6. フォーティネット スタート ガイド v6.0。 Web フィルタリングとアプリケーション制御

こんにちは！ コースの XNUMX 番目のレッスンへようこそ フォーティネット入門。 上の 最後の授業 私たちは NAT テクノロジーを使用する基本をマスターしました。 フォーティゲート、またテスト ユーザーをインターネット上に解放しました。 今度は、オープンスペースでのユーザーの安全に気を配る必要があります。 このレッスンでは、Web フィルタリング、アプリケーション コントロール、および HTTPS インスペクションのセキュリティ プロファイルを見ていきます。

セキュリティ プロファイルを始めるには、もう XNUMX つ、検査モードについて理解する必要があります。

デフォルトはフローベースモードです。 ファイルがバッファリングせずに FortiGate を通過するときにファイルをチェックします。 パケットが到着すると、ファイル全体または Web ページ全体の受信を待つことなく、処理されて転送されます。 プロキシ モードよりも必要なリソースが少なく、パフォーマンスが向上しますが、同時にすべてのセキュリティ機能が利用できるわけではありません。 たとえば、データ漏洩防止 (DLP) はプロキシ モードでのみ使用できます。
プロキシ モードの動作は異なります。 これにより、XNUMX つの TCP 接続が作成されます。XNUMX つはクライアントと FortiGate の間で、もう XNUMX つは FortiGate とサーバーの間です。 これにより、トラフィックをバッファリングできます。つまり、完全なファイルまたは Web ページを受信できます。 さまざまな脅威に対するファイルのスキャンは、ファイル全体がバッファリングされた後にのみ開始されます。 これにより、フロー ベース モードでは利用できない追加機能を使用できるようになります。 ご覧のとおり、このモードはフロー ベースの逆であるようです。ここではセキュリティが重要な役割を果たし、パフォーマンスは二の次にされます。
どのモードが優れているの?とよく尋ねられます。 しかし、ここには一般的なレシピはありません。 すべては常に個別であり、あなたのニーズと目標によって異なります。 コースの後半では、フロー モードとプロキシ モードのセキュリティ プロファイルの違いを示していきます。 これは、機能を比較し、どれが最適かを判断するのに役立ちます。

セキュリティ プロファイルに直接移り、最初に Web フィルタリングを見てみましょう。 ユーザーがどの Web サイトにアクセスしたかを監視または追跡するのに役立ちます。 現在の現実におけるそのようなプロファイルの必要性については、これ以上深く説明する必要はないと思います。 それがどのように機能するかをよりよく理解しましょう。

TCP 接続が確立されると、ユーザーは GET リクエストを使用して特定の Web サイトのコンテンツをリクエストします。

Web サーバーが肯定的に応答すると、Web サイトに関する情報が返送されます。 ここで Web フィルターが活躍します。 この応答の内容を検証し、検証中に、FortiGate はリアルタイム リクエストを FortiGuard Distribution Network (FDN) に送信して、指定された Web サイトのカテゴリを決定します。 特定の Web サイトのカテゴリを決定した後、Web フィルターは設定に応じて特定のアクションを実行します。
フロー モードでは XNUMX つのアクションが使用できます。

• 許可 - Web サイトへのアクセスを許可します
• ブロック - Web サイトへのアクセスをブロックします。
• 監視 - Web サイトへのアクセスを許可し、ログに記録します。

プロキシ モードでは、さらに XNUMX つのアクションが追加されます。

• 警告 - ユーザーが特定のリソースにアクセスしようとしていることを警告し、Web サイトから続行するか離れるかの選択をユーザーに与えます。
• 認証 - ユーザー資格情報の要求 - これにより、特定のグループが Web サイトの制限されたカテゴリにアクセスできるようになります。

サイト FortiGuardラボ Web フィルタのすべてのカテゴリとサブカテゴリを表示し、特定の Web サイトがどのカテゴリに属しているかを確認することもできます。 一般に、これはフォーティネット ソリューションのユーザーにとって非常に便利なサイトです。暇なときによく知っておくことをお勧めします。

Application Control について言えることはほとんどありません。 名前が示すように、アプリケーションの動作を制御できます。 そして彼は、さまざまなアプリケーションのパターン、いわゆる署名を使用してこれを実行します。 これらの署名を使用して、特定のアプリケーションを識別し、それに特定のアクションを適用できます。

• 許可 - 許可
• 監視 - これを許可して記録します
• ブロック - 禁止
• 隔離 - イベントをログに記録し、一定期間 IP アドレスをブロックします。

ウェブサイト上で既存の署名を表示することもできます FortiGuardラボ.

次に、HTTPS 検査メカニズムを見てみましょう。 2018年末の統計によると、HTTPSトラフィックの割合は70%を超えました。 つまり、HTTPS 検査を使用しない場合、ネットワークを通過するトラフィックの約 30% しか分析できません。 まず、HTTPS がどのように動作するかを大まかに見てみましょう。

クライアントは Web サーバーに対して TLS リクエストを開始し、TLS レスポンスを受信します。また、このユーザーにとって信頼される必要があるデジタル証明書も確認します。 これは HTTPS の仕組みについて知っておく必要がある最低限のことですが、実際の仕組みはさらに複雑です。 TLS ハンドシェイクが成功すると、暗号化されたデータ転送が開始されます。 そして、これは良いことです。 Web サーバーと交換するデータには誰もアクセスできません。

しかし、企業のセキュリティ担当者にとって、これは本当に頭の痛い問題です。ウイルス対策や侵入防御システム、DLP システムなどを使っても、このトラフィックを確認したり、その内容をチェックしたりすることができないからです。 これは、ネットワーク内で使用されるアプリケーションと Web リソースの定義の品質にも悪影響を及ぼします。これはまさにレッスンのトピックに関係します。 HTTPS 検査テクノロジーは、この問題を解決するために設計されました。 その本質は非常に単純です。実際、HTTPS 検査を実行するデバイスが中間者攻撃を組織します。 これは次のようになります。FortiGate はユーザーのリクエストをインターセプトし、それとの HTTPS 接続を組織し、ユーザーがアクセスしたリソースとの HTTPS セッションを開きます。 この場合、FortiGate によって発行された証明書がユーザーのコンピュータに表示されます。 ブラウザが接続を許可するには、それが信頼されている必要があります。

実際、HTTPS 検査はかなり複雑で多くの制限がありますが、このコースではこれについては考慮しません。 HTTPS 検査の実装は数分の問題ではなく、通常は約 XNUMX か月かかることを付け加えておきます。 必要な例外に関する情報を収集し、適切な設定を行い、ユーザーからのフィードバックを収集して設定を調整する必要があります。

このビデオ レッスンでは、所定の理論と実践的な部分が紹介されています。

次のレッスンでは、他のセキュリティ プロファイル、つまりウイルス対策と侵入防止システムについて見ていきます。 見逃さないように、次のチャンネルで最新情報をフォローしてください。

• Youtube
• Facebookのグループ
• Yandex Zen
• 当サイト
• Телеграмканал

出所： habr.com