Сәлем! Курстың алтыншы сабағына қош келдіңіздер. . туралы Біз NAT технологиясымен жұмыс істеу негіздерін меңгердік , және біздің сынақ пайдаланушыны интернетке шығарды. Енді интернетті шолу кезінде пайдаланушының қауіпсіздігін қамтамасыз ету уақыты келді. Бұл сабақта біз келесі қауіпсіздік профильдерін қарастырамыз: Веб-сүзгілеу, қолданбаларды басқару және HTTPS тексеру.
Қауіпсіздік профильдерін зерттеуді бастамас бұрын, біз тағы бір нәрсені түсінуіміз керек: тексеру режимдері.
Ағынға негізделген режим әдепкі бойынша пайдаланылады. Ол файлдарды FortiGate арқылы буферлеусіз өткен кезде сканерлейді. Пакет келген бойда ол бүкіл файлдың немесе веб-беттің келуін күтпей-ақ өңделеді және жіберіледі. Ол азырақ ресурстарды қажет етеді және прокси режиміне қарағанда жақсы өнімділікті қамтамасыз етеді, бірақ барлық қауіпсіздік мүмкіндіктері қолжетімді емес. Мысалы, деректердің ағып кетуін болдырмау (DLP) жүйесін тек прокси режимінде пайдалануға болады.
Прокси режимі басқаша жұмыс істейді. Ол екі TCP қосылымын жасайды: біреуі клиент пен FortiGate арасында, екіншісі FortiGate мен сервер арасында. Бұл оған трафикті буферлеуге мүмкіндік береді, яғни ол бүкіл файлды немесе веб-бетті қабылдайды. Файлдарды әртүрлі қауіптерге сканерлеу тек бүкіл файл буферленгеннен кейін басталады. Бұл ағынға негізделген режимде қолжетімді емес қосымша мүмкіндіктерге мүмкіндік береді. Көріп отырғаныңыздай, бұл режим Flow-негізделген режиміне қарама-қарсы болып табылады — қауіпсіздік негізгі рөл атқарады, өнімділік қосымша болады.
Адамдар жиі «қай режим жақсы?» Деп сұрайды. Бірақ барлығына бірдей жауап жоқ. Бұл әрқашан жеке және сіздің қажеттіліктеріңіз бен мақсаттарыңызға байланысты. Кейінірек курста мен Flow және Proxy режимдеріндегі қауіпсіздік профильдерінің арасындағы айырмашылықтарды түсіндіруге тырысамын. Бұл мүмкіндіктерді салыстыруға және қайсысы сізге қолайлы екенін шешуге көмектеседі.
Қауіпсіздік профильдеріне өтіп, алдымен веб-сүзгілеуді қарастырайық. Ол пайдаланушылардың қай веб-сайттарға кіретінін бақылауға немесе бақылауға көмектеседі. Менің ойымша, қазіргі әлемде мұндай профильдің қажеттілігі туралы егжей-тегжейлі айтудың қажеті жоқ. Оның орнына оның қалай жұмыс істейтінін қарастырайық.
TCP қосылымы орнатылғаннан кейін пайдаланушы GET сұрауы арқылы белгілі бір веб-сайттың мазмұнын сұрайды.
Егер веб-сервер оң жауап берсе, ол жауап ретінде веб-сайт туралы ақпаратты жібереді. Бұл жерде веб-сүзгі кіреді. Ол осы жауаптың мазмұнын зерттейді. Тексеру кезінде FortiGate веб-сайттың санатын анықтау үшін FortiGuard Distribution Network (FDN) нақты уақыт режимінде сұрау жібереді. Белгілі бір веб-сайттың санатын анықтағаннан кейін веб-сүзгі оның параметрлеріне байланысты белгілі бір әрекетті орындайды.
Ағын режимінде үш әрекет қолжетімді:
- Рұқсат ету — веб-сайтқа кіруге рұқсат беру
- Блоктау — веб-сайтқа кіруді блоктау
- Монитор — Веб-сайтқа кіруге және оған кіруге рұқсат беріңіз.
Прокси режимінде тағы екі әрекет қосылады:
- Ескерту — пайдаланушыға белгілі бір ресурсқа кіруге әрекеттеніп жатқаны туралы ескертіңіз және пайдаланушыға веб-сайтты жалғастыру немесе одан шығу мүмкіндігін береді.
- Аутентификация - пайдаланушы тіркелгі деректерін сұрау - бұл белгілі бір топтарға веб-сайттардың шектеулі санаттарына кіруге рұқсат беруге мүмкіндік береді.
Сайтта Сіз барлық веб-сүзгі санаттары мен ішкі санаттарын көре аласыз, сондай-ақ белгілі бір веб-сайттың қай санатқа жататынын біле аласыз. Жалпы, бұл Fortinet пайдаланушылары үшін өте пайдалы сайт; Мен оны бос уақытыңызда зерттеуді ұсынамын.
Қолданбаларды басқару туралы айту өте аз. Аты айтып тұрғандай, ол қолданбаның жұмысын бақылауға мүмкіндік береді. Ол мұны қолтаңбалар деп аталатын әртүрлі қолданбалардағы үлгілер арқылы жасайды. Осы қолтаңбаларды пайдалана отырып, ол нақты қолданбаны анықтап, оған нақты әрекетті қолдана алады:
- Рұқсат ету — рұқсат ету
- Монитор - Бұған рұқсат беріңіз және журналға енгізіңіз
- Блоктау — тыйым салу
- Карантин — оқиғаны тіркеу және белгілі бір уақыт аралығында IP мекенжайын блоктау.
Сондай-ақ веб-сайтта бар қолтаңбаларды көруге болады .
Енді HTTPS тексеру механизмін қарастырайық. 2018 жылдың соңындағы статистикаға сәйкес HTTPS трафигінің үлесі 70%-дан асты. Бұл HTTPS тексеруінсіз біз желілік трафиктің шамамен 30% ғана талдай алатынымызды білдіреді. Алдымен HTTPS қалай жұмыс істейтінін қарастырайық.
Клиент веб-серверге TLS сұрауын бастайды және пайдаланушы сенімді болуы керек сандық сертификатпен бірге TLS жауабын алады. Бұл HTTPS туралы білуіміз керек ең аз мөлшер; шын мәнінде, оның жұмысы әлдеқайда күрделі. TLS сәтті қол алысуынан кейін шифрланған деректерді жіберу басталады. Және бұл жақсы. Веб-сервермен алмасатын деректерге ешкім қол жеткізе алмайды.
Дегенмен, бұл корпоративтік қауіпсіздік мамандары үшін нағыз бас ауруы, өйткені олар бұл трафикті көре алмайды немесе оның мазмұнын антивирустық бағдарламалық құралмен, шабуылдың алдын алу жүйелерімен немесе DLP жүйелерімен тексере алмайды. Бұл сонымен қатар желіде қолданылатын қолданбалар мен веб-ресурстарды анықтауға кері әсер етеді — дәл біздің сабағымызға қатысты. HTTPS тексеру технологиясы осы мәселені шешуге арналған. Оның тұжырымдамасы өте қарапайым: HTTPS тексеруін жүзеге асыратын құрылғы «Ортадағы адам» шабуылын іске қосады. Ол шамамен келесідей жұмыс істейді: FortiGate пайдаланушының сұрауын тоқтатады, онымен HTTPS қосылымын орнатады, содан кейін пайдаланушы қатынасатын ресурспен HTTPS сеансын бастайды. FortiGate берген сертификат пайдаланушының компьютерінде көрінеді. Қосылымға рұқсат беру үшін шолғыш сенімді болуы керек.
Шындығында, HTTPS тексеруі өте күрделі және көптеген шектеулер бар, бірақ біз бұл курста оны қарастырмаймыз. Мен HTTPS тексеруін енгізу жылдам процесс емес екенін қосамын; әдетте бір айға жуық уақытты алады. Қажетті ерекшеліктер туралы ақпаратты жинау, сәйкес параметрлерді конфигурациялау, пайдаланушы пікірлерін жинау және параметрлерді реттеу қажет.
Берілген теория, сонымен қатар практикалық бөлім осы бейне сабақта ұсынылған:
Келесі сабақта біз басқа қауіпсіздік профильдерін қарастырамыз: антивирус және шабуылдың алдын алу. Жаңалықтардан хабардар болу үшін келесі арналарды бақылаңыз:
Ақпарат көзі: www.habr.com
