Ողջույններ: Բարի գալուստ դասընթացի վեցերորդ դաս : On մենք յուրացրել ենք NAT տեխնոլոգիայի հետ աշխատելու հիմունքները , և նաև մեր փորձնական օգտատիրոջը թողարկեց ինտերնետ: Այժմ ժամանակն է հոգ տանել օգտատիրոջ անվտանգության մասին իր բաց տարածքներում։ Այս դասում մենք կանդրադառնանք անվտանգության հետևյալ պրոֆիլներին՝ Web Filtering, Application Control և HTTPS ստուգում:
Անվտանգության պրոֆիլները սկսելու համար մենք պետք է հասկանանք ևս մեկ բան՝ ստուգման ռեժիմները:
Կանխադրվածը հոսքի վրա հիմնված ռեժիմն է: Այն ստուգում է ֆայլերը, երբ նրանք անցնում են FortiGate-ով առանց բուֆերացման: Փաթեթը հասնելուց հետո այն մշակվում և ուղարկվում է առանց սպասելու ամբողջ ֆայլի կամ վեբ էջի ստացմանը: Այն պահանջում է ավելի քիչ ռեսուրսներ և ապահովում է ավելի լավ կատարողականություն, քան Proxy ռեժիմը, բայց միևնույն ժամանակ, անվտանգության ոչ բոլոր գործառույթներն են հասանելի դրանում: Օրինակ, տվյալների արտահոսքի կանխարգելումը (DLP) կարող է օգտագործվել միայն պրոքսի ռեժիմում:
Proxy ռեժիմն այլ կերպ է աշխատում: Այն ստեղծում է երկու TCP կապ, մեկը հաճախորդի և FortiGate-ի միջև, երկրորդը՝ FortiGate-ի և սերվերի միջև: Սա թույլ է տալիս բուֆերացնել տրաֆիկը, այսինքն՝ ստանալ ամբողջական ֆայլ կամ վեբ էջ: Տարբեր սպառնալիքների համար ֆայլերի սկանավորումը սկսվում է միայն այն բանից հետո, երբ ամբողջ ֆայլը բուֆերացված է: Սա թույլ է տալիս օգտագործել լրացուցիչ գործառույթներ, որոնք հասանելի չեն Flow-ի վրա հիմնված ռեժիմում: Ինչպես տեսնում եք, այս ռեժիմը կարծես թե հակառակն է Flow Based-ին. անվտանգությունն այստեղ մեծ դեր է խաղում, և կատարումը երկրորդ տեղում է:
Մարդիկ հաճախ հարցնում են՝ ո՞ր ռեժիմն է ավելի լավ: Բայց այստեղ ընդհանուր բաղադրատոմս չկա: Ամեն ինչ միշտ անհատական է և կախված է ձեր կարիքներից և նպատակներից: Դասընթացի ընթացքում ես կփորձեմ ցույց տալ անվտանգության պրոֆիլների տարբերությունները Flow և Proxy ռեժիմներում: Սա կօգնի ձեզ համեմատել ֆունկցիոնալությունը և որոշել, թե որն է լավագույնը ձեզ համար:
Եկեք անմիջապես անցնենք անվտանգության պրոֆիլներին և նախ նայենք Web Filtering-ին: Այն օգնում է վերահսկել կամ հետևել, թե որ կայքերն են այցելում օգտվողները: Կարծում եմ՝ կարիք չկա խորանալու ներկա իրողություններում նման պրոֆիլի անհրաժեշտությունը բացատրելու մեջ։ Եկեք ավելի լավ հասկանանք, թե ինչպես է այն աշխատում:
Երբ TCP կապը հաստատվի, օգտվողը օգտագործում է GET հարցումը կոնկրետ կայքի բովանդակությունը պահանջելու համար:
Եթե վեբ սերվերը դրական է արձագանքում, այն ետ է ուղարկում վեբ կայքի մասին տեղեկատվությունը: Այստեղ է, որ վեբ ֆիլտրը հայտնվում է խաղի մեջ: Այն ստուգում է այս պատասխանի բովանդակությունը: Ստուգման ընթացքում FortiGate-ը իրական ժամանակում հարցում է ուղարկում FortiGuard Distribution Network (FDN)՝ տվյալ կայքի կատեգորիան որոշելու համար: Որոշակի կայքի կատեգորիան որոշելուց հետո վեբ ֆիլտրը, կախված կարգավորումներից, կատարում է կոնկրետ գործողություն։
Հոսքի ռեժիմում հասանելի է երեք գործողություն.
- Թույլատրել - թույլ տալ մուտք գործել կայք
- Արգելափակել - արգելափակել մուտքը կայք
- Մոնիտոր - թույլ է տալիս մուտք գործել կայք և գրանցել այն տեղեկամատյաններում
Proxy ռեժիմում ավելացվում է ևս երկու գործողություն.
- Զգուշացում - նախազգուշացրեք օգտատիրոջը, որ նա փորձում է այցելել որոշակի ռեսուրս և օգտատիրոջը տալ ընտրություն՝ շարունակել կամ լքել կայքը։
- Նույնականացում - օգտատիրոջ հավատարմագրերի խնդրանք - սա թույլ է տալիս որոշակի խմբերի մուտք գործել կայքերի սահմանափակ կատեգորիաներ:
Կայքը Դուք կարող եք դիտել վեբ ֆիլտրի բոլոր կատեգորիաները և ենթակատեգորիաները, ինչպես նաև պարզել, թե որ կատեգորիային է պատկանում տվյալ կայքը: Եվ ընդհանրապես, սա բավականին օգտակար կայք է Fortinet լուծումներից օգտվողների համար, խորհուրդ եմ տալիս ազատ ժամանակ ավելի լավ ծանոթանալ դրան։
Շատ քիչ բան կարելի է ասել Application Control-ի մասին: Ինչպես անունն է հուշում, այն թույլ է տալիս վերահսկել հավելվածների աշխատանքը։ Եվ նա դա անում է՝ օգտագործելով տարբեր հավելվածների նախշեր, այսպես կոչված՝ ստորագրություններ։ Օգտագործելով այս ստորագրությունները, նա կարող է նույնականացնել կոնկրետ դիմումը և դրա վրա կիրառել հատուկ գործողություն.
- Թույլ տալ - թույլ տալ
- Մոնիտոր - թույլ տվեք և գրանցեք սա
- Արգելափակել - արգելել
- Կարանտին - գրանցեք իրադարձություն տեղեկամատյաններում և արգելափակեք IP հասցեն որոշակի ժամանակով
Կայքում կարող եք դիտել նաև առկա ստորագրությունները .
Հիմա եկեք նայենք HTTPS ստուգման մեխանիզմին: 2018 թվականի վերջին վիճակագրության համաձայն՝ HTTPS տրաֆիկի մասնաբաժինը գերազանցել է 70%-ը։ Այսինքն՝ առանց HTTPS ստուգման օգտագործման՝ մենք կկարողանանք վերլուծել ցանցով անցնող տրաֆիկի միայն մոտ 30%-ը։ Նախ, եկեք նայենք, թե ինչպես է աշխատում HTTPS-ը մոտավոր մոտավոր հաշվարկով:
Հաճախորդը սկսում է TLS հարցում վեբ սերվերին և ստանում TLS պատասխան, ինչպես նաև տեսնում է թվային վկայական, որը պետք է վստահել այս օգտվողին: Սա այն նվազագույնն է, որը մենք պետք է իմանանք, թե ինչպես է աշխատում HTTPS-ը: Իրականում, դրա աշխատանքի ձևը շատ ավելի բարդ է: Հաջող TLS ձեռքսեղմումից հետո սկսվում է տվյալների կոդավորված փոխանցումը: Եվ սա լավ է: Ոչ ոք չի կարող մուտք գործել այն տվյալները, որոնք դուք փոխանակում եք վեբ սերվերի հետ:
Այնուամենայնիվ, ընկերության անվտանգության աշխատակիցների համար սա իսկական գլխացավանք է, քանի որ նրանք չեն կարող տեսնել այս տրաֆիկը և ստուգել դրա բովանդակությունը ոչ հակավիրուսով, ոչ ներխուժման կանխարգելման համակարգով, ոչ DLP համակարգերով կամ որևէ այլ բանով: Սա նաև բացասաբար է անդրադառնում ցանցում օգտագործվող հավելվածների և վեբ ռեսուրսների սահմանման որակի վրա՝ հենց այն, ինչ վերաբերում է մեր դասի թեմային: HTTPS ստուգման տեխնոլոգիան նախատեսված է այս խնդիրը լուծելու համար: Դրա էությունը շատ պարզ է. իրականում սարքը, որն իրականացնում է HTTPS ստուգում, կազմակերպում է Man In The Middle հարձակումը: Այն կարծես այսպիսին է. FortiGate-ն ընդհատում է օգտատիրոջ խնդրանքը, կազմակերպում է HTTPS կապ դրա հետ, այնուհետև բացում է HTTPS նիստ այն ռեսուրսով, որին օգտատերը մուտք է գործել: Այս դեպքում FortiGate-ի կողմից տրված վկայականը տեսանելի կլինի օգտատիրոջ համակարգչում: Այն պետք է վստահել, որպեսզի դիտարկիչը թույլ տա կապը:
Իրականում, HTTPS-ի ստուգումը բավականին բարդ բան է և ունի բազմաթիվ սահմանափակումներ, բայց մենք դա չենք քննարկի այս դասընթացում: Ես պարզապես կավելացնեմ, որ HTTPS ստուգման իրականացումը րոպեների հարց չէ, այն սովորաբար տևում է մոտ մեկ ամիս: Անհրաժեշտ է տեղեկատվություն հավաքել անհրաժեշտ բացառությունների մասին, կատարել համապատասխան կարգավորումներ, հավաքել օգտատերերի արձագանքները և կարգավորել կարգավորումները։
Տրված տեսությունը, ինչպես նաև գործնական մասը ներկայացված են այս տեսադասում.
Հաջորդ դասում մենք կանդրադառնանք անվտանգության այլ պրոֆիլներին՝ հակավիրուսային և ներխուժման կանխարգելման համակարգին: Այն բաց չթողնելու համար հետևեք թարմացումներին հետևյալ ալիքներով.
Source: www.habr.com