Tislijiet! Merħba għas-sitt lezzjoni tal-kors
Biex tibda bil-profili tas-sigurtà, irridu nifhmu ħaġa oħra: modi ta 'spezzjoni.
Il-modalità default hija Flow Based. Jiċċekkja l-fajls hekk kif jgħaddu mill-FortiGate mingħajr buffering. Ladarba jasal il-pakkett, jiġi pproċessat u mibgħut, mingħajr ma tistenna li l-fajl kollu jew il-paġna web tiġi riċevuta. Hija teħtieġ inqas riżorsi u tipprovdi prestazzjoni aħjar mill-modalità Proxy, iżda fl-istess ħin, mhux il-funzjonalità tas-Sigurtà kollha hija disponibbli fiha. Per eżempju, Data Leak Prevention (DLP) tista' tintuża biss fil-modalità Proxy.
Il-modalità prokura taħdem b'mod differenti. Joħloq żewġ konnessjonijiet TCP, waħda bejn il-klijent u FortiGate, it-tieni bejn FortiGate u s-server. Dan jippermettilu li jibferixxi t-traffiku, jiġifieri jirċievi fajl sħiħ jew paġna web. L-iskannjar tal-fajls għal diversi theddid jibda biss wara li l-fajl kollu jkun ġie buffered. Dan jippermettilek tuża karatteristiċi addizzjonali li mhumiex disponibbli fil-modalità bbażata fuq il-Fluss. Kif tistgħu taraw, dan il-mod jidher li huwa l-oppost ta 'Flow Based - is-sigurtà għandha rwol ewlieni hawnhekk, u l-prestazzjoni tieħu post ta' wara.
In-nies spiss jistaqsu: liema mod huwa aħjar? Iżda m'hemm l-ebda riċetta ġenerali hawn. Kollox huwa dejjem individwali u jiddependi fuq il-bżonnijiet u l-miri tiegħek. Aktar tard fil-kors ser nipprova nuri d-differenzi bejn il-profili tas-sigurtà fil-modi Flow u Proxy. Dan jgħinek tqabbel il-funzjonalità u tiddeċiedi liema hija l-aħjar għalik.
Ejja nimxu direttament għall-profili tas-sigurtà u l-ewwel ħarsa lejn il-Filtrar tal-Web. Tgħin biex timmonitorja jew issegwi liema websajts jżuru l-utenti. Naħseb li m'hemmx għalfejn nidħlu aktar fil-fond biex nispjegaw il-ħtieġa ta' tali profil fir-realtajiet attwali. Ejja nifhmu aħjar kif taħdem.
Ladarba tiġi stabbilita konnessjoni TCP, l-utent juża talba GET biex jitlob il-kontenut ta 'websajt speċifika.
Jekk is-server tal-web jirrispondi b'mod pożittiv, jibgħat lura informazzjoni dwar il-websajt. Dan huwa fejn jidħol il-filtru tal-web. Jivverifika l-kontenut ta 'din ir-rispons.Waqt il-verifika, FortiGate jibgħat talba f'ħin reali lin-Netwerk ta' Distribuzzjoni FortiGuard (FDN) biex tiddetermina l-kategorija tal-websajt partikolari. Wara li tiddetermina l-kategorija ta 'websajt partikolari, il-filtru tal-web, skont is-settings, iwettaq azzjoni speċifika.
Hemm tliet azzjonijiet disponibbli fil-modalità Flow:
- Ħalli - jippermettu aċċess għall-websajt
- Blokk - jimblokka l-aċċess għall-websajt
- Monitor - jippermettu aċċess għall-websajt u rreġistrah fil-zkuk
Fil-modalità Proxy, żewġ azzjonijiet oħra huma miżjuda:
- Twissija - agħti twissija lill-utent li qed jipprova jżur ċertu riżors u agħti għażla lill-utent - kompli jew ħalli l-websajt
- Awtentika - Itlob kredenzjali tal-utent - dan jippermetti lil ċerti gruppi jaċċessaw kategoriji ristretti ta' websajts.
Is-sit
Ftit li xejn jista' jingħad dwar il-Kontroll tal-Applikazzjoni. Kif jissuġġerixxi l-isem, jippermettilek tikkontrolla l-operat tal-applikazzjonijiet. U jagħmel dan billi juża mudelli minn diversi applikazzjonijiet, l-hekk imsejħa firem. Billi juża dawn il-firem, huwa jista' jidentifika applikazzjoni speċifika u japplika azzjoni speċifika għaliha:
- Ħalli - jippermettu
- Monitor - jippermettu u log dan
- Blokk - jipprojbixxi
- Kwarantina - irreġistra avveniment fir-zkuk u timblokka l-indirizz IP għal ċertu żmien
Tista' wkoll tara firem eżistenti fuq il-websajt
Issa ejja nħarsu lejn il-mekkaniżmu ta 'spezzjoni HTTPS. Skont l-istatistika fl-aħħar tal-2018, is-sehem tat-traffiku HTTPS qabeż is-70%. Jiġifieri, mingħajr ma nużaw spezzjoni HTTPS, inkunu nistgħu nanalizzaw biss madwar 30% tat-traffiku li jgħaddi min-netwerk. L-ewwel, ejja nħarsu lejn kif jaħdem HTTPS f'approssimazzjoni approssimattiva.
Il-klijent jibda talba TLS lis-server tal-web u jirċievi tweġiba TLS, u jara wkoll ċertifikat diġitali li għandu jkun fdat għal dan l-utent. Dan huwa l-minimu assolut li għandna bżonn inkunu nafu dwar kif jaħdem l-HTTPS; fil-fatt, il-mod kif jaħdem huwa ħafna aktar ikkumplikat. Wara handshake TLS b'suċċess, jibda t-trasferiment tad-dejta kriptata. U dan huwa tajjeb. Ħadd ma jista' jaċċessa d-dejta li tiskambja mas-server tal-web.
Madankollu, għall-uffiċjali tas-sigurtà tal-kumpanija din hija uġigħ ta 'ras reali, peress li ma jistgħux jaraw dan it-traffiku u jiċċekkjaw il-kontenut tiegħu jew b'antivirus, jew sistema ta' prevenzjoni tal-intrużjoni, jew sistemi DLP, jew xi ħaġa. Dan jaffettwa wkoll b'mod negattiv il-kwalità tad-definizzjoni tal-applikazzjonijiet u r-riżorsi tal-web użati fin-netwerk - eżattament dak li jirrelata mas-suġġett tal-lezzjoni tagħna. It-teknoloġija ta 'spezzjoni HTTPS hija mfassla biex issolvi din il-problema. L-essenza tagħha hija sempliċi ħafna - fil-fatt, apparat li jwettaq spezzjoni HTTPS jorganizza attakk Man In The Middle. Jidher xi ħaġa bħal din: FortiGate jinterċetta t-talba tal-utent, jorganizza konnessjoni HTTPS magħha, u mbagħad jiftaħ sessjoni HTTPS bir-riżors li l-utent aċċessa. F'dan il-każ, iċ-ċertifikat maħruġ minn FortiGate se jkun viżibbli fuq il-kompjuter tal-utent. Għandu jkun fdat għall-browser biex jippermetti l-konnessjoni.
Fil-fatt, l-ispezzjoni HTTPS hija ħaġa pjuttost ikkumplikata u għandha ħafna limitazzjonijiet, iżda mhux se nikkunsidraw dan f'dan il-kors. Se nżid biss li l-implimentazzjoni tal-ispezzjoni HTTPS mhix kwistjoni ta 'minuti; normalment tieħu madwar xahar. Huwa meħtieġ li tinġabar informazzjoni dwar l-eċċezzjonijiet meħtieġa, tagħmel is-settings xierqa, tiġbor feedback mill-utenti, u aġġusta s-settings.
It-teorija mogħtija, kif ukoll il-parti prattika, huma ppreżentati f'din il-lezzjoni bil-vidjo:
Fil-lezzjoni li jmiss se nħarsu lejn profili oħra ta’ sigurtà: antivirus u sistema ta’ prevenzjoni tal-intrużjoni. Sabiex ma titlifhiex, segwi l-aġġornamenti fuq il-kanali li ġejjin:
Sors: www.habr.com