Pozdrowienia! Witamy na szóstej lekcji kursu . Na opanowaliśmy podstawy pracy z technologią NAT , a także udostępnił naszego użytkownika testowego w Internecie. Teraz czas zadbać o bezpieczeństwo użytkownika w jego otwartych przestrzeniach. W tej lekcji przyjrzymy się następującym profilom zabezpieczeń: filtrowaniu sieci, kontroli aplikacji i inspekcji HTTPS.
Aby rozpocząć pracę z profilami bezpieczeństwa, musimy zrozumieć jeszcze jedną rzecz: tryby inspekcji.
Domyślnym ustawieniem jest tryb oparty na przepływie. Sprawdza pliki przechodzące przez FortiGate bez buforowania. Gdy pakiet dotrze, jest on przetwarzany i przesyłany dalej, bez czekania na odebranie całego pliku lub strony internetowej. Wymaga mniej zasobów i zapewnia lepszą wydajność niż tryb proxy, ale jednocześnie nie są w nim dostępne wszystkie funkcjonalności związane z bezpieczeństwem. Na przykład funkcji zapobiegania wyciekom danych (DLP) można używać tylko w trybie proxy.
Tryb proxy działa inaczej. Tworzy dwa połączenia TCP, jedno pomiędzy klientem a FortiGate, drugie pomiędzy FortiGate a serwerem. Dzięki temu może buforować ruch, czyli otrzymać cały plik lub stronę internetową. Skanowanie plików w poszukiwaniu różnych zagrożeń rozpoczyna się dopiero po zbuforowaniu całego pliku. Umożliwia to korzystanie z dodatkowych funkcji, które nie są dostępne w trybie opartym na przepływie. Jak widać, tryb ten wydaje się być przeciwieństwem Flow Based – bezpieczeństwo odgrywa tutaj główną rolę, a wydajność schodzi na drugi plan.
Ludzie często pytają: który tryb jest lepszy? Ale nie ma tutaj ogólnego przepisu. Wszystko jest zawsze indywidualne i zależy od Twoich potrzeb i celów. W dalszej części kursu postaram się pokazać różnice pomiędzy profilami zabezpieczeń w trybach Flow i Proxy. Pomoże Ci to porównać funkcjonalność i zdecydować, która jest dla Ciebie najlepsza.
Przejdźmy bezpośrednio do profili zabezpieczeń i najpierw przyjrzyjmy się filtrowaniu sieci. Pomaga monitorować lub śledzić, które strony internetowe odwiedzają użytkownicy. Myślę, że nie ma potrzeby głębiej wyjaśniać potrzeby istnienia takiego profilu w obecnych realiach. Rozumiemy lepiej, jak to działa.
Po nawiązaniu połączenia TCP użytkownik używa żądania GET w celu zażądania zawartości określonej witryny internetowej.
Jeśli serwer WWW odpowie pozytywnie, odsyła informację o witrynie. W tym miejscu wchodzi w grę filtr sieciowy. Weryfikuje treść tej odpowiedzi.W trakcie weryfikacji FortiGate wysyła w czasie rzeczywistym żądanie do Sieci Dystrybucyjnej FortiGuard (FDN) w celu ustalenia kategorii danego serwisu. Po ustaleniu kategorii konkretnego serwisu, filtr sieciowy w zależności od ustawień wykonuje określoną akcję.
W trybie przepływu dostępne są trzy akcje:
- Zezwól - zezwól na dostęp do witryny
- Blokuj - blokuje dostęp do serwisu
- Monitoruj - zezwól na dostęp do serwisu i zapisz to w logach
W trybie proxy dodawane są jeszcze dwie akcje:
- Ostrzeżenie - ostrzeżenie użytkownika, że próbuje odwiedzić określony zasób i pozostawienie użytkownikowi wyboru - kontynuować lub opuścić witrynę
- Uwierzytelnij — poproś o dane uwierzytelniające użytkownika — umożliwia to określonym grupom dostęp do zastrzeżonych kategorii witryn internetowych.
Strona możesz wyświetlić wszystkie kategorie i podkategorie filtra internetowego, a także dowiedzieć się, do której kategorii należy dana witryna. I ogólnie jest to całkiem przydatna strona dla użytkowników rozwiązań Fortinet, radzę lepiej ją poznać w wolnej chwili.
Niewiele można powiedzieć o Kontroli Aplikacji. Jak sama nazwa wskazuje, pozwala kontrolować działanie aplikacji. A robi to wykorzystując wzorce z różnych zastosowań, tzw. podpisy. Za pomocą tych podpisów może zidentyfikować konkretną aplikację i zastosować wobec niej określoną akcję:
- Pozwól - pozwól
- Monitoruj - zezwól i zarejestruj to
- Blokuj - zabraniaj
- Kwarantanna - zapisz zdarzenie w logach i zablokuj adres IP na określony czas
Na stronie internetowej można także przeglądać istniejące podpisy .
Przyjrzyjmy się teraz mechanizmowi inspekcji HTTPS. Według statystyk na koniec 2018 roku udział ruchu HTTPS przekroczył 70%. Oznacza to, że bez korzystania z inspekcji HTTPS będziemy w stanie przeanalizować tylko około 30% ruchu przechodzącego przez sieć. Najpierw przyjrzyjmy się, jak w przybliżeniu działa protokół HTTPS.
Klient inicjuje żądanie TLS do serwera WWW i otrzymuje odpowiedź TLS, a także widzi certyfikat cyfrowy, któremu ten użytkownik musi zaufać. To absolutne minimum, które musimy wiedzieć o działaniu protokołu HTTPS; w rzeczywistości sposób jego działania jest znacznie bardziej skomplikowany. Po udanym uzgadnianiu TLS rozpoczyna się szyfrowany transfer danych. I to jest dobre. Nikt nie ma dostępu do danych wymienianych z serwerem internetowym.
Jednak dla funkcjonariuszy odpowiedzialnych za bezpieczeństwo firmy jest to prawdziwy ból głowy, ponieważ nie mogą zobaczyć tego ruchu i sprawdzić jego zawartości ani za pomocą programu antywirusowego, ani systemu zapobiegania włamaniom, ani systemów DLP, ani niczego innego. Wpływa to również negatywnie na jakość definicji aplikacji i zasobów sieciowych wykorzystywanych w sieci – czyli dokładnie to, co nawiązuje do tematu naszej lekcji. Technologia inspekcji HTTPS ma na celu rozwiązanie tego problemu. Jego istota jest bardzo prosta – tak naprawdę urządzenie dokonujące inspekcji HTTPS organizuje atak Man In The Middle. Wygląda to mniej więcej tak: FortiGate przechwytuje żądanie użytkownika, organizuje z nim połączenie HTTPS, a następnie otwiera sesję HTTPS z zasobem, do którego użytkownik uzyskał dostęp. W takim przypadku certyfikat wydany przez FortiGate będzie widoczny na komputerze użytkownika. Aby przeglądarka zezwoliła na połączenie, musi być zaufana.
W rzeczywistości inspekcja HTTPS jest dość skomplikowaną rzeczą i ma wiele ograniczeń, ale nie będziemy się tym zajmować w tym kursie. Dodam tylko, że wdrożenie inspekcji HTTPS nie jest kwestią minut, zwykle trwa około miesiąca. Konieczne jest zebranie informacji o niezbędnych wyjątkach, dokonanie odpowiednich ustawień, zebranie opinii użytkowników i dostosowanie ustawień.
Daną teorię, a także część praktyczną przedstawiono w tej lekcji wideo:
W następnej lekcji przyjrzymy się innym profilom bezpieczeństwa: programowi antywirusowemu i systemowi zapobiegania włamaniom. Aby tego nie przegapić, śledź aktualizacje na następujących kanałach:
Źródło: www.habr.com