Salam! Selamat datang di pelajaran keenam kursus ini . Pada kami telah menguasai dasar-dasar bekerja dengan teknologi NAT , dan juga merilis pengguna uji kami ke Internet. Kini saatnya menjaga keselamatan pengguna di ruang terbukanya. Dalam pelajaran ini kita akan melihat profil keamanan berikut: Pemfilteran Web, Kontrol Aplikasi, dan inspeksi HTTPS.
Untuk memulai dengan profil keamanan, kita perlu memahami satu hal lagi: mode inspeksi.
Standarnya adalah mode Berbasis Aliran. Ia memeriksa file saat melewati FortiGate tanpa buffering. Setelah paket tiba, paket diproses dan diteruskan, tanpa menunggu seluruh file atau halaman web diterima. Ini memerlukan sumber daya yang lebih sedikit dan memberikan kinerja yang lebih baik daripada mode Proxy, namun pada saat yang sama, tidak semua fungsi Keamanan tersedia di dalamnya. Misalnya, Pencegahan Kebocoran Data (DLP) hanya dapat digunakan dalam mode Proxy.
Mode proxy bekerja secara berbeda. Ini menciptakan dua koneksi TCP, satu antara klien dan FortiGate, yang kedua antara FortiGate dan server. Hal ini memungkinkannya untuk melakukan buffer lalu lintas, yaitu menerima file atau halaman web lengkap. Pemindaian file untuk mencari berbagai ancaman dimulai hanya setelah seluruh file di-buffer. Ini memungkinkan Anda untuk menggunakan fitur tambahan yang tidak tersedia dalam mode berbasis Aliran. Seperti yang Anda lihat, mode ini tampaknya merupakan kebalikan dari Flow Based - keamanan memainkan peran utama di sini, dan kinerja menjadi prioritas utama.
Orang sering bertanya: mode mana yang lebih baik? Tapi tidak ada resep umum di sini. Semuanya selalu bersifat individual dan tergantung pada kebutuhan dan tujuan Anda. Nanti dalam kursus ini saya akan mencoba menunjukkan perbedaan antara profil keamanan dalam mode Flow dan Proxy. Ini akan membantu Anda membandingkan fungsionalitas dan memutuskan mana yang terbaik untuk Anda.
Mari beralih langsung ke profil keamanan dan pertama-tama lihat Pemfilteran Web. Ini membantu untuk memantau atau melacak situs web mana yang dikunjungi pengguna. Saya pikir tidak perlu menjelaskan lebih dalam perlunya profil seperti itu dalam realitas saat ini. Mari kita lebih memahami cara kerjanya.
Setelah koneksi TCP dibuat, pengguna menggunakan permintaan GET untuk meminta konten situs web tertentu.
Jika server web merespons secara positif, ia akan mengirimkan kembali informasi tentang situs web tersebut. Di sinilah filter web berperan. Ini memverifikasi isi tanggapan ini. Selama verifikasi, FortiGate mengirimkan permintaan real-time ke Jaringan Distribusi FortiGuard (FDN) untuk menentukan kategori situs web yang diberikan. Setelah menentukan kategori situs web tertentu, filter web, bergantung pada pengaturannya, melakukan tindakan tertentu.
Ada tiga tindakan yang tersedia dalam mode Aliran:
- Izinkan - izinkan akses ke situs web
- Blokir - memblokir akses ke situs web
- Monitor - izinkan akses ke situs web dan catat di log
Dalam mode Proxy, dua tindakan lagi ditambahkan:
- Peringatan - memberikan peringatan kepada pengguna bahwa dia mencoba mengunjungi sumber daya tertentu dan memberi pengguna pilihan - melanjutkan atau meninggalkan situs web
- Otentikasi - Meminta kredensial pengguna - ini memungkinkan kelompok tertentu mengakses kategori situs web yang dibatasi.
Situs ini Anda dapat melihat semua kategori dan subkategori filter web, dan juga mengetahui kategori mana yang dimiliki situs web tertentu. Dan secara umum, ini adalah situs yang cukup berguna bagi pengguna solusi Fortinet, saya menyarankan Anda untuk mengenalnya lebih baik di waktu luang Anda.
Sangat sedikit yang bisa dikatakan tentang Kontrol Aplikasi. Seperti namanya, ini memungkinkan Anda mengontrol pengoperasian aplikasi. Dan dia melakukan ini dengan menggunakan pola dari berbagai aplikasi, yang disebut tanda tangan. Dengan menggunakan tanda tangan ini, dia dapat mengidentifikasi aplikasi tertentu dan menerapkan tindakan tertentu padanya:
- Izinkan - izinkan
- Pantau - izinkan dan catat ini
- Blokir - larang
- Karantina - mencatat suatu peristiwa di log dan memblokir alamat IP untuk waktu tertentu
Anda juga dapat melihat tanda tangan yang ada di website .
Sekarang mari kita lihat mekanisme pemeriksaan HTTPS. Menurut statistik pada akhir tahun 2018, pangsa lalu lintas HTTPS melebihi 70%. Artinya, tanpa menggunakan inspeksi HTTPS, kami hanya dapat menganalisis sekitar 30% lalu lintas yang melewati jaringan. Pertama, mari kita lihat cara kerja HTTPS dengan perkiraan kasar.
Klien memulai permintaan TLS ke server web dan menerima respons TLS, dan juga melihat sertifikat digital yang harus dipercaya untuk pengguna ini. Ini adalah hal minimum yang perlu kita ketahui tentang cara kerja HTTPS; pada kenyataannya, cara kerjanya jauh lebih rumit. Setelah jabat tangan TLS berhasil, transfer data terenkripsi dimulai. Dan ini bagus. Tidak ada yang dapat mengakses data yang Anda tukarkan dengan server web.
Namun, bagi petugas keamanan perusahaan, hal ini benar-benar memusingkan, karena mereka tidak dapat melihat lalu lintas ini dan memeriksa isinya baik dengan antivirus, atau sistem pencegahan intrusi, atau sistem DLP, atau apa pun. Hal ini juga berdampak negatif pada kualitas definisi aplikasi dan sumber daya web yang digunakan dalam jaringan - yang berkaitan dengan topik pelajaran kita. Teknologi inspeksi HTTPS dirancang untuk mengatasi masalah ini. Esensinya sangat sederhana - pada kenyataannya, perangkat yang melakukan inspeksi HTTPS mengatur serangan Man In The Middle. Tampilannya seperti ini: FortiGate mencegat permintaan pengguna, mengatur koneksi HTTPS dengannya, dan kemudian membuka sesi HTTPS dengan sumber daya yang diakses pengguna. Dalam hal ini, sertifikat yang dikeluarkan oleh FortiGate akan terlihat di komputer pengguna. Browser harus dipercaya untuk mengizinkan koneksi.
Faktanya, inspeksi HTTPS adalah hal yang agak rumit dan memiliki banyak keterbatasan, namun kami tidak akan membahasnya dalam kursus ini. Saya hanya ingin menambahkan bahwa penerapan pemeriksaan HTTPS tidak hanya dalam hitungan menit; biasanya memerlukan waktu sekitar satu bulan. Penting untuk mengumpulkan informasi tentang pengecualian yang diperlukan, membuat pengaturan yang sesuai, mengumpulkan umpan balik dari pengguna, dan menyesuaikan pengaturan.
Teori yang diberikan, serta bagian praktisnya, disajikan dalam video pelajaran ini:
Pada pelajaran selanjutnya kita akan melihat profil keamanan lainnya: antivirus dan sistem pencegahan intrusi. Agar tidak ketinggalan, ikuti updatenya di channel berikut ini:
Sumber: www.habr.com