Сәлем! Курстың алтыншы сабағына қош келдіңіздер . туралы бойынша NAT технологиясымен жұмыс істеу негіздерін меңгердік , сонымен қатар біздің сынақ пайдаланушыны Интернетке шығарды. Енді пайдаланушының ашық кеңістіктеріндегі қауіпсіздігі туралы қамқорлық жасау уақыты келді. Бұл сабақта біз келесі қауіпсіздік профильдерін қарастырамыз: Веб-сүзгілеу, қолданбаларды басқару және HTTPS тексеру.
Қауіпсіздік профильдерімен жұмыс істеуді бастау үшін біз тағы бір нәрсені түсінуіміз керек: тексеру режимдері.
Әдепкі параметр ағынға негізделген режим болып табылады. Ол файлдарды FortiGate арқылы буферлеусіз өткен кезде тексереді. Пакет келгеннен кейін ол бүкіл файлдың немесе веб-беттің қабылдануын күтпей-ақ өңделеді және қайта жіберіледі. Ол азырақ ресурстарды қажет етеді және прокси режиміне қарағанда жақсы өнімділікті қамтамасыз етеді, бірақ сонымен бірге барлық Қауіпсіздік функциялары ондағы қолжетімді емес. Мысалы, деректердің ағып кетуіне жол бермеу (DLP) тек прокси режимінде ғана пайдаланылуы мүмкін.
Прокси режимі басқаша жұмыс істейді. Ол екі TCP қосылымын жасайды, біреуі клиент пен FortiGate арасында, екіншісі FortiGate мен сервер арасында. Бұл оған трафикті буферлеуге, яғни толық файлды немесе веб-бетті алуға мүмкіндік береді. Файлдарды әртүрлі қауіптерге сканерлеу тек бүкіл файл буферленгеннен кейін басталады. Бұл ағынға негізделген режимде қол жетімді емес қосымша мүмкіндіктерді пайдалануға мүмкіндік береді. Көріп отырғаныңыздай, бұл режим Flow Based режиміне қарама-қарсы болып көрінеді - қауіпсіздік мұнда маңызды рөл атқарады және өнімділік екінші орынды алады.
Адамдар жиі сұрақ қояды: қай режим жақсы? Бірақ мұнда жалпы рецепт жоқ. Барлығы әрқашан жеке және сіздің қажеттіліктеріңіз бен мақсаттарыңызға байланысты. Кейінірек курста мен Flow және Proxy режимдеріндегі қауіпсіздік профильдерінің арасындағы айырмашылықтарды көрсетуге тырысамын. Бұл функцияларды салыстыруға және қайсысы сізге қолайлы екенін шешуге көмектеседі.
Қауіпсіздік профильдеріне тікелей көшіп, алдымен веб-сүзгілеуді қарастырайық. Бұл пайдаланушылардың қай веб-сайттарға кіретінін бақылауға немесе бақылауға көмектеседі. Қазіргі нақты жағдайда мұндай профильдің қажеттілігін тереңірек түсіндірудің қажеті жоқ деп ойлаймын. Оның қалай жұмыс істейтінін жақсырақ түсінейік.
TCP қосылымы орнатылғаннан кейін пайдаланушы белгілі бір веб-сайттың мазмұнын сұрау үшін GET сұрауын пайдаланады.
Егер веб-сервер оң жауап берсе, ол веб-сайт туралы ақпаратты кері жібереді. Бұл жерде веб-сүзгі ойнайды. Ол осы жауаптың мазмұнын тексереді.Тексеру кезінде FortiGate берілген веб-сайттың санатын анықтау үшін FortiGuard Distribution Network (FDN) қызметіне нақты уақыттағы сұрау жібереді. Белгілі бір веб-сайттың санатын анықтағаннан кейін веб-сүзгі параметрлерге байланысты белгілі бір әрекетті орындайды.
Ағын режимінде үш әрекет қолжетімді:
- Рұқсат ету - веб-сайтқа кіруге рұқсат беру
- Блоктау - веб-сайтқа кіруді блоктау
- Монитор - веб-сайтқа кіруге рұқсат беру және оны журналдарға жазу
Прокси режимінде тағы екі әрекет қосылады:
- Ескерту - пайдаланушыға белгілі бір ресурсқа кіруге тырысып жатқаны туралы ескерту және пайдаланушыға таңдау беру - веб-сайтты жалғастыру немесе одан шығу.
- Аутентификация - пайдаланушы тіркелгі деректерін сұрау - бұл белгілі бір топтарға веб-сайттардың шектеулі санаттарына кіруге мүмкіндік береді.
Сайтта сіз веб-сүзгінің барлық санаттары мен ішкі санаттарын көре аласыз, сондай-ақ белгілі бір веб-сайттың қай санатқа жататынын біле аласыз. Жалпы, бұл Fortinet шешімдерін пайдаланушылар үшін өте пайдалы сайт, мен оны бос уақытыңызда жақсырақ білуге кеңес беремін.
Қолданбаларды басқару туралы айтуға болатын нәрсе өте аз. Аты айтып тұрғандай, ол қолданбалардың жұмысын басқаруға мүмкіндік береді. Және ол мұны қолтаңбалар деп аталатын әртүрлі қолданбалардың үлгілері арқылы жасайды. Осы қолтаңбаларды пайдалана отырып, ол нақты қолданбаны анықтап, оған нақты әрекетті қолдана алады:
- Рұқсат ету - рұқсат ету
- Монитор - рұқсат ету және тіркеу
- Блоктау - тыйым салу
- Карантин - журналдарға оқиғаны жазып, белгілі бір уақытқа IP мекенжайын блоктау
Сондай-ақ веб-сайтта бар қолтаңбаларды көруге болады .
Енді HTTPS тексеру механизмін қарастырайық. 2018 жылдың соңындағы статистикаға сәйкес HTTPS трафигінің үлесі 70%-дан асты. Яғни, HTTPS тексеруін қолданбай, біз желі арқылы өтетін трафиктің шамамен 30% ғана талдай аламыз. Алдымен, HTTPS дөрекі жуықтауда қалай жұмыс істейтінін қарастырайық.
Клиент веб-серверге TLS сұрауын бастайды және TLS жауабын алады, сонымен қатар осы пайдаланушы үшін сенімді болуы керек сандық сертификатты көреді. Бұл HTTPS қалай жұмыс істейтіні туралы білуіміз керек ең аз; шын мәнінде, оның жұмыс істеу тәсілі әлдеқайда күрделі. TLS сәтті қол алысуынан кейін шифрланған деректерді тасымалдау басталады. Бұл да жақсы. Веб-сервермен алмасатын деректерге ешкім қол жеткізе алмайды.
Дегенмен, компанияның қауіпсіздік қызметкерлері үшін бұл нағыз бас ауруы, өйткені олар бұл трафикті көре алмайды және оның мазмұнын антивируспен де, шабуылдың алдын алу жүйесімен де, DLP жүйелерімен немесе кез келген нәрсемен тексере алмайды. Бұл сонымен қатар желіде қолданылатын қолданбалар мен веб-ресурстарды анықтау сапасына теріс әсер етеді - дәл біздің сабақ тақырыбына қатысты. HTTPS тексеру технологиясы осы мәселені шешуге арналған. Оның мәні өте қарапайым - шын мәнінде, HTTPS тексеруін жүзеге асыратын құрылғы Man In The Middle шабуылын ұйымдастырады. Бұл келесідей көрінеді: FortiGate пайдаланушының сұрауын тоқтатады, онымен HTTPS қосылымын ұйымдастырады, содан кейін пайдаланушы қол жеткізген ресурспен HTTPS сеансын ашады. Бұл жағдайда FortiGate берген сертификат пайдаланушының компьютерінде көрінетін болады. Қосылымға рұқсат беру үшін шолғыш сенімді болуы керек.
Шындығында, HTTPS тексеруі өте күрделі нәрсе және көптеген шектеулері бар, бірақ біз бұл курста мұны қарастырмаймыз. Мен HTTPS тексеруін жүзеге асыру бірнеше минуттық мәселе емес екенін қосамын; ол әдетте бір айға созылады. Қажетті ерекшеліктер туралы ақпаратты жинау, сәйкес параметрлерді жасау, пайдаланушылардан кері байланыс жинау және параметрлерді реттеу қажет.
Берілген теория, сонымен қатар практикалық бөлім осы бейне сабақта ұсынылған:
Келесі сабақта біз басқа қауіпсіздік профильдерін қарастырамыз: антивирус және шабуылдан қорғау жүйесі. Оны жіберіп алмау үшін келесі арналардағы жаңартуларды қадағалаңыз:
Ақпарат көзі: www.habr.com