Sveiciens! Laipni lūdzam kursa sestajā nodarbībā . Par esam apguvuši pamatus darbam ar NAT tehnoloģiju uz , kā arī izlaida mūsu testa lietotāju internetā. Tagad ir pienācis laiks parūpēties par lietotāja drošību viņa atklātajās telpās. Šajā nodarbībā mēs apskatīsim šādus drošības profilus: tīmekļa filtrēšana, lietojumprogrammu vadība un HTTPS pārbaude.
Lai sāktu darbu ar drošības profiliem, mums ir jāsaprot vēl viena lieta: pārbaudes režīmi.
Noklusējums ir plūsmas režīms. Tā pārbauda failus, kad tie tiek cauri FortiGate bez buferizācijas. Kad pakete tiek saņemta, tā tiek apstrādāta un pārsūtīta, negaidot, līdz tiks saņemts viss fails vai tīmekļa lapa. Tas prasa mazāk resursu un nodrošina labāku veiktspēju nekā starpniekservera režīms, taču tajā pašā laikā tajā nav pieejama visa drošības funkcionalitāte. Piemēram, datu noplūdes novēršanu (DLP) var izmantot tikai starpniekservera režīmā.
Starpniekservera režīms darbojas atšķirīgi. Tas izveido divus TCP savienojumus, vienu starp klientu un FortiGate, otru starp FortiGate un serveri. Tas ļauj tai buferizēt trafiku, t.i., saņemt pilnu failu vai tīmekļa lapu. Failu skenēšana dažādu apdraudējumu noteikšanai sākas tikai pēc tam, kad viss fails ir buferizēts. Tas ļauj izmantot papildu funkcijas, kas nav pieejamas plūsmas režīmā. Kā redzat, šis režīms, šķiet, ir pretējs Flow Based režīmam — drošībai šeit ir liela nozīme, un veiktspēja ir otrajā plānā.
Cilvēki bieži jautā: kurš režīms ir labāks? Bet vispārējas receptes šeit nav. Viss vienmēr ir individuāls un atkarīgs no jūsu vajadzībām un mērķiem. Vēlāk kursā mēģināšu parādīt atšķirības starp drošības profiliem Flow un Proxy režīmos. Tas palīdzēs salīdzināt funkcionalitāti un izlemt, kas jums ir vislabākais.
Pāriesim tieši uz drošības profiliem un vispirms apskatīsim Web filtrēšanu. Tas palīdz pārraudzīt vai izsekot, kuras vietnes lietotāji apmeklē. Es domāju, ka pašreizējās realitātēs nav jāiedziļinās, skaidrojot šāda profila nepieciešamību. Labāk sapratīsim, kā tas darbojas.
Kad TCP savienojums ir izveidots, lietotājs izmanto GET pieprasījumu, lai pieprasītu konkrētas vietnes saturu.
Ja tīmekļa serveris atbild pozitīvi, tas nosūta informāciju par vietni atpakaļ. Šeit tiek izmantots tīmekļa filtrs. Tas pārbauda šīs atbildes saturu. Pārbaudes laikā FortiGate nosūta reāllaika pieprasījumu FortiGuard izplatīšanas tīklam (FDN), lai noteiktu dotās vietnes kategoriju. Pēc konkrētas vietnes kategorijas noteikšanas tīmekļa filtrs atkarībā no iestatījumiem veic konkrētu darbību.
Plūsmas režīmā ir pieejamas trīs darbības:
- Atļaut - atļaut piekļuvi vietnei
- Bloķēt - bloķēt piekļuvi vietnei
- Monitor - ļauj piekļūt vietnei un ierakstīt to žurnālos
Starpniekservera režīmā tiek pievienotas vēl divas darbības:
- Brīdinājums - dodiet lietotājam brīdinājumu, ka viņš mēģina apmeklēt noteiktu resursu un dodiet lietotājam izvēli - turpināt vai atstāt vietni
- Autentificēt — pieprasīt lietotāja akreditācijas datus — tas ļauj noteiktām grupām piekļūt ierobežotām vietņu kategorijām.
Vietā varat apskatīt visas tīmekļa filtra kategorijas un apakškategorijas, kā arī uzzināt, kurai kategorijai pieder konkrētā vietne. Un vispār šī ir diezgan noderīga vietne Fortinet risinājumu lietotājiem, iesaku ar to brīvajā laikā iepazīties tuvāk.
Par lietojumprogrammu vadību var teikt ļoti maz. Kā norāda nosaukums, tas ļauj kontrolēt lietojumprogrammu darbību. Un viņš to dara, izmantojot dažādu lietojumprogrammu modeļus, tā sauktos parakstus. Izmantojot šos parakstus, viņš var identificēt konkrētu lietojumprogrammu un veikt tai noteiktu darbību:
- Atļaut - atļaut
- Uzraudzīt - atļaut un reģistrēt šo
- Bloķēt - aizliegt
- Karantīna - ierakstiet notikumu žurnālos un uz noteiktu laiku bloķējiet IP adresi
Vietnē var apskatīt arī esošos parakstus .
Tagad apskatīsim HTTPS pārbaudes mehānismu. Saskaņā ar statistiku 2018. gada beigās HTTPS trafika daļa pārsniedza 70%. Tas ir, neizmantojot HTTPS pārbaudi, mēs varēsim analizēt tikai aptuveni 30% no trafika, kas iet caur tīklu. Vispirms apskatīsim, kā HTTPS darbojas aptuveni.
Klients sāk TLS pieprasījumu tīmekļa serverim un saņem TLS atbildi, kā arī redz ciparsertifikātu, kas šim lietotājam ir jāuztic. Tas ir minimālais minimums, kas mums jāzina par HTTPS darbību; patiesībā tā darbība ir daudz sarežģītāka. Pēc veiksmīga TLS rokasspiediena tiek sākta šifrēta datu pārsūtīšana. Un tas ir labi. Neviens nevar piekļūt datiem, kurus apmaināties ar tīmekļa serveri.
Tomēr uzņēmuma apsardzes darbiniekiem tās ir nopietnas galvassāpes, jo viņi nevar redzēt šo trafiku un pārbaudīt tās saturu ne ar antivīrusu, ne ielaušanās novēršanas sistēmu, ne DLP sistēmām, vai jebko citu. Tas arī negatīvi ietekmē tīklā izmantoto lietojumprogrammu un tīmekļa resursu definīcijas kvalitāti — tieši to, kas attiecas uz mūsu nodarbības tēmu. HTTPS pārbaudes tehnoloģija ir izstrādāta, lai atrisinātu šo problēmu. Tās būtība ir ļoti vienkārša – patiesībā ierīce, kas veic HTTPS pārbaudi, organizē Man In The Middle uzbrukumu. Tas izskatās apmēram šādi: FortiGate pārtver lietotāja pieprasījumu, organizē ar to HTTPS savienojumu un pēc tam atver HTTPS sesiju ar resursu, kuram lietotājs piekļuva. Šajā gadījumā FortiGate izsniegtais sertifikāts būs redzams lietotāja datorā. Tam ir jābūt uzticamam, lai pārlūkprogramma atļautu savienojumu.
Faktiski HTTPS pārbaude ir diezgan sarežģīta lieta, un tai ir daudz ierobežojumu, taču mēs to šajā kursā neapskatīsim. Es tikai piebildīšu, ka HTTPS pārbaudes ieviešana nav dažu minūšu jautājums; parasti tas aizņem apmēram mēnesi. Ir nepieciešams apkopot informāciju par nepieciešamajiem izņēmumiem, veikt atbilstošus iestatījumus, apkopot atsauksmes no lietotājiem un pielāgot iestatījumus.
Dotā teorija, kā arī praktiskā daļa tiek prezentēta šajā video nodarbībā:
Nākamajā nodarbībā apskatīsim citus drošības profilus: antivīrusu un ielaušanās novēršanas sistēmu. Lai nepalaistu garām, sekojiet jaunumiem šādos kanālos:
Avots: www.habr.com