Велики поздрав! Добродошли на шесту лекцију курса . Он савладали смо основе рада са НАТ технологијом на , а такође је пустио нашег тестног корисника на Интернет. Сада је време да се брине о безбедности корисника на његовим отвореним просторима. У овој лекцији ћемо погледати следеће безбедносне профиле: веб филтрирање, контрола апликација и ХТТПС инспекција.
Да бисмо започели са безбедносним профилима, морамо да разумемо још једну ствар: режиме инспекције.
Подразумевано је режим заснован на протоку. Проверава датотеке док пролазе кроз ФортиГате без баферовања. Када пакет стигне, он се обрађује и прослеђује, без чекања да се прими цела датотека или веб страница. Захтева мање ресурса и пружа боље перформансе од прокси режима, али у исто време у њему нису доступне све безбедносне функције. На пример, спречавање цурења података (ДЛП) може да се користи само у режиму проксија.
Прокси режим функционише другачије. Он ствара две ТЦП везе, једну између клијента и ФортиГате-а, другу између ФортиГате-а и сервера. Ово му омогућава баферовање саобраћаја, односно примање комплетне датотеке или веб странице. Скенирање датотека за разне претње почиње тек након што се цела датотека баферује. Ово вам омогућава да користите додатне функције које нису доступне у режиму заснованом на протоку. Као што видите, чини се да је овај режим супротан режиму заснованом на протоку – безбедност овде игра главну улогу, а перформансе су у позадини.
Људи се често питају: који је режим бољи? Али овде нема општег рецепта. Све је увек индивидуално и зависи од ваших потреба и циљева. Касније у току курса покушаћу да покажем разлике између безбедносних профила у Флов и Проки режимима. Ово ће вам помоћи да упоредите функционалност и одлучите шта је најбоље за вас.
Пређимо директно на безбедносне профиле и прво погледамо Веб Филтеринг. Помаже у праћењу или праћењу веб локација које корисници посећују. Мислим да нема потребе ићи дубље у објашњавање потребе за таквим профилом у садашњим реалностима. Хајде да боље разумемо како то функционише.
Када се ТЦП веза успостави, корисник користи ГЕТ захтев да захтева садржај одређене веб локације.
Ако веб сервер одговори позитивно, он шаље информације о веб локацији назад. Овде долази у обзир веб филтер. Он проверава садржај овог одговора.Током верификације, ФортиГате шаље захтев у реалном времену ФортиГуард Дистрибутион Нетворк (ФДН) да одреди категорију дате веб странице. Након одређивања категорије одређене веб странице, веб филтер, у зависности од подешавања, врши одређену радњу.
У режиму протока су доступне три радње:
- Дозволи - дозволи приступ веб локацији
- Блокирај - блокира приступ веб локацији
- Монитор - дозволите приступ веб локацији и забележите то у евиденцији
У режиму проксија додају се још две радње:
- Упозорење - дајте упозорење кориснику да покушава да посети одређени ресурс и дајте кориснику избор - да настави или напусти веб локацију
- Аутентификујте – захтевајте корисничке акредитиве – ово омогућава одређеним групама да приступе ограниченим категоријама веб локација.
Сајт можете да видите све категорије и подкатегорије веб филтера, као и да сазнате којој категорији припада одређена веб локација. И генерално, ово је прилично користан сајт за кориснике Фортинет решења, саветујем вам да га боље упознате у слободно време.
Врло мало се може рећи о контроли апликација. Као што назив говори, омогућава вам да контролишете рад апликација. И то ради користећи обрасце из разних апликација, такозване потписе. Користећи ове потписе, он може да идентификује одређену апликацију и примени одређену радњу на њу:
- Дозволи - дозволи
- Монитор - дозволите и пријавите ово
- Блокирај - забрани
- Карантин - забележите догађај у евиденцији и блокирајте ИП адресу на одређено време
Такође можете погледати постојеће потписе на веб локацији .
Сада погледајмо механизам ХТТПС инспекције. Према статистици на крају 2018. године, удео ХТТПС саобраћаја је премашио 70%. То јест, без коришћења ХТТПС инспекције, моћи ћемо да анализирамо само око 30% саобраћаја који пролази кроз мрежу. Прво, погледајмо како ХТТПС функционише у грубој апроксимацији.
Клијент иницира ТЛС захтев веб серверу и добија ТЛС одговор, а такође види дигитални сертификат који мора бити поуздан за овог корисника. Ово је минимум који треба да знамо о томе како ХТТПС функционише; у ствари, начин на који функционише је много компликованији. Након успешног ТЛС руковања, почиње пренос шифрованих података. И ово је добро. Нико не може да приступи подацима које размењујете са веб сервером.
Међутим, за службенике обезбеђења компаније ово је права главобоља, јер не могу да виде овај саобраћај и провере његов садржај ни антивирусом, ни системом за спречавање упада, ни ДЛП системима, или било чим. Ово такође негативно утиче на квалитет дефиниције апликација и веб ресурса који се користе унутар мреже – управо оно што се односи на нашу тему лекције. Технологија ХТТПС инспекције је дизајнирана да реши овај проблем. Његова суштина је врло једноставна - у ствари, уређај који врши ХТТПС инспекцију организује напад Ман Ин Тхе Миддле. То изгледа отприлике овако: ФортиГате пресреће захтев корисника, организује ХТТПС везу са њим, а затим отвара ХТТПС сесију са ресурсом коме је корисник приступио. У овом случају, сертификат који је издао ФортиГате биће видљив на рачунару корисника. Мора се веровати да би претраживач дозволио везу.
У ствари, ХТТПС инспекција је прилично компликована ствар и има много ограничења, али то нећемо разматрати у овом курсу. Само ћу додати да имплементација ХТТПС инспекције није питање минута; обично траје око месец дана. Неопходно је прикупити информације о потребним изузецима, извршити одговарајућа подешавања, прикупити повратне информације од корисника и прилагодити подешавања.
Задата теорија, као и практични део, представљени су у овој видео лекцији:
У следећој лекцији ћемо погледати друге безбедносне профиле: антивирусни систем и систем за спречавање упада. Да га не бисте пропустили, пратите ажурирања на следећим каналима:
Извор: ввв.хабр.цом