Pozdravujem! Vitajte pri šiestej lekcii kurzu , na máme zvládnuté základy práce s technológiou NAT na a tiež uvoľnili nášho testovacieho používateľa na internet. Teraz je čas postarať sa o bezpečnosť užívateľa v jeho otvorených priestoroch. V tejto lekcii sa pozrieme na nasledujúce bezpečnostné profily: Webové filtrovanie, Kontrola aplikácií a Kontrola HTTPS.
Aby sme mohli začať s bezpečnostnými profilmi, musíme pochopiť ešte jednu vec: režimy kontroly.
Predvolený režim je založený na prietoku. Kontroluje súbory, keď prechádzajú cez FortiGate bez ukladania do vyrovnávacej pamäte. Keď paket dorazí, je spracovaný a preposlaný bez čakania na prijatie celého súboru alebo webovej stránky. Vyžaduje menej zdrojov a poskytuje lepší výkon ako režim proxy, no zároveň v ňom nie sú dostupné všetky funkcie zabezpečenia. Napríklad, Data Leak Prevention (DLP) je možné použiť iba v režime proxy.
Proxy režim funguje inak. Vytvára dve TCP spojenia, jedno medzi klientom a FortiGate, druhé medzi FortiGate a serverom. To mu umožňuje ukladať prenos do vyrovnávacej pamäte, t. j. prijímať celý súbor alebo webovú stránku. Kontrola súborov na prítomnosť rôznych hrozieb sa začne až po uložení celého súboru do vyrovnávacej pamäte. To vám umožní používať ďalšie funkcie, ktoré nie sú dostupné v režime Flow. Ako vidíte, zdá sa, že tento režim je opakom Flow Based – bezpečnosť tu hrá hlavnú úlohu a výkon ustupuje do úzadia.
Ľudia sa často pýtajú: ktorý režim je lepší? Ale všeobecný recept tu neexistuje. Všetko je vždy individuálne a závisí od vašich potrieb a cieľov. Neskôr sa v kurze pokúsim ukázať rozdiely medzi bezpečnostnými profilmi v režime Flow a Proxy. To vám pomôže porovnať funkčnosť a rozhodnúť sa, ktorá je pre vás najlepšia.
Prejdime priamo k bezpečnostným profilom a najprv sa pozrime na Web Filtering. Pomáha monitorovať alebo sledovať, ktoré webové stránky používatelia navštevujú. Myslím si, že nie je potrebné hlbšie vysvetľovať potrebu takéhoto profilu v súčasnej realite. Poďme lepšie pochopiť, ako to funguje.
Po nadviazaní TCP spojenia používateľ použije požiadavku GET na vyžiadanie obsahu konkrétnej webovej stránky.
Ak webový server odpovie kladne, odošle informácie o webe späť. Tu vstupuje do hry webový filter. Overí obsah tejto odpovede a FortiGate odošle v reálnom čase do distribučnej siete FortiGuard (FDN) požiadavku na určenie kategórie danej webovej stránky. Po určení kategórie konkrétneho webu vykoná webový filter v závislosti od nastavení konkrétnu akciu.
V režime Flow sú k dispozícii tri akcie:
- Povoliť – povolenie prístupu na webovú stránku
- Blokovať – blokovanie prístupu na webovú stránku
- Monitorovať – povoľte prístup na webovú stránku a zaznamenajte ho do denníkov
V režime proxy sa pridávajú ďalšie dve akcie:
- Upozornenie – upozorní používateľa, že sa pokúša navštíviť určitý zdroj, a poskytne používateľovi na výber – pokračovať alebo opustiť webovú stránku
- Autentifikácia – Vyžiadať prihlasovacie údaje používateľa – umožňuje určitým skupinám pristupovať k obmedzeným kategóriám webových stránok.
Táto stránka môžete zobraziť všetky kategórie a podkategórie webového filtra a tiež zistiť, do ktorej kategórie patrí konkrétny web. A vo všeobecnosti je to celkom užitočná stránka pre používateľov riešení Fortinet, odporúčam vám, aby ste ju lepšie spoznali vo svojom voľnom čase.
O ovládaní aplikácií sa dá povedať len veľmi málo. Ako už názov napovedá, umožňuje ovládať chod aplikácií. A robí to pomocou vzorov z rôznych aplikácií, takzvaných podpisov. Pomocou týchto podpisov môže identifikovať konkrétnu aplikáciu a použiť na ňu konkrétnu akciu:
- Povoliť - povoliť
- Monitorovať - povoliť a zaznamenať to
- Blokovať – zakázať
- Karanténa - zaznamenajte udalosť do protokolov a zablokujte IP adresu na určitý čas
Na webovej stránke si môžete pozrieť aj existujúce podpisy .
Teraz sa pozrime na mechanizmus kontroly HTTPS. Podľa štatistík ku koncu roka 2018 podiel HTTPS návštevnosti prekročil 70 %. To znamená, že bez použitia kontroly HTTPS budeme schopní analyzovať len asi 30 % prevádzky prechádzajúcej cez sieť. Najprv sa pozrime na to, ako funguje HTTPS v hrubom priblížení.
Klient iniciuje požiadavku TLS na webový server a dostane odpoveď TLS a tiež vidí digitálny certifikát, ktorý musí byť pre tohto používateľa dôveryhodný. Toto je úplné minimum, ktoré potrebujeme vedieť o tom, ako HTTPS funguje; v skutočnosti je spôsob, akým to funguje, oveľa komplikovanejší. Po úspešnom nadviazaní spojenia TLS sa začne šifrovaný prenos dát. A toto je dobré. Nikto nemá prístup k údajom, ktoré si vymieňate s webovým serverom.
Pre bezpečnostných pracovníkov spoločnosti je to však poriadna bolesť hlavy, pretože túto komunikáciu nevidia a nemôžu kontrolovať jej obsah ani antivírusom, ani systémom prevencie narušenia, ani systémami DLP alebo čímkoľvek iným. To tiež negatívne ovplyvňuje kvalitu definície aplikácií a webových zdrojov používaných v rámci siete – presne to, čo súvisí s témou našej lekcie. Inšpekčná technológia HTTPS je navrhnutá na vyriešenie tohto problému. Jeho podstata je veľmi jednoduchá – v skutočnosti zariadenie, ktoré vykonáva kontrolu HTTPS, organizuje útok Man In The Middle. Vyzerá to asi takto: FortiGate zachytí požiadavku používateľa, zorganizuje s ňou spojenie HTTPS a potom otvorí reláciu HTTPS so zdrojom, ku ktorému používateľ pristupoval. V tomto prípade bude certifikát vydaný spoločnosťou FortiGate viditeľný na počítači používateľa. Musí byť dôveryhodný, aby prehliadač umožnil pripojenie.
V skutočnosti je kontrola HTTPS pomerne zložitá vec a má veľa obmedzení, ale tým sa v tomto kurze nebudeme zaoberať. Len dodám, že implementácia kontroly HTTPS nie je otázkou niekoľkých minút, zvyčajne to trvá približne mesiac. Je potrebné zhromaždiť informácie o nevyhnutných výnimkách, vykonať príslušné nastavenia, získať spätnú väzbu od používateľov a upraviť nastavenia.
Daná teória, ako aj praktická časť sú prezentované v tejto video lekcii:
V ďalšej lekcii sa pozrieme na ďalšie bezpečnostné profily: antivírus a systém prevencie narušenia. Aby ste to nezmeškali, sledujte aktualizácie na nasledujúcich kanáloch:
Zdroj: hab.com