Pozdrowienia! Witamy na szóstej lekcji kursu
Aby rozpocząć pracę z profilami bezpieczeństwa, musimy zrozumieć jeszcze jedną rzecz: tryby inspekcji.
Domyślnym ustawieniem jest tryb oparty na przepływie. Sprawdza pliki przechodzące przez FortiGate bez buforowania. Gdy pakiet dotrze, jest on przetwarzany i przesyłany dalej, bez czekania na odebranie całego pliku lub strony internetowej. Wymaga mniej zasobów i zapewnia lepszą wydajność niż tryb proxy, ale jednocześnie nie są w nim dostępne wszystkie funkcjonalności związane z bezpieczeństwem. Na przykład funkcji zapobiegania wyciekom danych (DLP) można używać tylko w trybie proxy.
Tryb proxy działa inaczej. Tworzy dwa połączenia TCP, jedno pomiędzy klientem a FortiGate, drugie pomiędzy FortiGate a serwerem. Dzięki temu może buforować ruch, czyli otrzymać cały plik lub stronę internetową. Skanowanie plików w poszukiwaniu różnych zagrożeń rozpoczyna się dopiero po zbuforowaniu całego pliku. Umożliwia to korzystanie z dodatkowych funkcji, które nie są dostępne w trybie opartym na przepływie. Jak widać, tryb ten wydaje się być przeciwieństwem Flow Based – bezpieczeństwo odgrywa tutaj główną rolę, a wydajność schodzi na drugi plan.
Ludzie często pytają: który tryb jest lepszy? Ale nie ma tutaj ogólnego przepisu. Wszystko jest zawsze indywidualne i zależy od Twoich potrzeb i celów. W dalszej części kursu postaram się pokazać różnice pomiędzy profilami zabezpieczeń w trybach Flow i Proxy. Pomoże Ci to porównać funkcjonalność i zdecydować, która jest dla Ciebie najlepsza.
Przejdźmy bezpośrednio do profili zabezpieczeń i najpierw przyjrzyjmy się filtrowaniu sieci. Pomaga monitorować lub śledzić, które strony internetowe odwiedzają użytkownicy. Myślę, że nie ma potrzeby głębiej wyjaśniać potrzeby istnienia takiego profilu w obecnych realiach. Rozumiemy lepiej, jak to działa.
Po nawiązaniu połączenia TCP użytkownik używa żądania GET w celu zażądania zawartości określonej witryny internetowej.
Jeśli serwer WWW odpowie pozytywnie, odsyła informację o witrynie. W tym miejscu wchodzi w grę filtr sieciowy. Weryfikuje treść tej odpowiedzi.W trakcie weryfikacji FortiGate wysyła w czasie rzeczywistym żądanie do Sieci Dystrybucyjnej FortiGuard (FDN) w celu ustalenia kategorii danego serwisu. Po ustaleniu kategorii konkretnego serwisu, filtr sieciowy w zależności od ustawień wykonuje określoną akcję.
W trybie przepływu dostępne są trzy akcje:
- Zezwól - zezwól na dostęp do witryny
- Blokuj - blokuje dostęp do serwisu
- Monitoruj - zezwól na dostęp do serwisu i zapisz to w logach
W trybie proxy dodawane są jeszcze dwie akcje:
- Ostrzeżenie - ostrzeżenie użytkownika, że próbuje odwiedzić określony zasób i pozostawienie użytkownikowi wyboru - kontynuować lub opuścić witrynę
- Uwierzytelnij — poproś o dane uwierzytelniające użytkownika — umożliwia to określonym grupom dostęp do zastrzeżonych kategorii witryn internetowych.
Strona
Niewiele można powiedzieć o Kontroli Aplikacji. Jak sama nazwa wskazuje, pozwala kontrolować działanie aplikacji. A robi to wykorzystując wzorce z różnych zastosowań, tzw. podpisy. Za pomocą tych podpisów może zidentyfikować konkretną aplikację i zastosować wobec niej określoną akcję:
- Pozwól - pozwól
- Monitoruj - zezwól i zarejestruj to
- Blokuj - zabraniaj
- Kwarantanna - zapisz zdarzenie w logach i zablokuj adres IP na określony czas
Na stronie internetowej można także przeglądać istniejące podpisy
Przyjrzyjmy się teraz mechanizmowi inspekcji HTTPS. Według statystyk na koniec 2018 roku udział ruchu HTTPS przekroczył 70%. Oznacza to, że bez korzystania z inspekcji HTTPS będziemy w stanie przeanalizować tylko około 30% ruchu przechodzącego przez sieć. Najpierw przyjrzyjmy się, jak w przybliżeniu działa protokół HTTPS.
Klient inicjuje żądanie TLS do serwera WWW i otrzymuje odpowiedź TLS, a także widzi certyfikat cyfrowy, któremu ten użytkownik musi zaufać. To absolutne minimum, które musimy wiedzieć o działaniu protokołu HTTPS; w rzeczywistości sposób jego działania jest znacznie bardziej skomplikowany. Po udanym uzgadnianiu TLS rozpoczyna się szyfrowany transfer danych. I to jest dobre. Nikt nie ma dostępu do danych wymienianych z serwerem internetowym.
Jednak dla funkcjonariuszy odpowiedzialnych za bezpieczeństwo firmy jest to prawdziwy ból głowy, ponieważ nie mogą zobaczyć tego ruchu i sprawdzić jego zawartości ani za pomocą programu antywirusowego, ani systemu zapobiegania włamaniom, ani systemów DLP, ani niczego innego. Wpływa to również negatywnie na jakość definicji aplikacji i zasobów sieciowych wykorzystywanych w sieci – czyli dokładnie to, co nawiązuje do tematu naszej lekcji. Technologia inspekcji HTTPS ma na celu rozwiązanie tego problemu. Jego istota jest bardzo prosta – tak naprawdę urządzenie dokonujące inspekcji HTTPS organizuje atak Man In The Middle. Wygląda to mniej więcej tak: FortiGate przechwytuje żądanie użytkownika, organizuje z nim połączenie HTTPS, a następnie otwiera sesję HTTPS z zasobem, do którego użytkownik uzyskał dostęp. W takim przypadku certyfikat wydany przez FortiGate będzie widoczny na komputerze użytkownika. Aby przeglądarka zezwoliła na połączenie, musi być zaufana.
W rzeczywistości inspekcja HTTPS jest dość skomplikowaną rzeczą i ma wiele ograniczeń, ale nie będziemy się tym zajmować w tym kursie. Dodam tylko, że wdrożenie inspekcji HTTPS nie jest kwestią minut, zwykle trwa około miesiąca. Konieczne jest zebranie informacji o niezbędnych wyjątkach, dokonanie odpowiednich ustawień, zebranie opinii użytkowników i dostosowanie ustawień.
Daną teorię, a także część praktyczną przedstawiono w tej lekcji wideo:
W następnej lekcji przyjrzymy się innym profilom bezpieczeństwa: programowi antywirusowemu i systemowi zapobiegania włamaniom. Aby tego nie przegapić, śledź aktualizacje na następujących kanałach:
Źródło: www.habr.com