Pozdravi! Dobrodošli v šesti lekciji tečaja . Na smo osvojili osnove dela z NAT tehnologijo na , na splet pa je objavil tudi našega testnega uporabnika. Zdaj je čas, da poskrbimo za varnost uporabnika v njegovih odprtih prostorih. V tej lekciji si bomo ogledali naslednje varnostne profile: spletno filtriranje, nadzor aplikacij in pregled HTTPS.
Za začetek uporabe varnostnih profilov moramo razumeti še eno stvar: načine pregledovanja.
Privzeti način je način, ki temelji na toku. Preverja datoteke, ko gredo skozi FortiGate brez medpomnjenja. Ko paket prispe, se obdela in posreduje brez čakanja na prejem celotne datoteke ali spletne strani. Zahteva manj virov in zagotavlja boljšo zmogljivost kot način proxy, hkrati pa v njem niso na voljo vse varnostne funkcije. Na primer, preprečevanje uhajanja podatkov (DLP) je mogoče uporabiti samo v načinu proxy.
Način proxy deluje drugače. Ustvari dve povezavi TCP, eno med odjemalcem in FortiGate, drugo med FortiGate in strežnikom. To mu omogoča, da zadrži promet, tj. prejme celotno datoteko ali spletno stran. Pregledovanje datotek za različne grožnje se začne šele, ko je celotna datoteka shranjena v medpomnilnik. To vam omogoča uporabo dodatnih funkcij, ki niso na voljo v načinu, ki temelji na toku. Kot lahko vidite, se zdi, da je ta način nasprotje Flow Based - varnost igra tukaj glavno vlogo, zmogljivost pa je na drugem mestu.
Ljudje se pogosto sprašujejo: kateri način je boljši? A splošnega recepta tukaj ni. Vse je vedno individualno in odvisno od vaših potreb in ciljev. Kasneje v tečaju bom poskušal pokazati razlike med varnostnimi profili v načinih Flow in Proxy. To vam bo pomagalo primerjati funkcionalnosti in se odločiti, katera je najboljša za vas.
Preidimo neposredno na varnostne profile in si najprej oglejmo spletno filtriranje. Pomaga spremljati ali spremljati, katera spletna mesta obiskujejo uporabniki. Mislim, da se ni treba poglabljati v razlago potrebe po takšnem profilu v trenutni realnosti. Bolje razumejmo, kako deluje.
Ko je povezava TCP vzpostavljena, uporabnik z zahtevo GET zahteva vsebino določenega spletnega mesta.
Če se spletni strežnik odzove pozitivno, pošlje informacije o spletnem mestu nazaj. Tukaj nastopi spletni filter. Preveri vsebino tega odgovora.Med preverjanjem FortiGate pošlje zahtevo v realnem času FortiGuard Distribution Network (FDN), da določi kategorijo danega spletnega mesta. Po določitvi kategorije posamezne spletne strani spletni filter glede na nastavitve izvede določeno akcijo.
V načinu Flow so na voljo tri dejanja:
- Dovoli - dovoli dostop do spletne strani
- Blokiraj - blokirajte dostop do spletnega mesta
- Spremljajte - omogočite dostop do spletne strani in jo zabeležite v dnevnike
V načinu proxy sta dodani še dve dejanji:
- Opozorilo - dajte uporabniku opozorilo, da poskuša obiskati določen vir in mu dajte možnost izbire - nadaljujte ali zapustite spletno stran
- Authenticate – Zahtevaj uporabniške poverilnice – to določenim skupinam omogoča dostop do omejenih kategorij spletnih mest.
Mesto si lahko ogledate vse kategorije in podkategorije spletnega filtra ter ugotovite, v katero kategorijo določeno spletno mesto spada. In na splošno je to precej uporabna stran za uporabnike rešitev Fortinet, svetujem vam, da jo bolje spoznate v prostem času.
O nadzoru aplikacij je mogoče reči zelo malo. Kot že ime pove, omogoča nadzor nad delovanjem aplikacij. In to počne z uporabo vzorcev iz različnih aplikacij, tako imenovanih podpisov. S pomočjo teh podpisov lahko prepozna določeno aplikacijo in zanjo izvede določeno dejanje:
- Dovolite - dovolite
- Spremljaj - dovoli in zabeleži to
- Blokiraj - prepovedi
- Karantena - zabeležite dogodek v dnevnike in blokirajte IP naslov za določen čas
Na spletni strani si lahko ogledate tudi obstoječe podpise .
Zdaj pa si poglejmo mehanizem nadzora HTTPS. Po statističnih podatkih je konec leta 2018 delež HTTPS prometa presegel 70 %. To pomeni, da bomo brez uporabe pregleda HTTPS lahko analizirali le približno 30% prometa, ki poteka skozi omrežje. Najprej si poglejmo, kako HTTPS deluje v grobem približku.
Odjemalec sproži zahtevo TLS do spletnega strežnika in prejme odgovor TLS ter vidi tudi digitalno potrdilo, ki mora biti zaupanja vredno za tega uporabnika. To je minimum, ki ga moramo vedeti o delovanju HTTPS; v resnici je način delovanja veliko bolj zapleten. Po uspešnem rokovanju TLS se začne šifriran prenos podatkov. In to je dobro. Nihče ne more dostopati do podatkov, ki jih izmenjujete s spletnim strežnikom.
Za varnostnike podjetja pa je to prava preglavica, saj tega prometa ne morejo videti in preveriti njegove vsebine niti z antivirusom, niti s sistemom za preprečevanje vdorov, niti s sistemi DLP ali s čimerkoli. To tudi negativno vpliva na kakovost definicije aplikacij in spletnih virov, ki se uporabljajo v omrežju - točno to, kar se nanaša na našo temo lekcije. Tehnologija nadzora HTTPS je zasnovana za rešitev te težave. Njegovo bistvo je zelo preprosto – pravzaprav naprava, ki izvaja inšpekcijo HTTPS, organizira napad Man In The Middle. Videti je nekako takole: FortiGate prestreže uporabnikovo zahtevo, z njo organizira povezavo HTTPS in nato odpre sejo HTTPS z virom, do katerega je uporabnik dostopal. V tem primeru bo potrdilo, ki ga je izdal FortiGate, vidno na uporabnikovem računalniku. Brskalnik mora biti zaupanja vreden, da omogoči povezavo.
Dejansko je preverjanje HTTPS precej zapletena stvar in ima veliko omejitev, vendar tega v tem tečaju ne bomo obravnavali. Dodal bom le, da izvajanje inšpekcije HTTPS ni nekaj minut, običajno traja približno mesec dni. Zbrati je treba informacije o potrebnih izjemah, narediti ustrezne nastavitve, zbrati povratne informacije uporabnikov in prilagoditi nastavitve.
Podana teorija in praktični del sta predstavljena v tej video lekciji:
V naslednji lekciji si bomo ogledali še druge varnostne profile: protivirusni sistem in sistem za preprečevanje vdorov. Da tega ne zamudite, spremljajte novosti na naslednjih kanalih:
Vir: www.habr.com