Sveikinimai! Sveiki atvykę į šeštąją kurso pamoką . Apie įvaldėme darbo su NAT technologija pagrindus , taip pat išleido mūsų bandomąjį vartotoją į internetą. Dabar pats laikas pasirūpinti naudotojo saugumu jo atvirose erdvėse. Šioje pamokoje apžvelgsime šiuos saugos profilius: žiniatinklio filtravimą, programų valdymą ir HTTPS patikrinimą.
Norėdami pradėti naudoti saugos profilius, turime suprasti dar vieną dalyką: tikrinimo režimus.
Numatytasis yra srautu pagrįstas režimas. Jis tikrina failus, kai jie praeina per FortiGate be buferio. Kai paketas gaunamas, jis apdorojamas ir persiunčiamas, nelaukiant, kol bus gautas visas failas arba tinklalapis. Jis reikalauja mažiau išteklių ir užtikrina geresnį našumą nei tarpinio serverio režimas, tačiau tuo pačiu metu jame nėra visos saugos funkcijos. Pavyzdžiui, duomenų nutekėjimo prevenciją (DLP) galima naudoti tik tarpinio serverio režimu.
Tarpinio serverio režimas veikia kitaip. Jis sukuria du TCP ryšius, vieną tarp kliento ir FortiGate, antrą tarp FortiGate ir serverio. Tai leidžia buferizuoti srautą, t. y. gauti visą failą arba tinklalapį. Failų nuskaitymas dėl įvairių grėsmių pradedamas tik tada, kai visas failas yra buferinis. Tai leidžia naudoti papildomas funkcijas, kurių nėra srauto režimu. Kaip matote, atrodo, kad šis režimas yra priešingas „Flow Based“ režimui – saugumas čia vaidina pagrindinį vaidmenį, o našumas nukeliauja į antrą planą.
Žmonės dažnai klausia: kuris režimas geresnis? Tačiau čia nėra bendro recepto. Viskas visada yra individualu ir priklauso nuo jūsų poreikių ir tikslų. Vėliau kurso metu pabandysiu parodyti saugumo profilių skirtumus Flow ir Proxy režimuose. Tai padės palyginti funkcionalumą ir nuspręsti, kuris jums tinkamiausias.
Pereikime tiesiai prie saugos profilių ir pirmiausia pažvelkime į žiniatinklio filtravimą. Tai padeda stebėti ar sekti, kuriose svetainėse lankosi vartotojai. Manau, kad nereikia gilintis į tokio profilio būtinybę dabartinėje realybėje. Geriau supraskime, kaip tai veikia.
Užmezgęs TCP ryšį, vartotojas naudoja GET užklausą konkrečios svetainės turinio užklausai.
Jei žiniatinklio serveris atsako teigiamai, jis siunčia informaciją apie svetainę atgal. Čia pradeda veikti žiniatinklio filtras. Jis patikrina šio atsakymo turinį. Tikrinimo metu „FortiGate“ siunčia realiu laiku užklausą „FortiGuard“ paskirstymo tinklui (FDN), kad nustatytų nurodytos svetainės kategoriją. Nustačius konkrečios svetainės kategoriją, žiniatinklio filtras, priklausomai nuo nustatymų, atlieka konkretų veiksmą.
Srauto režimu galimi trys veiksmai:
- Leisti – leisti pasiekti svetainę
- Blokuoti – blokuoti prieigą prie svetainės
- Stebėti – leisti pasiekti svetainę ir įrašyti ją į žurnalus
Tarpinio serverio režimu pridedami dar du veiksmai:
- Įspėjimas – perspėkite vartotoją, kad jis bando apsilankyti tam tikrame šaltinyje ir suteikite vartotojui pasirinkimą – tęsti arba išeiti iš svetainės
- Autentifikuoti – prašyti vartotojo kredencialų – tai leidžia tam tikroms grupėms pasiekti apribotų kategorijų svetaines.
Svetainės galite peržiūrėti visas žiniatinklio filtro kategorijas ir subkategorijas, taip pat sužinoti, kuriai kategorijai priklauso konkreti svetainė. Ir apskritai tai gana naudinga svetainė Fortinet sprendimų vartotojams, patariu su ja susipažinti geriau laisvalaikiu.
Labai mažai ką galima pasakyti apie programų valdymą. Kaip rodo pavadinimas, jis leidžia valdyti programų veikimą. Ir jis tai daro naudodamas įvairių programų šablonus, vadinamuosius parašus. Naudodamas šiuos parašus, jis gali nustatyti konkrečią programą ir jai atlikti konkretų veiksmą:
- Leisti – leisti
- Stebėti – leisti ir užregistruoti
- Blokuoti – uždrausti
- Karantinas – įrašykite įvykį žurnaluose ir tam tikram laikui blokuokite IP adresą
Taip pat svetainėje galite peržiūrėti esamus parašus .
Dabar pažvelkime į HTTPS tikrinimo mechanizmą. Pagal statistiką 2018 metų pabaigoje HTTPS srauto dalis viršijo 70 proc. Tai yra, nenaudodami HTTPS tikrinimo, galėsime išanalizuoti tik apie 30% per tinklą einančio srauto. Pirmiausia apytiksliai pažiūrėkime, kaip veikia HTTPS.
Klientas inicijuoja TLS užklausą žiniatinklio serveriui ir gauna TLS atsakymą, taip pat mato skaitmeninį sertifikatą, kuris turi būti patikimas šiam vartotojui. Tai yra minimumas, kurį turime žinoti apie tai, kaip veikia HTTPS; iš tikrųjų jo veikimo būdas yra daug sudėtingesnis. Po sėkmingo TLS rankos paspaudimo prasideda šifruotų duomenų perdavimas. Ir tai yra gerai. Niekas negali pasiekti duomenų, kuriais keičiatės su žiniatinklio serveriu.
Tačiau įmonės apsaugos pareigūnams tai yra tikras galvos skausmas, nes jie negali matyti šio srauto ir patikrinti jo turinio nei antivirusine, nei įsibrovimo prevencijos sistema, nei DLP sistemomis, nei bet kuo. Tai taip pat neigiamai veikia tinkle naudojamų programų ir žiniatinklio išteklių apibrėžimo kokybę – būtent tai, kas susiję su mūsų pamokos tema. HTTPS tikrinimo technologija sukurta šiai problemai išspręsti. Jo esmė labai paprasta – iš tikrųjų HTTPS patikrą atliekantis įrenginys organizuoja Man In The Middle ataką. Tai atrodo maždaug taip: „FortiGate“ perima vartotojo užklausą, surengia HTTPS ryšį ir atidaro HTTPS seansą su ištekliu, kurį vartotojas pasiekė. Tokiu atveju FortiGate išduotas sertifikatas bus matomas vartotojo kompiuteryje. Jis turi būti patikimas, kad naršyklė leistų prisijungti.
Tiesą sakant, HTTPS tikrinimas yra gana sudėtingas dalykas ir turi daug apribojimų, tačiau šiame kurse to nenagrinėsime. Tik pridursiu, kad HTTPS tikrinimo įgyvendinimas nėra kelių minučių klausimas; paprastai tai trunka apie mėnesį. Būtina rinkti informaciją apie būtinas išimtis, atlikti atitinkamus nustatymus, rinkti vartotojų atsiliepimus, koreguoti nustatymus.
Pateikta teorija, kaip ir praktinė dalis, pristatoma šioje video pamokoje:
Kitoje pamokoje apžvelgsime kitus saugos profilius: antivirusinę ir įsibrovimų prevencijos sistemą. Kad nepraleistumėte, sekite naujienas šiuose kanaluose:
Šaltinis: www.habr.com