Sveiciens! Laipni lÅ«dzam kursa sestajÄ nodarbÄ«bÄ
Lai sÄktu darbu ar droŔības profiliem, mums ir jÄsaprot vÄl viena lieta: pÄrbaudes režīmi.
NoklusÄjums ir plÅ«smas režīms. TÄ pÄrbauda failus, kad tie tiek cauri FortiGate bez buferizÄcijas. Kad pakete tiek saÅemta, tÄ tiek apstrÄdÄta un pÄrsÅ«tÄ«ta, negaidot, lÄ«dz tiks saÅemts viss fails vai tÄ«mekļa lapa. Tas prasa mazÄk resursu un nodroÅ”ina labÄku veiktspÄju nekÄ starpniekservera režīms, taÄu tajÄ paÅ”Ä laikÄ tajÄ nav pieejama visa droŔības funkcionalitÄte. PiemÄram, datu noplÅ«des novÄrÅ”anu (DLP) var izmantot tikai starpniekservera režīmÄ.
Starpniekservera režīms darbojas atŔķirÄ«gi. Tas izveido divus TCP savienojumus, vienu starp klientu un FortiGate, otru starp FortiGate un serveri. Tas ļauj tai buferizÄt trafiku, t.i., saÅemt pilnu failu vai tÄ«mekļa lapu. Failu skenÄÅ”ana dažÄdu apdraudÄjumu noteikÅ”anai sÄkas tikai pÄc tam, kad viss fails ir buferizÄts. Tas ļauj izmantot papildu funkcijas, kas nav pieejamas plÅ«smas režīmÄ. KÄ redzat, Å”is režīms, Ŕķiet, ir pretÄjs Flow Based režīmam ā droŔībai Å”eit ir liela nozÄ«me, un veiktspÄja ir otrajÄ plÄnÄ.
CilvÄki bieži jautÄ: kurÅ” režīms ir labÄks? Bet vispÄrÄjas receptes Å”eit nav. Viss vienmÄr ir individuÄls un atkarÄ«gs no jÅ«su vajadzÄ«bÄm un mÄrÄ·iem. VÄlÄk kursÄ mÄÄ£inÄÅ”u parÄdÄ«t atŔķirÄ«bas starp droŔības profiliem Flow un Proxy režīmos. Tas palÄ«dzÄs salÄ«dzinÄt funkcionalitÄti un izlemt, kas jums ir vislabÄkais.
PÄriesim tieÅ”i uz droŔības profiliem un vispirms apskatÄ«sim Web filtrÄÅ”anu. Tas palÄ«dz pÄrraudzÄ«t vai izsekot, kuras vietnes lietotÄji apmeklÄ. Es domÄju, ka paÅ”reizÄjÄs realitÄtÄs nav jÄiedziļinÄs, skaidrojot Å”Äda profila nepiecieÅ”amÄ«bu. LabÄk sapratÄ«sim, kÄ tas darbojas.
Kad TCP savienojums ir izveidots, lietotÄjs izmanto GET pieprasÄ«jumu, lai pieprasÄ«tu konkrÄtas vietnes saturu.
Ja tÄ«mekļa serveris atbild pozitÄ«vi, tas nosÅ«ta informÄciju par vietni atpakaļ. Å eit tiek izmantots tÄ«mekļa filtrs. Tas pÄrbauda Ŕīs atbildes saturu. PÄrbaudes laikÄ FortiGate nosÅ«ta reÄllaika pieprasÄ«jumu FortiGuard izplatÄ«Å”anas tÄ«klam (FDN), lai noteiktu dotÄs vietnes kategoriju. PÄc konkrÄtas vietnes kategorijas noteikÅ”anas tÄ«mekļa filtrs atkarÄ«bÄ no iestatÄ«jumiem veic konkrÄtu darbÄ«bu.
PlÅ«smas režīmÄ ir pieejamas trÄ«s darbÄ«bas:
- Atļaut - atļaut piekļuvi vietnei
- BloÄ·Ät - bloÄ·Ät piekļuvi vietnei
- Monitor - ļauj piekļūt vietnei un ierakstÄ«t to žurnÄlos
Starpniekservera režīmÄ tiek pievienotas vÄl divas darbÄ«bas:
- BrÄ«dinÄjums - dodiet lietotÄjam brÄ«dinÄjumu, ka viÅÅ” mÄÄ£ina apmeklÄt noteiktu resursu un dodiet lietotÄjam izvÄli - turpinÄt vai atstÄt vietni
- AutentificÄt ā pieprasÄ«t lietotÄja akreditÄcijas datus ā tas ļauj noteiktÄm grupÄm piekļūt ierobežotÄm vietÅu kategorijÄm.
VietÄ
Par lietojumprogrammu vadÄ«bu var teikt ļoti maz. KÄ norÄda nosaukums, tas ļauj kontrolÄt lietojumprogrammu darbÄ«bu. Un viÅÅ” to dara, izmantojot dažÄdu lietojumprogrammu modeļus, tÄ sauktos parakstus. Izmantojot Å”os parakstus, viÅÅ” var identificÄt konkrÄtu lietojumprogrammu un veikt tai noteiktu darbÄ«bu:
- Atļaut - atļaut
- UzraudzÄ«t - atļaut un reÄ£istrÄt Å”o
- BloÄ·Ät - aizliegt
- KarantÄ«na - ierakstiet notikumu žurnÄlos un uz noteiktu laiku bloÄ·Äjiet IP adresi
VietnÄ var apskatÄ«t arÄ« esoÅ”os parakstus
Tagad apskatÄ«sim HTTPS pÄrbaudes mehÄnismu. SaskaÅÄ ar statistiku 2018. gada beigÄs HTTPS trafika daļa pÄrsniedza 70%. Tas ir, neizmantojot HTTPS pÄrbaudi, mÄs varÄsim analizÄt tikai aptuveni 30% no trafika, kas iet caur tÄ«klu. Vispirms apskatÄ«sim, kÄ HTTPS darbojas aptuveni.
Klients sÄk TLS pieprasÄ«jumu tÄ«mekļa serverim un saÅem TLS atbildi, kÄ arÄ« redz ciparsertifikÄtu, kas Å”im lietotÄjam ir jÄuztic. Tas ir minimÄlais minimums, kas mums jÄzina par HTTPS darbÄ«bu; patiesÄ«bÄ tÄ darbÄ«ba ir daudz sarežģītÄka. PÄc veiksmÄ«ga TLS rokasspiediena tiek sÄkta Å”ifrÄta datu pÄrsÅ«tÄ«Å”ana. Un tas ir labi. Neviens nevar piekļūt datiem, kurus apmainÄties ar tÄ«mekļa serveri.
TomÄr uzÅÄmuma apsardzes darbiniekiem tÄs ir nopietnas galvassÄpes, jo viÅi nevar redzÄt Å”o trafiku un pÄrbaudÄ«t tÄs saturu ne ar antivÄ«rusu, ne ielauÅ”anÄs novÄrÅ”anas sistÄmu, ne DLP sistÄmÄm, vai jebko citu. Tas arÄ« negatÄ«vi ietekmÄ tÄ«klÄ izmantoto lietojumprogrammu un tÄ«mekļa resursu definÄ«cijas kvalitÄti ā tieÅ”i to, kas attiecas uz mÅ«su nodarbÄ«bas tÄmu. HTTPS pÄrbaudes tehnoloÄ£ija ir izstrÄdÄta, lai atrisinÄtu Å”o problÄmu. TÄs bÅ«tÄ«ba ir ļoti vienkÄrÅ”a ā patiesÄ«bÄ ierÄ«ce, kas veic HTTPS pÄrbaudi, organizÄ Man In The Middle uzbrukumu. Tas izskatÄs apmÄram Å”Ädi: FortiGate pÄrtver lietotÄja pieprasÄ«jumu, organizÄ ar to HTTPS savienojumu un pÄc tam atver HTTPS sesiju ar resursu, kuram lietotÄjs piekļuva. Å ajÄ gadÄ«jumÄ FortiGate izsniegtais sertifikÄts bÅ«s redzams lietotÄja datorÄ. Tam ir jÄbÅ«t uzticamam, lai pÄrlÅ«kprogramma atļautu savienojumu.
Faktiski HTTPS pÄrbaude ir diezgan sarežģīta lieta, un tai ir daudz ierobežojumu, taÄu mÄs to Å”ajÄ kursÄ neapskatÄ«sim. Es tikai piebildÄ«Å”u, ka HTTPS pÄrbaudes ievieÅ”ana nav dažu minÅ«Å”u jautÄjums; parasti tas aizÅem apmÄram mÄnesi. Ir nepiecieÅ”ams apkopot informÄciju par nepiecieÅ”amajiem izÅÄmumiem, veikt atbilstoÅ”us iestatÄ«jumus, apkopot atsauksmes no lietotÄjiem un pielÄgot iestatÄ«jumus.
DotÄ teorija, kÄ arÄ« praktiskÄ daļa tiek prezentÄta Å”ajÄ video nodarbÄ«bÄ:
NÄkamajÄ nodarbÄ«bÄ apskatÄ«sim citus droŔības profilus: antivÄ«rusu un ielauÅ”anÄs novÄrÅ”anas sistÄmu. Lai nepalaistu garÄm, sekojiet jaunumiem Å”Ädos kanÄlos:
Avots: www.habr.com