салам! Курстун алтынчы сабагына кош келиңиздер . боюнча боюнча NAT технологиясы менен иштөөнүн негиздерин өздөштүрүп алдык , ошондой эле биздин тест колдонуучуну интернетке чыгарды. Эми анын ачык мейкиндигинде колдонуучунун коопсуздугуна кам көрүүгө убакыт келди. Бул сабакта биз төмөнкү коопсуздук профилдерин карайбыз: Веб чыпкалоо, Колдонмону башкаруу жана HTTPS текшерүү.
Коопсуздук профилдери менен баштоо үчүн биз дагы бир нерсени түшүнүшүбүз керек: текшерүү режимдери.
Демейки агымга негизделген режим. Ал файлдарды буферлөөсүз FortiGate аркылуу өтүп жатканда текшерет. Пакет келгенден кийин, ал бүт файлдын же веб-баракчанын кабыл алынышын күтпөстөн кайра иштетилет жана жөнөтүлөт. Ал азыраак ресурстарды талап кылат жана прокси режимине караганда жакшыраак иштөөнү камсыз кылат, бирок ошол эле учурда бардык Коопсуздук функциялары анда жеткиликтүү эмес. Мисалы, Маалыматтын агып кетишинин алдын алуу (DLP) прокси режиминде гана колдонулушу мүмкүн.
Прокси режими башкача иштейт. Ал эки TCP байланышын түзөт, бири кардар менен FortiGate ортосунда, экинчиси FortiGate менен сервердин ортосунда. Бул ага трафикти буферлоого, б.а. толук файлды же веб-баракты алууга мүмкүндүк берет. Ар кандай коркунучтарга файлдарды сканерлөө бардык файл буферленгенден кийин гана башталат. Бул Flow негизиндеги режимде жок кошумча функцияларды колдонууга мүмкүндүк берет. Көрүнүп тургандай, бул режим Flow Based режимине карама-каршы окшойт - бул жерде коопсуздук негизги ролду ойнойт жана аткаруу экинчи орунда турат.
Адамдар көп суроо беришет: кайсы режим жакшы? Бирок бул жерде эч кандай жалпы рецепт жок. Баары ар дайым жеке жана сиздин муктаждыктарыңызга жана максаттарыңызга жараша болот. Кийинчерээк курста мен Flow жана Proxy режимдериндеги коопсуздук профилдеринин ортосундагы айырмачылыктарды көрсөтүүгө аракет кылам. Бул функцияларды салыштырып, кайсынысы сизге ылайыктуу экенин чечүүгө жардам берет.
Түз эле коопсуздук профилдерине өтүп, адегенде Веб чыпкалоону карап көрөлү. Бул колдонуучулар кирген веб-сайттарды көзөмөлдөөгө же көзөмөлдөөгө жардам берет. Менимче, азыркы реалдуулукта мындай профилдин зарылдыгын тереңирээк түшүндүрүүнүн кереги жок. Анын кантип иштээрин жакшыраак түшүнөлү.
TCP байланышы орнотулгандан кийин, колдонуучу белгилүү бир веб-сайттын мазмунун суроо үчүн GET өтүнүчүн колдонот.
Эгерде веб-сервер оң жооп берсе, ал веб-сайт жөнүндө маалыматты кайра жөнөтөт. Бул жерде веб чыпкасы ишке кирет. Бул жооптун мазмунун текшерет.Текшерүү учурунда FortiGate берилген веб-сайттын категориясын аныктоо үчүн FortiGuard Distribution Network (FDN) реалдуу убакыт режиминде суроо-талапты жөнөтөт. Белгилүү бир веб-сайттын категориясын аныктагандан кийин, желе чыпкасы, орнотууларга жараша, белгилүү бир аракетти аткарат.
Агым режиминде үч аракет бар:
- Уруксат берүү - веб-сайтка кирүүгө уруксат берүү
- Блок - веб-сайтка кирүүгө бөгөт коюу
- Монитор - веб-сайтка кирүүгө уруксат берүү жана аны журналдарга жаздыруу
Прокси режиминде дагы эки аракет кошулат:
- Эскертүү - колдонуучуга белгилүү бир ресурска кирүүгө аракет кылып жаткандыгы жөнүндө эскертүү берүү жана колдонуучуга тандоо мүмкүнчүлүгүн берүү - веб-сайтты улантуу же чыгуу
- Аныктыгын текшерүү - Колдонуучунун эсептик дайындарын суроо - бул белгилүү топторго вебсайттардын чектелген категорияларына кирүүгө мүмкүндүк берет.
Сайтта сиз веб чыпкасынын бардык категорияларын жана субкатегорияларын көрө аласыз, ошондой эле белгилүү бир веб-сайт кайсы категорияга таандык экенин биле аласыз. Жалпысынан алганда, бул Fortinet чечимдеринин колдонуучулары үчүн абдан пайдалуу сайт, мен сизге бош убактыңызда аны менен жакшыраак таанышууну сунуштайм.
Колдонмолорду көзөмөлдөө жөнүндө айта турган нерсе абдан аз. Аты айтып тургандай, ал тиркемелердин иштешин көзөмөлдөөгө мүмкүндүк берет. Ал муну кол тамгалар деп аталган ар кандай тиркемелердеги үлгүлөрдү колдонуп жасайт. Бул колдорду колдонуу менен ал белгилүү бир арызды аныктап, ага белгилүү бир иш-аракетти колдоно алат:
- Уруксат берүү - уруксат берүү
- Монитор - буга уруксат бериңиз жана каттаңыз
- Блок - тыюу салуу
- Карантин - журналдарга окуяны жазып, белгилүү бир убакытка IP дарегин бөгөттөө
Ошондой эле веб-сайттан болгон кол тамгаларды көрө аласыз .
Эми HTTPS текшерүү механизмин карап көрөлү. 2018-жылдын аягында статистикага ылайык, HTTPS трафигинин үлүшү 70% ашты. Башкача айтканда, HTTPS текшерүүсүн колдонбостон, биз тармак аркылуу өткөн трафиктин 30%га жакынын гана талдай алабыз. Биринчиден, келгиле, HTTPS болжолдуу түрдө кантип иштээрин карап көрөлү.
Кардар веб-серверге TLS өтүнүчүн козгойт жана TLS жообун алат, ошондой эле бул колдонуучу үчүн ишенүүгө тийиш болгон санарип сертификатын көрөт. Бул HTTPS кандайча иштээри жөнүндө биз билишибиз керек болгон эң эле минимум; чындыгында, анын иштөө жолу алда канча татаал. TLS менен ийгиликтүү кол алышуудан кийин, шифрленген маалыматтарды өткөрүү башталат. Бул дагы жакшы. Веб сервер менен алмашкан маалыматтарыңызга эч ким кире албайт.
Бирок, компаниянын коопсуздук кызматкерлери үчүн бул чыныгы баш оору, анткени алар бул трафикти көрө алышпайт жана анын мазмунун антивирус, же кирүүнү алдын алуу системасы, же DLP системалары же башка нерсе менен текшере алышпайт. Бул тармакта колдонулган тиркемелерди жана веб-ресурстарды аныктоонун сапатына да терс таасирин тийгизет - бул биздин сабактын темасына дал келген нерсе. HTTPS текшерүү технологиясы бул көйгөйдү чечүү үчүн иштелип чыккан. Анын маңызы абдан жөнөкөй – чындыгында HTTPS текшерүүсүн жүргүзгөн аппарат Man In The Middle чабуулун уюштурат. Бул төмөнкүдөй көрүнөт: FortiGate колдонуучунун өтүнүчүн кармап, аны менен HTTPS байланышын уюштурат, андан кийин колдонуучу кирген ресурс менен HTTPS сеансын ачат. Бул учурда, FortiGate тарабынан берилген сертификат колдонуучунун компьютеринде көрүнөт. Бул туташуу уруксат берүү үчүн браузер үчүн ишенимдүү болушу керек.
Чынында, HTTPS текшерүү өтө татаал нерсе жана көптөгөн чектөөлөр бар, бирок биз бул курста муну эске албайбыз. Мен жөн гана кошумчалайм, HTTPS текшерүүсүн ишке ашыруу бир нече мүнөттүк маселе эмес; ал адатта бир айга жакын убакытты алат. Керектүү өзгөчөлүктөр жөнүндө маалыматты чогултуу, тиешелүү орнотууларды жасоо, колдонуучулардын пикирлерин чогултуу жана орнотууларды тууралоо керек.
Берилген теория, ошондой эле практикалык бөлүгү бул видеосабакта берилген:
Кийинки сабакта биз башка коопсуздук профилдерин карайбыз: антивирус жана интрузиянын алдын алуу системасы. Аны өткөрүп жибербөө үчүн төмөнкү каналдардагы жаңылыктарга көз салыңыз:
Source: www.habr.com