearre modus. It kontrolearret bestannen as se troch de FortiGate gean sûnder buffering. Sadree't it pakket oankomt, wurdt it ferwurke en trochstjoerd, sûnder te wachtsjen op it folsleine bestân of webside om te ûntfangen. It fereasket minder boarnen en soarget foar bettere prestaasjes dan Proxy-modus, mar tagelyk is net alle Feiligensfunksjonaliteit deryn beskikber. Bygelyks, Data Leak Prevention (DLP) kin allinnich brûkt wurde yn Proxy modus.
Proxy-modus wurket oars. It makket twa TCP-ferbiningen, ien tusken de kliïnt en FortiGate, de twadde tusken FortiGate en de tsjinner. Dit makket it mooglik om ferkear te bufferjen, dus in folsleine bestân of webside te ûntfangen. It scannen fan bestannen foar ferskate bedrigingen begjint pas nei't it heule bestân is buffered. Hjirmei kinne jo ekstra funksjes brûke dy't net beskikber binne yn Flow basearre modus. Sa't jo sjen kinne, liket dizze modus it tsjinoerstelde te wêzen fan Flow Based - feiligens spilet hjir in wichtige rol, en prestaasjes nimt in efterbank.
Minsken freegje faaks: hokker modus is better? Mar d'r is hjir gjin algemien resept. Alles is altyd yndividueel en hinget ôf fan jo behoeften en doelen. Letter yn 'e kursus sil ik besykje de ferskillen sjen te litten tusken feiligensprofilen yn Flow- en Proxy-modi. Dit sil jo helpe om de funksjonaliteit te fergelykjen en te besluten wat it bêste foar jo is.
Litte wy direkt nei befeiligingsprofilen gean en earst nei Webfiltering sjen. It helpt om te kontrolearjen of te folgjen hokker websiden brûkers besykje. Ik tink dat it net nedich is om djipper te gean yn it ferklearjen fan de needsaak foar sa'n profyl yn 'e hjoeddeistige realiteiten. Litte wy better begripe hoe't it wurket.
Sadree't in TCP-ferbining is oprjochte, brûkt de brûker in GET-fersyk om de ynhâld fan in spesifike webside oan te freegjen.
As de webserver posityf reagearret, stjoert it ynformaasje oer de webside werom. Dit is wêr't it webfilter yn spiel komt. It ferifiearret de ynhâld fan dit antwurd Tidens ferifikaasje stjoert FortiGate in real-time fersyk nei it FortiGuard Distribution Network (FDN) om de kategory fan 'e opjûne webside te bepalen. Nei it fêststellen fan de kategory fan in bepaalde webside, fiert it webfilter, ôfhinklik fan de ynstellings, in spesifike aksje.
D'r binne trije aksjes beskikber yn Flow-modus:
- Tastean - tastean tagong ta de webside
- Blokkearje - blokkearje tagong ta de webside
- Monitor - tastean tagong ta de webside en registrearje it yn 'e logs
Yn Proxy-modus wurde noch twa aksjes tafoege:
- Warskôging - jou de brûker in warskôging dat hy besiket in bepaalde boarne te besykjen en jou de brûker in kar - trochgean of ferlitte de webside
- Authenticate - Request user credentials - dit lit bepaalde groepen tagong krije ta beheinde kategoryen fan websiden.
Op it webstee jo kinne alle kategoryen en subkategoryen fan it webfilter besjen, en ek fine út hokker kategory in bepaalde webside heart. En yn 't algemien is dit in aardich nuttige side foar brûkers fan Fortinet-oplossingen, ik advisearje jo om it better te learen yn jo frije tiid.
D'r is heul min dat kin wurde sein oer Application Control. Lykas de namme al fermoeden docht, kinne jo de wurking fan applikaasjes kontrolearje. En dat docht er mei help fan patroanen út ferskate applikaasjes, saneamde hantekeningen. Mei dizze hantekeningen kin hy in spesifike applikaasje identifisearje en dêr in spesifike aksje op tapasse:
- Tastean - tastean
- Monitor - tastean en log dit
- Blokkearje - ferbiede
- Quarantine - registrearje in evenemint yn 'e logs en blokkearje it IP-adres foar in bepaalde tiid
Jo kinne ek besteande hantekeningen besjen op 'e webside .
Litte wy no sjen nei it HTTPS-ynspeksjemeganisme. Neffens statistiken oan 'e ein fan 2018 is it oandiel fan HTTPS-ferkear mear as 70%. Dat is, sûnder HTTPS-ynspeksje te brûken, sille wy allinich sawat 30% fan it ferkear kinne analysearje dat troch it netwurk giet. Litte wy earst sjen hoe't HTTPS wurket yn in rûge approximaasje.
De kliïnt inisjearret in TLS-fersyk nei de webtsjinner en ûntfangt in TLS-antwurd, en sjocht ek in digitaal sertifikaat dat moat wurde fertroud foar dizze brûker. Dit is it minste minimum dat wy moatte witte oer hoe't HTTPS wurket yn feite, de manier wêrop it wurket is folle yngewikkelder. Nei in suksesfolle TLS-handshake begjint fersifere gegevensferfier. En dit is goed. Nimmen kin tagong krije ta de gegevens dy't jo útwikselje mei de webserver.
Foar bedriuwsbefeiligingsoffisieren is dit lykwols in echte hoofdpijn, om't se dit ferkear net kinne sjen en de ynhâld kontrolearje mei in antivirus, as in systeem foar ynbraakprevinsje, as DLP-systemen, of wat dan ek. Dit hat ek in negative ynfloed op de kwaliteit fan 'e definysje fan applikaasjes en webboarnen dy't brûkt wurde binnen it netwurk - krekt wat relatearret oan ús lesûnderwerp. HTTPS-ynspeksjetechnology is ûntworpen om dit probleem op te lossen. Syn essinsje is heul ienfâldich - feitlik organisearret in apparaat dat HTTPS-ynspeksje útfiert in Man In The Middle-oanfal. It sjocht der sa út: FortiGate ûnderskept it fersyk fan de brûker, organisearret der in HTTPS-ferbining mei, en iepenet dan in HTTPS-sesje mei de boarne dy't de brûker tagong hat. Yn dit gefal sil it sertifikaat útjûn troch FortiGate sichtber wêze op 'e kompjûter fan de brûker. It moat fertroud wurde foar de browser om de ferbining te tastean.
Yn feite is HTTPS-ynspeksje in nochal yngewikkeld ding en hat in protte beheiningen, mar wy sille dit net beskôgje yn dizze kursus. Ik sil gewoan tafoegje dat it ymplementearjen fan HTTPS-ynspeksje net in kwestje fan minuten is, it duorret normaal sawat in moanne. It is needsaaklik om ynformaasje te sammeljen oer de nedige útsûnderingen, de passende ynstellingen te meitsjen, feedback fan brûkers te sammeljen en de ynstellingen oan te passen.
De opjûne teory, lykas it praktyske diel, wurde presintearre yn dizze fideoles:
Yn 'e folgjende les sille wy nei oare befeiligingsprofilen sjen: antivirus en systeem foar ynbraakprevinsje. Om it net te missen, folgje de updates op 'e folgjende kanalen:
Boarne: www.habr.com