Groeten! Welkom bij de zesde les van de cursus . op we hebben de basisbeginselen van het werken met NAT-technologie onder de knie , en heeft ook onze testgebruiker op internet vrijgegeven. Nu is het tijd om voor de veiligheid van de gebruiker in zijn open ruimtes te zorgen. In deze les bekijken we de volgende beveiligingsprofielen: webfiltering, applicatiebeheer en HTTPS-inspectie.
Om aan de slag te gaan met beveiligingsprofielen moeten we nog één ding begrijpen: inspectiemodi.
De standaardinstelling is de Flow Based-modus. Het controleert bestanden terwijl ze door de FortiGate gaan, zonder buffering. Zodra het pakket arriveert, wordt het verwerkt en doorgestuurd, zonder te wachten tot het hele bestand of de hele webpagina is ontvangen. Het vereist minder bronnen en biedt betere prestaties dan de proxymodus, maar tegelijkertijd is niet alle beveiligingsfunctionaliteit erin beschikbaar. Datalekpreventie (DLP) kan bijvoorbeeld alleen in de proxymodus worden gebruikt.
De proxymodus werkt anders. Het creëert twee TCP-verbindingen, één tussen de client en FortiGate, de tweede tussen FortiGate en de server. Hierdoor kan het verkeer bufferen, d.w.z. een volledig bestand of webpagina ontvangen. Het scannen van bestanden op verschillende bedreigingen begint pas nadat het volledige bestand is gebufferd. Hierdoor kunt u extra functies gebruiken die niet beschikbaar zijn in de op Flow gebaseerde modus. Zoals je kunt zien lijkt deze modus het tegenovergestelde te zijn van Flow Based: beveiliging speelt hier een grote rol en prestaties staan op de achtergrond.
Mensen vragen vaak: welke modus is beter? Maar er is hier geen algemeen recept. Alles is altijd individueel en hangt af van uw behoeften en doelen. Later in de cursus zal ik proberen de verschillen tussen beveiligingsprofielen in de Flow- en Proxy-modus te laten zien. Dit zal u helpen de functionaliteit te vergelijken en te beslissen welke het beste voor u is.
Laten we direct naar de beveiligingsprofielen gaan en eerst naar Webfiltering kijken. Het helpt bij het monitoren of volgen welke websites gebruikers bezoeken. Ik denk dat het niet nodig is dieper in te gaan op de noodzaak van een dergelijk profiel in de huidige realiteit. Laten we beter begrijpen hoe het werkt.
Zodra een TCP-verbinding tot stand is gebracht, gebruikt de gebruiker een GET-verzoek om de inhoud van een specifieke website op te vragen.
Als de webserver positief reageert, stuurt hij informatie over de website terug. Dit is waar het webfilter in het spel komt. Het verifieert de inhoud van dit antwoord.Tijdens de verificatie stuurt FortiGate een realtime verzoek naar het FortiGuard Distribution Network (FDN) om de categorie van de betreffende website te bepalen. Na het bepalen van de categorie van een bepaalde website voert het webfilter, afhankelijk van de instellingen, een specifieke actie uit.
Er zijn drie acties beschikbaar in de Flow-modus:
- Toestaan - sta toegang tot de website toe
- Blokkeren - blokkeer de toegang tot de website
- Monitor - geef toegang tot de website en leg dit vast in de logbestanden
In de proxymodus zijn er nog twee acties toegevoegd:
- Waarschuwing - geef de gebruiker een waarschuwing dat hij een bepaalde bron probeert te bezoeken en geef de gebruiker de keuze - doorgaan of de website verlaten
- Authenticeren - Gebruikersreferenties opvragen - hiermee hebben bepaalde groepen toegang tot beperkte categorieën websites.
De site U kunt alle categorieën en subcategorieën van het webfilter bekijken en ook ontdekken in welke categorie een bepaalde website valt. En over het algemeen is dit een behoorlijk nuttige site voor gebruikers van Fortinet-oplossingen, ik raad je aan om deze in je vrije tijd beter te leren kennen.
Er valt heel weinig te zeggen over Applicatiebeheer. Zoals de naam al doet vermoeden, kunt u hiermee de werking van applicaties controleren. En dat doet hij met behulp van patronen uit verschillende applicaties, zogenaamde signatures. Met behulp van deze handtekeningen kan hij een specifieke toepassing identificeren en er een specifieke actie op toepassen:
- Toestaan - toestaan
- Monitor - sta dit toe en log dit
- Blokkeren - verbieden
- Quarantaine - registreer een gebeurtenis in de logboeken en blokkeer het IP-adres voor een bepaalde tijd
Op de website kunt u ook bestaande handtekeningen bekijken .
Laten we nu eens kijken naar het HTTPS-inspectiemechanisme. Volgens statistieken van eind 2018 bedroeg het aandeel HTTPS-verkeer meer dan 70%. Dat wil zeggen dat we zonder HTTPS-inspectie slechts ongeveer 30% van het verkeer dat door het netwerk gaat, kunnen analyseren. Laten we eerst eens kijken hoe HTTPS in een ruwe benadering werkt.
De client initieert een TLS-verzoek bij de webserver en ontvangt een TLS-antwoord, en ziet ook een digitaal certificaat dat voor deze gebruiker moet worden vertrouwd. Dit is het absolute minimum dat we moeten weten over hoe HTTPS werkt; in feite is de manier waarop het werkt veel ingewikkelder. Na een succesvolle TLS-handshake begint de gecodeerde gegevensoverdracht. En dit is goed. Niemand heeft toegang tot de gegevens die u uitwisselt met de webserver.
Voor bedrijfsbeveiligingsfunctionarissen is dit echter een echte hoofdpijn, omdat ze dit verkeer niet kunnen zien en de inhoud ervan niet kunnen controleren met een antivirusprogramma, een inbraakpreventiesysteem, of DLP-systemen, of wat dan ook. Dit heeft ook een negatieve invloed op de kwaliteit van de definitie van applicaties en webbronnen die binnen het netwerk worden gebruikt - precies wat betrekking heeft op ons lesonderwerp. HTTPS-inspectietechnologie is ontworpen om dit probleem op te lossen. De essentie ervan is heel eenvoudig: een apparaat dat HTTPS-inspectie uitvoert, organiseert in feite een Man In The Middle-aanval. Het ziet er ongeveer zo uit: FortiGate onderschept het verzoek van de gebruiker, organiseert er een HTTPS-verbinding mee en opent vervolgens een HTTPS-sessie met de bron waartoe de gebruiker toegang heeft gehad. In dit geval zal het door FortiGate uitgegeven certificaat zichtbaar zijn op de computer van de gebruiker. De browser moet vertrouwd zijn om de verbinding mogelijk te maken.
In feite is HTTPS-inspectie nogal ingewikkeld en heeft het veel beperkingen, maar daar gaan we in deze cursus niet op in. Ik wil er alleen aan toevoegen dat het implementeren van HTTPS-inspectie geen kwestie van minuten is; het duurt meestal ongeveer een maand. Het is noodzakelijk om informatie te verzamelen over de noodzakelijke uitzonderingen, de juiste instellingen te maken, feedback van gebruikers te verzamelen en de instellingen aan te passen.
De gegeven theorie, evenals het praktische gedeelte, worden gepresenteerd in deze videoles:
In de volgende les zullen we kijken naar andere beveiligingsprofielen: antivirus- en inbraakpreventiesysteem. Om het niet te missen, volg de updates op de volgende kanalen:
Bron: www.habr.com