Saluti! Benvenuti alla sesta lezione del corso . su abbiamo imparato le basi per lavorare con la tecnologia NAT e abbiamo anche rilasciato il nostro utente di prova su Internet. Ora è il momento di prendersi cura della sicurezza dell'utente nei suoi spazi aperti. In questa lezione esamineremo i seguenti profili di sicurezza: filtro Web, controllo applicazioni e ispezione HTTPS.
Per iniziare con i profili di sicurezza, dobbiamo capire un’altra cosa: le modalità di ispezione.
L'impostazione predefinita è la modalità basata sul flusso. Controlla i file mentre passano attraverso FortiGate senza buffering. Una volta arrivato, il pacchetto viene elaborato e inoltrato, senza attendere la ricezione dell'intero file o pagina web. Richiede meno risorse e fornisce prestazioni migliori rispetto alla modalità Proxy, ma allo stesso tempo non tutte le funzionalità di sicurezza sono disponibili. Ad esempio, Data Leak Prevention (DLP) può essere utilizzato solo in modalità Proxy.
La modalità proxy funziona diversamente. Crea due connessioni TCP, una tra il client e FortiGate, la seconda tra FortiGate e il server. Ciò gli consente di bufferizzare il traffico, ovvero di ricevere un file o una pagina web completa. La scansione dei file per rilevare varie minacce inizia solo dopo che l'intero file è stato memorizzato nel buffer. Ciò consente di utilizzare funzionalità aggiuntive che non sono disponibili nella modalità basata sul flusso. Come puoi vedere, questa modalità sembra essere l'opposto di Flow Based: la sicurezza gioca un ruolo importante qui e le prestazioni passano in secondo piano.
Le persone spesso chiedono: quale modalità è migliore? Ma non esiste una ricetta generale qui. Tutto è sempre individuale e dipende dalle vostre esigenze e obiettivi. Più avanti nel corso cercherò di mostrare le differenze tra i profili di sicurezza nelle modalità Flow e Proxy. Questo ti aiuterà a confrontare le funzionalità e decidere quale è meglio per te.
Passiamo direttamente ai profili di sicurezza e diamo prima un'occhiata al Web Filtering. Aiuta a monitorare o tenere traccia dei siti Web visitati dagli utenti. Penso che non sia necessario approfondire la spiegazione della necessità di un tale profilo nelle realtà attuali. Capiamo meglio come funziona.
Una volta stabilita una connessione TCP, l'utente utilizza una richiesta GET per richiedere il contenuto di un sito Web specifico.
Se il server web risponde positivamente, invia indietro informazioni sul sito web. È qui che entra in gioco il filtro web. Verifica il contenuto di questa risposta.Durante la verifica, FortiGate invia una richiesta in tempo reale alla rete di distribuzione FortiGuard (FDN) per determinare la categoria del sito Web specificato. Dopo aver determinato la categoria di un particolare sito web, il filtro web, a seconda delle impostazioni, esegue un'azione specifica.
Nella modalità Flusso sono disponibili tre azioni:
- Consenti: consente l'accesso al sito Web
- Blocca: blocca l'accesso al sito web
- Monitorare: consente l'accesso al sito Web e lo registra nei log
In modalità Proxy vengono aggiunte altre due azioni:
- Avviso: avvisa l'utente che sta tentando di visitare una determinata risorsa e offre all'utente una scelta: continuare o abbandonare il sito Web
- Autentica - Richiedi credenziali utente: consente a determinati gruppi di accedere a categorie limitate di siti Web.
Il sito puoi visualizzare tutte le categorie e sottocategorie del filtro web e anche scoprire a quale categoria appartiene un determinato sito web. E in generale questo è un sito piuttosto utile per gli utenti delle soluzioni Fortinet, ti consiglio di conoscerlo meglio nel tuo tempo libero.
C'è molto poco da dire sul controllo delle applicazioni. Come suggerisce il nome, consente di controllare il funzionamento delle applicazioni. E lo fa utilizzando modelli di diverse applicazioni, le cosiddette firme. Utilizzando queste firme, può identificare un'applicazione specifica e applicarvi un'azione specifica:
- Consenti - consenti
- Monitora: consenti e registra questo
- Blocca - proibisci
- Quarantena: registra un evento nei registri e blocca l'indirizzo IP per un certo periodo
È inoltre possibile visualizzare le firme esistenti sul sito Web .
Ora diamo un'occhiata al meccanismo di ispezione HTTPS. Secondo le statistiche di fine 2018, la quota di traffico HTTPS superava il 70%. Cioè, senza utilizzare l'ispezione HTTPS, saremo in grado di analizzare solo circa il 30% del traffico che passa attraverso la rete. Per prima cosa, diamo un'occhiata a come funziona HTTPS in una approssimativa approssimazione.
Il client avvia una richiesta TLS al server Web e riceve una risposta TLS e vede anche un certificato digitale che deve essere considerato attendibile per questo utente. Questo è il minimo indispensabile che dobbiamo sapere su come funziona HTTPS; in realtà, il modo in cui funziona è molto più complicato. Dopo un handshake TLS riuscito, inizia il trasferimento dei dati crittografati. E questo è positivo. Nessuno può accedere ai dati scambiati con il server web.
Tuttavia, per gli addetti alla sicurezza aziendale questo è un vero grattacapo, poiché non possono vedere questo traffico e controllarne il contenuto né con un antivirus, né con un sistema di prevenzione delle intrusioni, né con sistemi DLP, o altro. Ciò influisce negativamente anche sulla qualità della definizione delle applicazioni e delle risorse web utilizzate all'interno della rete, esattamente ciò che riguarda l'argomento della nostra lezione. La tecnologia di ispezione HTTPS è progettata per risolvere questo problema. La sua essenza è molto semplice: infatti, un dispositivo che esegue l'ispezione HTTPS organizza un attacco Man In The Middle. Sembra qualcosa del genere: FortiGate intercetta la richiesta dell'utente, organizza una connessione HTTPS con essa e quindi apre una sessione HTTPS con la risorsa a cui l'utente ha avuto accesso. In questo caso il certificato emesso da FortiGate sarà visibile sul computer dell'utente. Deve essere attendibile affinché il browser consenta la connessione.
In effetti, l’ispezione HTTPS è una cosa piuttosto complicata e presenta molte limitazioni, ma non ne parleremo in questo corso. Aggiungerò semplicemente che l’implementazione dell’ispezione HTTPS non è questione di minuti; di solito richiede circa un mese. È necessario raccogliere informazioni sulle eccezioni necessarie, effettuare le impostazioni appropriate, raccogliere feedback dagli utenti e regolare le impostazioni.
La teoria data, così come la parte pratica, sono presentate in questa video lezione:
Nella prossima lezione vedremo altri profili di sicurezza: antivirus e sistema anti-intrusione. Per non perderlo seguite gli aggiornamenti sui seguenti canali:
Fonte: habr.com