Üdvözlet! Üdvözöljük a tanfolyam hatodik leckében . tovább elsajátítottuk a NAT technológiával való munkavégzés alapjait , és felszabadította tesztfelhasználónkat is az internetre. Itt az ideje, hogy gondoskodjon a felhasználó biztonságáról a szabad tereken. Ebben a leckében a következő biztonsági profilokat tekintjük át: Webszűrés, Alkalmazásvezérlés és HTTPS-ellenőrzés.
A biztonsági profilok használatának megkezdéséhez még egy dolgot meg kell értenünk: az ellenőrzési módokat.
Az alapértelmezett az áramlás alapú mód. Ellenőrzi a fájlokat, amint azok pufferelés nélkül áthaladnak a FortiGate-en. Ha a csomag megérkezik, a rendszer feldolgozza és továbbítja anélkül, hogy megvárná a teljes fájl vagy weboldal fogadását. Kevesebb erőforrást igényel, és jobb teljesítményt nyújt, mint a Proxy mód, ugyanakkor nem érhető el benne minden biztonsági funkció. Például a Data Leak Prevention (DLP) csak Proxy módban használható.
A proxy mód másként működik. Két TCP-kapcsolatot hoz létre, az egyiket a kliens és a FortiGate, a másodikat a FortiGate és a szerver között. Ez lehetővé teszi a forgalom pufferelését, azaz egy teljes fájl vagy weboldal fogadását. A fájlok különböző fenyegetések keresésére csak a teljes fájl pufferelése után kezdődik meg. Ez lehetővé teszi olyan további szolgáltatások használatát, amelyek nem állnak rendelkezésre Flow alapú módban. Amint látja, ez a mód a Flow Based ellentéte – itt a biztonság játszik főszerepet, a teljesítmény pedig háttérbe szorul.
Az emberek gyakran kérdezik: melyik mód a jobb? De itt nincs általános recept. Minden mindig egyéni, és az Ön igényeitől és céljaitól függ. Később a tanfolyam során megpróbálom bemutatni a biztonsági profilok közötti különbségeket Flow és Proxy módban. Ez segít összehasonlítani a funkciókat, és eldönteni, hogy melyik a legjobb az Ön számára.
Térjünk át közvetlenül a biztonsági profilokra, és először nézzük meg a webszűrést. Segít figyelemmel kísérni vagy nyomon követni, hogy a felhasználók mely webhelyeket keresik fel. Úgy gondolom, hogy a jelenlegi valóságban nem szükséges mélyebben elmagyarázni egy ilyen profil szükségességét. Értsük meg jobban, hogyan működik.
Miután létrejött a TCP-kapcsolat, a felhasználó egy GET-kéréssel kéri le egy adott webhely tartalmát.
Ha a webszerver pozitívan válaszol, akkor visszaküldi a webhelyről szóló információkat. Itt jön képbe a webszűrő. Ellenőrzi ennek a válasznak a tartalmát Az ellenőrzés során a FortiGate valós idejű kérést küld a FortiGuard Distribution Network (FDN) felé, hogy meghatározza az adott weboldal kategóriáját. Egy adott webhely kategóriájának meghatározása után a webszűrő a beállításoktól függően egy adott műveletet hajt végre.
Flow módban három művelet áll rendelkezésre:
- Engedélyezés – hozzáférés engedélyezése a webhelyhez
- Blokkolás - blokkolja a hozzáférést a webhelyhez
- Monitor - hozzáférés engedélyezése a webhelyhez, és rögzítse a naplókban
Proxy módban két további művelet kerül hozzáadásra:
- Figyelmeztetés - adjon figyelmeztetést a felhasználónak, hogy egy bizonyos forrást próbál meglátogatni, és adjon választási lehetőséget - folytassa vagy hagyja el a webhelyet
- Hitelesítés – Felhasználói hitelesítési adatok kérése – ez lehetővé teszi bizonyos csoportok számára, hogy korlátozott kategóriájú webhelyekhez hozzáférjenek.
Az oldal megtekintheti a webszűrő összes kategóriáját és alkategóriáját, és azt is megtudhatja, hogy egy adott webhely melyik kategóriába tartozik. Általánosságban elmondható, hogy ez egy nagyon hasznos oldal a Fortinet megoldások felhasználóinak, azt tanácsolom, hogy szabadidődben ismerkedj meg vele.
Nagyon keveset lehet mondani az Alkalmazásvezérlésről. Ahogy a neve is sugallja, lehetővé teszi az alkalmazások működésének vezérlését. És ezt különféle alkalmazásokból származó minták, úgynevezett aláírások felhasználásával teszi. Ezekkel az aláírásokkal azonosíthat egy adott alkalmazást, és konkrét műveletet hajthat végre rajta:
- Engedélyezés - engedélyezés
- Monitor - engedélyezze és naplózza ezt
- Blokkolás – tiltás
- Karantén - rögzítsen egy eseményt a naplókban, és blokkolja az IP-címet egy bizonyos ideig
A weboldalon megtekintheti a meglévő aláírásokat is .
Most nézzük meg a HTTPS-ellenőrzési mechanizmust. A 2018 végi statisztikák szerint a HTTPS forgalom aránya meghaladta a 70%-ot. Vagyis HTTPS-ellenőrzés nélkül a hálózaton áthaladó forgalomnak csak körülbelül 30%-át tudjuk majd elemezni. Először nézzük meg, hogyan működik a HTTPS durva közelítésben.
A kliens TLS-kérést kezdeményez a webszerver felé, és kap egy TLS-választ, és lát egy digitális tanúsítványt is, amelyben megbízhatónak kell lennie a felhasználó számára. Ez a minimum, amit tudnunk kell a HTTPS működéséről; valójában a működése sokkal bonyolultabb. A sikeres TLS-kézfogás után megkezdődik a titkosított adatátvitel. És ez jó. Senki sem férhet hozzá a webszerverrel cserélt adatokhoz.
A céges biztonsági tisztek számára azonban ez komoly fejtörést okoz, hiszen nem látják ezt a forgalmat és nem tudják ellenőrizni a tartalmát sem vírusirtóval, sem behatolásgátló rendszerrel, sem DLP rendszerekkel, sem mással. Ez negatívan befolyásolja a hálózaton belül használt alkalmazások és webes erőforrások meghatározásának minőségét is – pontosan ami az óra témánkhoz kapcsolódik. A HTTPS ellenőrzési technológiát ennek a problémának a megoldására tervezték. A lényege nagyon egyszerű – valójában egy HTTPS-ellenőrzést végző eszköz Man In The Middle támadást szervez. Valahogy így néz ki: A FortiGate elfogja a felhasználó kérését, HTTPS-kapcsolatot szervez vele, majd megnyit egy HTTPS-munkamenetet a felhasználó által elért erőforrással. Ebben az esetben a FortiGate által kiállított tanúsítvány látható lesz a felhasználó számítógépén. Meg kell bízni benne, hogy a böngésző engedélyezze a kapcsolatot.
Valójában a HTTPS-ellenőrzés meglehetősen bonyolult dolog, és számos korlátja van, de ebben a kurzusban ezt nem fogjuk figyelembe venni. Csak annyit teszek hozzá, hogy a HTTPS-ellenőrzés megvalósítása nem percek kérdése; általában körülbelül egy hónapig tart. Információt kell gyűjteni a szükséges kivételekről, elvégezni a megfelelő beállításokat, visszajelzéseket gyűjteni a felhasználóktól, módosítani kell a beállításokat.
Az adott elméletet, valamint a gyakorlati részt ebben a videós leckében mutatjuk be:
A következő leckében más biztonsági profilokat is megvizsgálunk: vírusirtó és behatolásgátló rendszer. Hogy ne maradj le róla, kövesd a frissítéseket az alábbi csatornákon:
Forrás: will.com