Pagbati! Maligayang pagdating sa ikaanim na aralin ng kurso . Sa pinagkadalubhasaan namin ang mga pangunahing kaalaman sa pagtatrabaho sa teknolohiya ng NAT , at inilabas din ang aming pansubok na user sa Internet. Ngayon ay oras na para pangalagaan ang kaligtasan ng gumagamit sa kanyang mga bukas na espasyo. Sa araling ito titingnan natin ang mga sumusunod na profile ng seguridad: Pag-filter sa Web, Kontrol ng Application, at inspeksyon ng HTTPS.
Upang makapagsimula sa mga profile ng seguridad, kailangan nating maunawaan ang isa pang bagay: mga mode ng inspeksyon.
Ang default ay Flow Based mode. Sinusuri nito ang mga file habang dumadaan sila sa FortiGate nang walang buffering. Sa sandaling dumating ang packet, ito ay pinoproseso at ipinapasa, nang hindi naghihintay na matanggap ang buong file o web page. Nangangailangan ito ng mas kaunting mga mapagkukunan at nagbibigay ng mas mahusay na pagganap kaysa sa Proxy mode, ngunit sa parehong oras, hindi lahat ng functionality ng Security ay magagamit dito. Halimbawa, ang Data Leak Prevention (DLP) ay maaari lamang gamitin sa Proxy mode.
Iba ang paggana ng proxy mode. Lumilikha ito ng dalawang koneksyon sa TCP, isa sa pagitan ng kliyente at FortiGate, ang pangalawa sa pagitan ng FortiGate at ng server. Ito ay nagpapahintulot sa ito na buffer ng trapiko, ibig sabihin, makatanggap ng kumpletong file o web page. Ang pag-scan ng mga file para sa iba't ibang pagbabanta ay magsisimula lamang pagkatapos ma-buffer ang buong file. Nagbibigay-daan ito sa iyong gumamit ng mga karagdagang feature na hindi available sa Flow based mode. Tulad ng nakikita mo, ang mode na ito ay tila kabaligtaran ng Flow Based - ang seguridad ay gumaganap ng isang pangunahing papel dito, at ang pagganap ay tumatagal ng isang upuan sa likod.
Madalas itanong ng mga tao: aling mode ang mas mahusay? Ngunit walang pangkalahatang recipe dito. Ang lahat ay palaging indibidwal at depende sa iyong mga pangangailangan at layunin. Mamaya sa kurso ay susubukan kong ipakita ang mga pagkakaiba sa pagitan ng mga profile ng seguridad sa Flow at Proxy mode. Makakatulong ito sa iyong paghambingin ang functionality at magpasya kung alin ang pinakamainam para sa iyo.
Direkta tayong lumipat sa mga profile ng seguridad at tingnan muna ang Web Filtering. Nakakatulong itong subaybayan o subaybayan kung aling mga website ang binibisita ng mga user. Sa palagay ko ay hindi na kailangang lumalim pa sa pagpapaliwanag ng pangangailangan para sa gayong profile sa kasalukuyang mga katotohanan. Mas maunawaan natin kung paano ito gumagana.
Kapag naitatag na ang isang koneksyon sa TCP, gumagamit ang user ng kahilingang GET para humiling ng nilalaman ng isang partikular na website.
Kung positibong tumugon ang web server, ibabalik nito ang impormasyon tungkol sa website. Dito pumapasok ang web filter. Bine-verify nito ang mga nilalaman ng tugon na ito. Sa panahon ng pag-verify, nagpapadala ang FortiGate ng real-time na kahilingan sa FortiGuard Distribution Network (FDN) upang matukoy ang kategorya ng ibinigay na website. Pagkatapos matukoy ang kategorya ng isang partikular na website, ang web filter, depende sa mga setting, ay nagsasagawa ng isang partikular na aksyon.
May tatlong pagkilos na available sa Flow mode:
- Payagan - payagan ang pag-access sa website
- I-block - i-block ang access sa website
- Monitor - payagan ang pag-access sa website at i-record ito sa mga log
Sa Proxy mode, dalawa pang pagkilos ang idinagdag:
- Babala - bigyan ang user ng babala na sinusubukan niyang bisitahin ang isang partikular na mapagkukunan at bigyan ang user ng pagpipilian - magpatuloy o umalis sa website
- Authenticate - Humiling ng mga kredensyal ng user - nagbibigay-daan ito sa ilang partikular na grupo na ma-access ang mga pinaghihigpitang kategorya ng mga website.
Ang site maaari mong tingnan ang lahat ng mga kategorya at mga subcategory ng web filter, at malalaman din kung saang kategorya nabibilang ang isang partikular na website. At sa pangkalahatan, ito ay isang medyo kapaki-pakinabang na site para sa mga gumagamit ng mga solusyon sa Fortinet, ipinapayo ko sa iyo na mas kilalanin ito sa iyong libreng oras.
Napakakaunti lang ang masasabi tungkol sa Application Control. Tulad ng iminumungkahi ng pangalan, pinapayagan ka nitong kontrolin ang pagpapatakbo ng mga application. At ginagawa niya ito gamit ang mga pattern mula sa iba't ibang mga application, tinatawag na mga lagda. Gamit ang mga lagdang ito, maaari niyang tukuyin ang isang partikular na aplikasyon at maglapat ng isang partikular na aksyon dito:
- Payagan - payagan
- Monitor - payagan at i-log ito
- I-block - ipagbawal
- Quarantine - mag-record ng isang kaganapan sa mga log at harangan ang IP address para sa isang tiyak na oras
Maaari mo ring tingnan ang mga umiiral na lagda sa website .
Ngayon tingnan natin ang mekanismo ng inspeksyon ng HTTPS. Ayon sa mga istatistika sa pagtatapos ng 2018, ang bahagi ng trapiko ng HTTPS ay lumampas sa 70%. Iyon ay, nang hindi gumagamit ng HTTPS inspeksyon, masusuri namin ang halos 30% lamang ng trapiko na dumadaan sa network. Una, tingnan natin kung paano gumagana ang HTTPS sa isang rough approximation.
Ang kliyente ay nagpasimula ng isang kahilingan sa TLS sa web server at tumatanggap ng isang tugon ng TLS, at nakakakita din ng isang digital na sertipiko na dapat pagkatiwalaan para sa user na ito. Ito ang pinakamaliit na kailangan nating malaman tungkol sa kung paano gumagana ang HTTPS; sa katunayan, ang paraan ng paggana nito ay mas kumplikado. Pagkatapos ng matagumpay na TLS handshake, magsisimula ang naka-encrypt na paglipat ng data. At ito ay mabuti. Walang makaka-access sa data na ipinagpapalit mo sa web server.
Gayunpaman, para sa mga opisyal ng seguridad ng kumpanya ito ay isang tunay na sakit ng ulo, dahil hindi nila makita ang trapikong ito at masuri ang mga nilalaman nito alinman sa isang antivirus, o isang sistema ng pag-iwas sa panghihimasok, o mga sistema ng DLP, o anumang bagay. Ito rin ay negatibong nakakaapekto sa kalidad ng kahulugan ng mga application at web resources na ginagamit sa loob ng network - kung ano mismo ang nauugnay sa aming paksa ng aralin. Ang teknolohiya ng inspeksyon ng HTTPS ay idinisenyo upang malutas ang problemang ito. Ang kakanyahan nito ay napaka-simple - sa katunayan, ang isang aparato na nagsasagawa ng inspeksyon ng HTTPS ay nag-oorganisa ng pag-atake ng Man In The Middle. Mukhang ganito: Hinaharang ng FortiGate ang kahilingan ng user, nag-aayos ng koneksyon sa HTTPS dito, at pagkatapos ay nagbubukas ng HTTPS session gamit ang mapagkukunang na-access ng user. Sa kasong ito, ang certificate na ibinigay ng FortiGate ay makikita sa computer ng user. Dapat itong mapagkakatiwalaan para sa browser na payagan ang koneksyon.
Sa katunayan, ang pag-inspeksyon ng HTTPS ay medyo kumplikado at maraming limitasyon, ngunit hindi namin ito isasaalang-alang sa kursong ito. Idaragdag ko lang na ang pagpapatupad ng inspeksyon ng HTTPS ay hindi ilang minuto; karaniwang tumatagal ito ng halos isang buwan. Kinakailangang mangolekta ng impormasyon tungkol sa mga kinakailangang pagbubukod, gawin ang mga naaangkop na setting, mangolekta ng feedback mula sa mga user, at ayusin ang mga setting.
Ang ibinigay na teorya, pati na rin ang praktikal na bahagi, ay ipinakita sa araling video na ito:
Sa susunod na aralin ay titingnan natin ang iba pang mga profile ng seguridad: antivirus at intrusion prevention system. Upang hindi ito makaligtaan, sundan ang mga update sa mga sumusunod na channel:
Pinagmulan: www.habr.com