Hilsener! Velkommen til den sjette leksjonen på kurset . På vi har mestret det grunnleggende om å jobbe med NAT-teknologi på , og lanserte også vår testbruker på Internett. Nå er det på tide å ta vare på brukerens sikkerhet på sine åpne områder. I denne leksjonen skal vi se på følgende sikkerhetsprofiler: Webfiltrering, applikasjonskontroll og HTTPS-inspeksjon.
For å komme i gang med sikkerhetsprofiler, må vi forstå en ting til: inspeksjonsmoduser.
Standard er flytbasert modus. Den sjekker filer når de passerer gjennom FortiGate uten bufring. Når pakken ankommer, blir den behandlet og videresendt, uten å vente på at hele filen eller nettsiden skal mottas. Den krever færre ressurser og gir bedre ytelse enn proxy-modus, men samtidig er ikke all sikkerhetsfunksjonalitet tilgjengelig i den. For eksempel kan Data Leak Prevention (DLP) bare brukes i proxy-modus.
Proxy-modus fungerer annerledes. Den oppretter to TCP-forbindelser, en mellom klienten og FortiGate, den andre mellom FortiGate og serveren. Dette lar den bufre trafikk, dvs. motta en komplett fil eller nettside. Skanning av filer for ulike trusler begynner først etter at hele filen er bufret. Dette lar deg bruke tilleggsfunksjoner som ikke er tilgjengelige i flytbasert modus. Som du kan se, ser denne modusen ut til å være det motsatte av Flow Based – sikkerhet spiller en stor rolle her, og ytelsen tar et baksete.
Folk spør ofte: hvilken modus er bedre? Men det er ingen generell oppskrift her. Alt er alltid individuelt og avhenger av dine behov og mål. Senere i kurset vil jeg prøve å vise forskjellene mellom sikkerhetsprofiler i Flow- og Proxy-modus. Dette vil hjelpe deg med å sammenligne funksjonaliteten og bestemme hvilken som er best for deg.
La oss gå direkte til sikkerhetsprofiler og først se på nettfiltrering. Det hjelper å overvåke eller spore hvilke nettsteder brukere besøker. Jeg tror det ikke er behov for å gå dypere inn i å forklare behovet for en slik profil i dagens realiteter. La oss bedre forstå hvordan det fungerer.
Når en TCP-tilkobling er etablert, bruker brukeren en GET-forespørsel for å be om innholdet på et spesifikt nettsted.
Hvis webserveren svarer positivt, sender den informasjon om nettsiden tilbake. Det er her webfilteret kommer inn i bildet. Den verifiserer innholdet i dette svaret. Under verifiseringen sender FortiGate en sanntidsforespørsel til FortiGuard Distribution Network (FDN) for å bestemme kategorien til det gitte nettstedet. Etter å ha bestemt kategorien til et bestemt nettsted, utfører nettfilteret, avhengig av innstillingene, en spesifikk handling.
Det er tre tilgjengelige handlinger i flytmodus:
- Tillat – gi tilgang til nettstedet
- Blokker - blokker tilgang til nettstedet
- Overvåk - gi tilgang til nettstedet og registrer det i loggene
I proxy-modus legges det til ytterligere to handlinger:
- Advarsel - gi brukeren en advarsel om at han prøver å besøke en bestemt ressurs og gi brukeren et valg - fortsett eller forlat nettstedet
- Autentiser - Be om brukerlegitimasjon - dette lar visse grupper få tilgang til begrensede kategorier av nettsteder.
Området du kan se alle kategoriene og underkategoriene til nettfilteret, og også finne ut hvilken kategori et bestemt nettsted tilhører. Og generelt sett er dette et ganske nyttig nettsted for brukere av Fortinet-løsninger, jeg anbefaler deg å bli bedre kjent med det på fritiden.
Det er veldig lite som kan sies om Application Control. Som navnet antyder, lar den deg kontrollere driften av applikasjoner. Og dette gjør han ved hjelp av mønstre fra ulike applikasjoner, såkalte signaturer. Ved å bruke disse signaturene kan han identifisere en spesifikk applikasjon og bruke en spesifikk handling på den:
- Tillat - tillat
- Overvåk - tillat og logg dette
- Blokker - forby
- Karantene - registrer en hendelse i loggene og blokker IP-adressen for en viss tid
Du kan også se eksisterende signaturer på nettsiden .
La oss nå se på HTTPS-inspeksjonsmekanismen. I følge statistikk på slutten av 2018, oversteg andelen HTTPS-trafikk 70 %. Det vil si at uten å bruke HTTPS-inspeksjon vil vi kun kunne analysere rundt 30 % av trafikken som går gjennom nettverket. La oss først se på hvordan HTTPS fungerer i en grov tilnærming.
Klienten initierer en TLS-forespørsel til webserveren og mottar et TLS-svar, og ser også et digitalt sertifikat som må være klarert for denne brukeren. Dette er det minste minimum vi trenger å vite om hvordan HTTPS fungerer; faktisk måten det fungerer på er mye mer komplisert. Etter et vellykket TLS-håndtrykk begynner kryptert dataoverføring. Og dette er bra. Ingen har tilgang til dataene du utveksler med webserveren.
For selskapets sikkerhetsansvarlige er dette imidlertid en skikkelig hodepine, siden de ikke kan se denne trafikken og sjekke innholdet verken med et antivirus eller et inntrengingsforebyggende system, eller DLP-systemer eller noe. Dette påvirker også kvaliteten på definisjonen av applikasjoner og nettressurser som brukes i nettverket negativt – akkurat det som er relatert til leksjonens tema. HTTPS-inspeksjonsteknologi er utviklet for å løse dette problemet. Essensen er veldig enkel - faktisk organiserer en enhet som utfører HTTPS-inspeksjon et Man In The Middle-angrep. Det ser omtrent slik ut: FortiGate fanger opp brukerens forespørsel, organiserer en HTTPS-forbindelse med den, og åpner deretter en HTTPS-økt med ressursen brukeren fikk tilgang til. I dette tilfellet vil sertifikatet utstedt av FortiGate være synlig på brukerens datamaskin. Den må være klarert for at nettleseren skal tillate tilkoblingen.
Faktisk er HTTPS-inspeksjon en ganske komplisert ting og har mange begrensninger, men vi vil ikke vurdere dette i dette kurset. Jeg vil bare legge til at implementering av HTTPS-inspeksjon ikke er et spørsmål om minutter; det tar vanligvis omtrent en måned. Det er nødvendig å samle inn informasjon om nødvendige unntak, foreta de riktige innstillingene, samle tilbakemeldinger fra brukere og justere innstillingene.
Den gitte teorien, så vel som den praktiske delen, presenteres i denne videoleksjonen:
I neste leksjon vil vi se på andre sikkerhetsprofiler: antivirus og inntrengningsforebyggende system. For ikke å gå glipp av det, følg oppdateringene på følgende kanaler:
Kilde: www.habr.com