pershendetje! Mirë se vini në mësimin e gjashtë të kursit
Për të filluar me profilet e sigurisë, duhet të kuptojmë edhe një gjë: mënyrat e inspektimit.
Parazgjedhja është modaliteti i bazuar në rrjedhën. Ai kontrollon skedarët ndërsa kalojnë nëpër FortiGate pa buffering. Pasi të arrijë paketa, ajo përpunohet dhe përcillet, pa pritur që të merret i gjithë skedari ose faqja e internetit. Kërkon më pak burime dhe siguron performancë më të mirë se modaliteti Proxy, por në të njëjtën kohë, jo të gjitha funksionet e Sigurisë janë të disponueshme në të. Për shembull, Parandalimi i rrjedhjes së të dhënave (DLP) mund të përdoret vetëm në modalitetin "Proxy".
Modaliteti i përfaqësuesit funksionon ndryshe. Krijon dy lidhje TCP, njëra midis klientit dhe FortiGate, e dyta midis FortiGate dhe serverit. Kjo e lejon atë të ruajë trafikun, d.m.th. të marrë një skedar të plotë ose faqe interneti. Skanimi i skedarëve për kërcënime të ndryshme fillon vetëm pasi të jetë fshirë i gjithë skedari. Kjo ju lejon të përdorni veçori shtesë që nuk janë të disponueshme në modalitetin e bazuar në rrjedhën. Siç mund ta shihni, kjo mënyrë duket të jetë e kundërta e Flow Based - siguria luan një rol të madh këtu dhe performanca zë një vend të dytë.
Njerëzit shpesh pyesin: cila mënyrë është më e mirë? Por këtu nuk ka një recetë të përgjithshme. Gjithçka është gjithmonë individuale dhe varet nga nevojat dhe qëllimet tuaja. Më vonë gjatë kursit do të përpiqem të tregoj ndryshimet midis profileve të sigurisë në modalitetet Flow dhe Proxy. Kjo do t'ju ndihmojë të krahasoni funksionalitetin dhe të vendosni se cili është më i miri për ju.
Le të kalojmë drejtpërdrejt te profilet e sigurisë dhe së pari të shohim Filtrimin e Uebit. Ndihmon për të monitoruar ose gjurmuar faqet e internetit që vizitojnë përdoruesit. Mendoj se nuk ka nevojë të thellohemi në shpjegimin e nevojës për një profil të tillë në realitetet aktuale. Le të kuptojmë më mirë se si funksionon.
Pasi të krijohet një lidhje TCP, përdoruesi përdor një kërkesë GET për të kërkuar përmbajtjen e një faqe interneti specifike.
Nëse serveri i uebit përgjigjet pozitivisht, ai dërgon informacion në lidhje me faqen e internetit. Këtu hyn në lojë filtri i uebit. Ai verifikon përmbajtjen e kësaj përgjigje. Gjatë verifikimit, FortiGate dërgon një kërkesë në kohë reale në Rrjetin e Shpërndarjes së FortiGuard (FDN) për të përcaktuar kategorinë e faqes së caktuar të internetit. Pas përcaktimit të kategorisë së një faqe interneti të caktuar, filtri në internet, në varësi të cilësimeve, kryen një veprim specifik.
Ekzistojnë tre veprime të disponueshme në modalitetin e rrjedhës:
- Lejo - lejo qasjen në faqen e internetit
- Blloko - blloko hyrjen në faqen e internetit
- Monitor - lejoni hyrjen në faqen e internetit dhe regjistrojeni atë në regjistrat
Në modalitetin Proxy, shtohen edhe dy veprime të tjera:
- Paralajmërim - jepni përdoruesit një paralajmërim se ai po përpiqet të vizitojë një burim të caktuar dhe jepini përdoruesit një zgjedhje - vazhdoni ose dilni nga faqja e internetit
- Autentifiko - Kërko kredencialet e përdoruesit - kjo lejon grupe të caktuara të kenë qasje në kategori të kufizuara të faqeve të internetit.
Faqe
Ka shumë pak që mund të thuhet për Kontrollin e Aplikimit. Siç sugjeron emri, ju lejon të kontrolloni funksionimin e aplikacioneve. Dhe ai e bën këtë duke përdorur modele nga aplikacione të ndryshme, të ashtuquajturat nënshkrime. Duke përdorur këto nënshkrime, ai mund të identifikojë një aplikacion specifik dhe të zbatojë një veprim specifik ndaj tij:
- Lejo - lejo
- Monitor - lejo dhe regjistro këtë
- Blloko - ndalo
- Karantinë - regjistroni një ngjarje në regjistrat dhe bllokoni adresën IP për një kohë të caktuar
Ju gjithashtu mund të shikoni nënshkrimet ekzistuese në faqen e internetit
Tani le të shohim mekanizmin e inspektimit HTTPS. Sipas statistikave në fund të vitit 2018, pjesa e trafikut HTTPS tejkaloi 70%. Kjo do të thotë, pa përdorur inspektimin HTTPS, ne do të jemi në gjendje të analizojmë vetëm rreth 30% të trafikut që kalon përmes rrjetit. Së pari, le të shohim se si funksionon HTTPS në një përafrim të përafërt.
Klienti fillon një kërkesë TLS në serverin e uebit dhe merr një përgjigje TLS, dhe gjithashtu sheh një certifikatë dixhitale që duhet t'i besohet këtij përdoruesi. Ky është minimumi që duhet të dimë se si funksionon HTTPS; në fakt, mënyra se si funksionon është shumë më e ndërlikuar. Pas një shtrëngimi duarsh të suksesshëm TLS, fillon transferimi i koduar i të dhënave. Dhe kjo është e mirë. Askush nuk mund të hyjë në të dhënat që ju shkëmbeni me serverin e uebit.
Sidoqoftë, për oficerët e sigurisë së kompanisë kjo është një dhimbje koke e vërtetë, pasi ata nuk mund ta shohin këtë trafik dhe të kontrollojnë përmbajtjen e tij as me një antivirus, as me një sistem parandalimi të ndërhyrjeve, as me sisteme DLP, ose ndonjë gjë tjetër. Kjo gjithashtu ndikon negativisht në cilësinë e përkufizimit të aplikacioneve dhe burimeve të internetit të përdorura brenda rrjetit - pikërisht ajo që lidhet me temën e mësimit tonë. Teknologjia e inspektimit HTTPS është krijuar për të zgjidhur këtë problem. Thelbi i tij është shumë i thjeshtë - në fakt, një pajisje që kryen inspektimin HTTPS organizon një sulm Man In The Middle. Duket diçka si kjo: FortiGate përgjon kërkesën e përdoruesit, organizon një lidhje HTTPS me të dhe më pas hap një seancë HTTPS me burimin që përdori përdoruesi. Në këtë rast, certifikata e lëshuar nga FortiGate do të jetë e dukshme në kompjuterin e përdoruesit. Duhet të besohet që shfletuesi të lejojë lidhjen.
Në fakt, inspektimi HTTPS është një gjë mjaft e ndërlikuar dhe ka shumë kufizime, por ne nuk do ta konsiderojmë këtë në këtë kurs. Unë thjesht do të shtoj se zbatimi i inspektimit HTTPS nuk është çështje minutash; zakonisht zgjat rreth një muaj. Është e nevojshme të mblidhen informacione për përjashtimet e nevojshme, të bëhen cilësimet e duhura, të mblidhen reagime nga përdoruesit dhe të rregullohen cilësimet.
Teoria e dhënë, si dhe pjesa praktike, janë paraqitur në këtë video mësim:
Në mësimin e ardhshëm do të shikojmë profilet e tjera të sigurisë: antivirus dhe sistemin e parandalimit të ndërhyrjeve. Për të mos e humbur, ndiqni përditësimet në kanalet e mëposhtme:
Burimi: www.habr.com