Saúdos! Benvidos á sexta lección do curso . Activado dominamos os conceptos básicos de traballar coa tecnoloxía NAT , e tamén lanzou o noso usuario de proba en Internet. Agora toca coidar a seguridade do usuario nos seus espazos abertos. Nesta lección analizaremos os seguintes perfís de seguridade: filtrado web, control de aplicacións e inspección HTTPS.
Para comezar cos perfís de seguridade, necesitamos entender unha cousa máis: os modos de inspección.
O modo predeterminado é o modo baseado en fluxo. Comproba os ficheiros mentres pasan polo FortiGate sen almacenar en búfer. Unha vez que chega o paquete, procédese e envíase, sen esperar a que se reciba todo o ficheiro ou a páxina web. Require menos recursos e ofrece un mellor rendemento que o modo Proxy, pero, ao mesmo tempo, non todas as funcións de seguranza están dispoñibles nel. Por exemplo, a prevención de fugas de datos (DLP) só se pode usar no modo proxy.
O modo proxy funciona de forma diferente. Crea dúas conexións TCP, unha entre o cliente e FortiGate, a segunda entre FortiGate e o servidor. Isto permítelle almacenar o tráfico, é dicir, recibir un ficheiro ou páxina web completos. A exploración de ficheiros en busca de varias ameazas comeza só despois de que todo o ficheiro foi almacenado no búfer. Isto permítelle utilizar funcións adicionais que non están dispoñibles no modo baseado en fluxo. Como podes ver, este modo parece ser o contrario ao baseado en fluxo: a seguridade xoga un papel importante aquí e o rendemento pasa a un segundo plano.
A xente adoita preguntar: que modo é mellor? Pero aquí non hai unha receita xeral. Todo é sempre individual e depende das túas necesidades e obxectivos. Máis adiante no curso tentarei mostrar as diferenzas entre os perfís de seguridade nos modos Flow e Proxy. Isto axudarache a comparar a funcionalidade e decidir cal é o mellor para ti.
Pasemos directamente aos perfís de seguranza e primeiro ollemos o filtrado web. Axuda a supervisar ou rastrexar os sitios web que visitan os usuarios. Creo que non hai que afondar na explicación da necesidade de tal perfil nas realidades actuais. Imos entender mellor como funciona.
Unha vez establecida unha conexión TCP, o usuario utiliza unha solicitude GET para solicitar o contido dun sitio web específico.
Se o servidor web responde positivamente, envía información sobre o sitio web de volta. Aquí é onde entra en xogo o filtro web. Verifica o contido desta resposta. Durante a verificación, FortiGate envía unha solicitude en tempo real á Rede de Distribución FortiGuard (FDN) para determinar a categoría do sitio web dado. Despois de determinar a categoría dun sitio web en particular, o filtro web, dependendo da configuración, realiza unha acción específica.
Hai tres accións dispoñibles no modo de fluxo:
- Permitir: permite o acceso ao sitio web
- Bloquear: bloquea o acceso ao sitio web
- Monitor: permite o acceso ao sitio web e rexistrao nos rexistros
No modo proxy, engádense dúas accións máis:
- Aviso: avisa ao usuario de que está tentando visitar un determinado recurso e dálle a posibilidade de escoller: continúa ou abandona o sitio web
- Autenticar - Solicitar credenciais de usuario - isto permite que certos grupos accedan a categorías restrinxidas de sitios web.
A web pode ver todas as categorías e subcategorías do filtro web e tamén descubrir a que categoría pertence un sitio web en particular. E en xeral, este é un sitio bastante útil para os usuarios de solucións Fortinet, recoméndoche que o coñezas mellor no teu tempo libre.
Hai moi pouco que se pode dicir sobre o Control de aplicacións. Como o nome indica, permite controlar o funcionamento das aplicacións. E faino utilizando patróns de varias aplicacións, as chamadas sinaturas. Mediante estas sinaturas, pode identificar unha aplicación específica e aplicarlle unha acción específica:
- Permitir - permitir
- Monitor: permite e rexistra isto
- Bloquear - prohibir
- Corentena: rexistra un evento nos rexistros e bloquea o enderezo IP durante un tempo determinado
Tamén podes ver as sinaturas existentes no sitio web .
Agora vexamos o mecanismo de inspección HTTPS. Segundo as estatísticas a finais de 2018, a porcentaxe de tráfico HTTPS superou o 70%. É dicir, sen utilizar a inspección HTTPS, só poderemos analizar preto do 30% do tráfico que pasa pola rede. En primeiro lugar, vexamos como funciona HTTPS nunha aproximación aproximada.
O cliente inicia unha solicitude TLS ao servidor web e recibe unha resposta TLS, e tamén ve un certificado dixital que debe ser de confianza para este usuario. Este é o mínimo que necesitamos saber sobre como funciona HTTPS; de feito, o seu funcionamento é moito máis complicado. Despois dun apretón de contactos TLS exitoso, comeza a transferencia de datos cifrados. E isto é bo. Ninguén pode acceder aos datos que intercambias co servidor web.
Non obstante, para os axentes de seguridade da empresa isto é un auténtico quebradizo de cabeza, xa que non poden ver este tráfico e comprobar o seu contido nin cun antivirus, nin cun sistema de prevención de intrusos, nin con sistemas DLP, nin nada. Isto tamén afecta negativamente á calidade da definición das aplicacións e dos recursos web utilizados na rede, exactamente o que se relaciona co tema da nosa lección. A tecnoloxía de inspección HTTPS está deseñada para resolver este problema. A súa esencia é moi sinxela: de feito, un dispositivo que realiza a inspección HTTPS organiza un ataque Man In The Middle. Parece algo así: FortiGate intercepta a solicitude do usuario, organiza unha conexión HTTPS con ela e despois abre unha sesión HTTPS co recurso ao que accedeu. Neste caso, o certificado emitido por FortiGate estará visible no ordenador do usuario. Debe ser de confianza para que o navegador permita a conexión.
De feito, a inspección HTTPS é algo complicado e ten moitas limitacións, pero non o consideraremos neste curso. Só engadirei que a implementación da inspección HTTPS non é cuestión de minutos; normalmente leva aproximadamente un mes. É necesario recompilar información sobre as excepcións necesarias, facer a configuración adecuada, recoller comentarios dos usuarios e axustar a configuración.
A teoría dada, así como a parte práctica, preséntanse nesta lección en vídeo:
Na seguinte lección veremos outros perfís de seguridade: antivirus e sistema de prevención de intrusos. Para non perdelo, segue as actualizacións nas seguintes canles:
Fonte: www.habr.com