Salutari! Bun venit la a șasea lecție a cursului . pe am stăpânit elementele de bază ale lucrului cu tehnologia NAT , și, de asemenea, a lansat utilizatorul nostru de testare pe Internet. Acum este timpul să aveți grijă de siguranța utilizatorului în spațiile lui deschise. În această lecție ne vom uita la următoarele profiluri de securitate: filtrare web, control aplicație și inspecție HTTPS.
Pentru a începe cu profilurile de securitate, trebuie să înțelegem încă un lucru: modurile de inspecție.
Implicit este modul bazat pe flux. Verifică fișierele pe măsură ce trec prin FortiGate fără a fi tamponate. Odată ce pachetul ajunge, acesta este procesat și redirecționat, fără a aștepta primirea întregului fișier sau a paginii web. Necesită mai puține resurse și oferă performanțe mai bune decât modul Proxy, dar, în același timp, nu toate funcționalitățile de securitate sunt disponibile în el. De exemplu, Data Leak Prevention (DLP) poate fi utilizată numai în modul Proxy.
Modul proxy funcționează diferit. Acesta creează două conexiuni TCP, una între client și FortiGate, a doua între FortiGate și server. Acest lucru îi permite să tamponeze traficul, adică să primească un fișier sau o pagină web completă. Scanarea fișierelor pentru diverse amenințări începe numai după ce întregul fișier a fost stocat. Acest lucru vă permite să utilizați funcții suplimentare care nu sunt disponibile în modul bazat pe flux. După cum puteți vedea, acest mod pare a fi opusul Flow Based - securitatea joacă un rol major aici, iar performanța ocupă un loc din spate.
Oamenii se întreabă adesea: care mod este mai bun? Dar aici nu există o rețetă generală. Totul este întotdeauna individual și depinde de nevoile și obiectivele tale. Mai târziu, în curs, voi încerca să arăt diferențele dintre profilurile de securitate în modurile Flow și Proxy. Acest lucru vă va ajuta să comparați funcționalitatea și să decideți care este cel mai bun pentru dvs.
Să trecem direct la profilurile de securitate și să ne uităm mai întâi la filtrarea web. Ajută la monitorizarea sau urmărirea site-urilor web pe care utilizatorii le vizitează. Cred că nu este nevoie să aprofundăm în explicarea necesității unui astfel de profil în realitățile actuale. Să înțelegem mai bine cum funcționează.
Odată stabilită o conexiune TCP, utilizatorul folosește o solicitare GET pentru a solicita conținutul unui anumit site web.
Dacă serverul web răspunde pozitiv, trimite înapoi informații despre site. Aici intervine filtrul web. Acesta verifică conținutul acestui răspuns. În timpul verificării, FortiGate trimite o solicitare în timp real către Rețeaua de distribuție FortiGuard (FDN) pentru a determina categoria site-ului respectiv. După determinarea categoriei unui anumit site web, filtrul web, în funcție de setări, efectuează o anumită acțiune.
Există trei acțiuni disponibile în modul Flow:
- Permite - permite accesul la site
- Blocare - blocați accesul la site
- Monitor - permiteți accesul la site și înregistrați-l în jurnalele
În modul Proxy, sunt adăugate încă două acțiuni:
- Avertizare - avertizați utilizatorul că încearcă să viziteze o anumită resursă și oferiți utilizatorului o alegere - continuați sau părăsiți site-ul
- Autentificare - Solicitați acreditările utilizatorului - aceasta permite anumitor grupuri să acceseze categorii restricționate de site-uri web.
Site-ul puteți vizualiza toate categoriile și subcategoriile filtrului web și, de asemenea, puteți afla cărei categorii îi aparține un anumit site web. Și, în general, acesta este un site destul de util pentru utilizatorii soluțiilor Fortinet, vă sfătuiesc să îl cunoașteți mai bine în timpul liber.
Există foarte puține lucruri care se pot spune despre Controlul aplicațiilor. După cum sugerează și numele, vă permite să controlați funcționarea aplicațiilor. Și face asta folosind modele din diverse aplicații, așa-numitele semnături. Folosind aceste semnături, el poate identifica o anumită aplicație și îi poate aplica o anumită acțiune:
- Permite - permite
- Monitor - permiteți și logați acest lucru
- Blocare - interzice
- Carantină - înregistrați un eveniment în jurnale și blocați adresa IP pentru un anumit timp
De asemenea, puteți vizualiza semnăturile existente pe site .
Acum să ne uităm la mecanismul de inspecție HTTPS. Conform statisticilor de la sfârșitul anului 2018, ponderea traficului HTTPS a depășit 70%. Adică, fără a folosi inspecția HTTPS, vom putea analiza doar aproximativ 30% din traficul care trece prin rețea. Mai întâi, să vedem cum funcționează HTTPS într-o aproximare aproximativă.
Clientul inițiază o solicitare TLS către serverul web și primește un răspuns TLS și vede, de asemenea, un certificat digital care trebuie să fie de încredere pentru acest utilizator. Acesta este strictul minim pe care trebuie să-l știm despre cum funcționează HTTPS; de fapt, modul în care funcționează este mult mai complicat. După o strângere de mână cu succes TLS, începe transferul de date criptate. Și asta e bine. Nimeni nu poate accesa datele pe care le schimbați cu serverul web.
Cu toate acestea, pentru ofițerii de securitate ai companiei aceasta este o adevărată bătaie de cap, deoarece nu pot vedea acest trafic și nu-i pot verifica conținutul fie cu un antivirus, fie cu un sistem de prevenire a intruziunilor, fie cu sisteme DLP sau orice altceva. Acest lucru afectează negativ și calitatea definiției aplicațiilor și resurselor web utilizate în cadrul rețelei - exact ceea ce se referă la subiectul lecției noastre. Tehnologia de inspecție HTTPS este concepută pentru a rezolva această problemă. Esența sa este foarte simplă - de fapt, un dispozitiv care efectuează inspecția HTTPS organizează un atac Man In The Middle. Arată cam așa: FortiGate interceptează cererea utilizatorului, organizează o conexiune HTTPS cu aceasta și apoi deschide o sesiune HTTPS cu resursa accesată de utilizator. În acest caz, certificatul emis de FortiGate va fi vizibil pe computerul utilizatorului. Acesta trebuie să fie de încredere pentru ca browserul să permită conexiunea.
De fapt, inspecția HTTPS este un lucru destul de complicat și are multe limitări, dar nu vom lua în considerare acest lucru în acest curs. Voi adăuga doar că implementarea inspecției HTTPS nu este o chestiune de minute; de obicei durează aproximativ o lună. Este necesar să colectați informații despre excepțiile necesare, să faceți setările corespunzătoare, să colectați feedback de la utilizatori și să ajustați setările.
Teoria dată, precum și partea practică, sunt prezentate în această lecție video:
În lecția următoare ne vom uita la alte profiluri de securitate: antivirus și sistem de prevenire a intruziunilor. Pentru a nu-l rata, urmăriți actualizările de pe următoarele canale:
Sursa: www.habr.com