Lijep pozdrav! Dobrodošli u šestu lekciju tečaja , na svladali smo osnove rada s NAT tehnologijom na , a također je pustio našeg testnog korisnika na Internet. Sada je vrijeme da se pobrinemo za sigurnost korisnika na njegovim otvorenim prostorima. U ovoj lekciji ćemo pogledati sljedeće sigurnosne profile: Web Filtering, Application Control i HTTPS inspekcija.
Da bismo započeli sa sigurnosnim profilima, moramo razumjeti još jednu stvar: načine pregleda.
Zadani je način rada temeljen na protoku. Provjerava datoteke dok prolaze kroz FortiGate bez međuspremnika. Jednom kada paket stigne, obrađuje se i prosljeđuje, bez čekanja da se primi cijela datoteka ili web stranica. Zahtijeva manje resursa i pruža bolje performanse od proxy načina rada, ali u isto vrijeme nisu dostupne sve sigurnosne funkcije. Na primjer, Data Leak Prevention (DLP) može se koristiti samo u proxy modu.
Proxy način rada radi drugačije. Stvara dvije TCP veze, jednu između klijenta i FortiGate-a, drugu između FortiGate-a i poslužitelja. To mu omogućuje međuspremnik prometa, tj. primanje cijele datoteke ili web stranice. Skeniranje datoteka u potrazi za raznim prijetnjama počinje tek nakon što se cijela datoteka spremi u međuspremnik. To vam omogućuje korištenje dodatnih značajki koje nisu dostupne u načinu rada koji se temelji na protoku. Kao što možete vidjeti, čini se da je ovaj način rada suprotan Flow Based - sigurnost ovdje igra glavnu ulogu, a performanse su u drugom planu.
Ljudi se često pitaju: koji je način rada bolji? Ali ovdje nema općeg recepta. Sve je uvijek individualno i ovisi o vašim potrebama i ciljevima. Kasnije u tečaju pokušat ću pokazati razlike između sigurnosnih profila u Flow i Proxy modovima. To će vam pomoći da usporedite funkcionalnost i odlučite koji je najbolji za vas.
Prijeđimo izravno na sigurnosne profile i prvo pogledajmo Web Filtering. Pomaže u praćenju ili praćenju web stranica koje korisnici posjećuju. Mislim da nema potrebe ulaziti dublje u objašnjavanje potrebe za takvim profilom u sadašnjoj stvarnosti. Hajdemo bolje razumjeti kako to funkcionira.
Nakon uspostavljanja TCP veze, korisnik koristi GET zahtjev za traženje sadržaja određene web stranice.
Ako web poslužitelj odgovori pozitivno, šalje informacije o web stranici natrag. Ovo je mjesto gdje web filter stupa na scenu. Provjerava sadržaj ovog odgovora. Tijekom provjere, FortiGate šalje zahtjev u stvarnom vremenu FortiGuard distribucijskoj mreži (FDN) za određivanje kategorije dane web stranice. Nakon određivanja kategorije pojedine web stranice, web filtar, ovisno o postavkama, provodi određenu radnju.
Postoje tri radnje dostupne u Flow modu:
- Dopusti - dopustite pristup web stranici
- Blokiraj - blokirajte pristup web stranici
- Monitor - dopustite pristup web stranici i zabilježite to u zapisnike
U proxy načinu dodaju se još dvije radnje:
- Upozorenje - dajte korisniku upozorenje da pokušava posjetiti određeni resurs i dajte korisniku izbor - nastaviti ili napustiti web stranicu
- Provjera autentičnosti - Zahtjev za korisničke vjerodajnice - ovo omogućuje određenim grupama pristup ograničenim kategorijama web stranica.
Stranica možete pregledati sve kategorije i potkategorije web filtra, te saznati kojoj kategoriji određena web stranica pripada. I općenito, ovo je prilično korisna stranica za korisnike Fortinet rješenja, savjetujem vam da je bolje upoznate u svoje slobodno vrijeme.
Vrlo se malo toga može reći o Kontroli aplikacija. Kao što naziv govori, omogućuje kontrolu rada aplikacija. I to radi pomoću uzoraka iz raznih aplikacija, takozvanih potpisa. Koristeći te potpise, on može identificirati određenu aplikaciju i na nju primijeniti određenu radnju:
- Dopustiti - dopustiti
- Pratite - dopustite i zabilježite ovo
- Blokiraj - zabrani
- Karantena - zabilježite događaj u zapisnike i blokirajte IP adresu na određeno vrijeme
Također možete vidjeti postojeće potpise na web stranici .
Pogledajmo sada mehanizam provjere HTTPS-a. Prema statistici na kraju 2018. udio HTTPS prometa premašio je 70%. Odnosno, bez korištenja HTTPS inspekcije, moći ćemo analizirati samo oko 30% prometa koji prolazi kroz mrežu. Prvo, pogledajmo kako HTTPS funkcionira u gruboj procjeni.
Klijent inicira TLS zahtjev web poslužitelju i prima TLS odgovor, a također vidi digitalni certifikat koji mora biti pouzdan za ovog korisnika. Ovo je minimum koji trebamo znati o tome kako HTTPS funkcionira; zapravo je način na koji funkcionira mnogo kompliciraniji. Nakon uspješnog TLS rukovanja počinje šifrirani prijenos podataka. I ovo je dobro. Nitko ne može pristupiti podacima koje razmjenjujete s web poslužiteljem.
Međutim, za sigurnosne službenike poduzeća to je prava glavobolja, budući da ne mogu vidjeti taj promet i provjeriti njegov sadržaj ni antivirusom, ni sustavom za sprječavanje upada, ni DLP sustavima, niti bilo čime. To također negativno utječe na kvalitetu definicije aplikacija i web izvora koji se koriste unutar mreže - upravo ono što se odnosi na našu temu lekcije. HTTPS tehnologija inspekcije dizajnirana je za rješavanje ovog problema. Suština mu je vrlo jednostavna – zapravo uređaj koji obavlja HTTPS inspekciju organizira Man In The Middle napad. To izgleda otprilike ovako: FortiGate presreće korisnikov zahtjev, organizira HTTPS vezu s njim, a zatim otvara HTTPS sesiju s resursom kojem je korisnik pristupio. U tom će slučaju certifikat koji je izdao FortiGate biti vidljiv na računalu korisnika. Mora biti pouzdan da bi preglednik omogućio vezu.
Zapravo, HTTPS inspekcija je prilično komplicirana stvar i ima mnogo ograničenja, ali to nećemo razmatrati u ovom tečaju. Samo ću dodati da implementacija HTTPS inspekcije nije stvar minuta; obično traje oko mjesec dana. Potrebno je prikupiti podatke o potrebnim iznimkama, napraviti odgovarajuće postavke, prikupiti povratne informacije od korisnika, te prilagoditi postavke.
Zadana teorija, kao i praktični dio, prikazani su u ovoj video lekciji:
U sljedećoj lekciji ćemo pogledati druge sigurnosne profile: antivirusni sustav i sustav za sprječavanje upada. Kako ne biste propustili, pratite novosti na sljedećim kanalima:
Izvor: www.habr.com