Lời chào hỏi! Chào mừng đến với bài học thứ sáu của khóa học . Trên chúng tôi đã nắm vững những kiến thức cơ bản khi làm việc với công nghệ NAT trên và cũng đã đưa người dùng thử nghiệm của chúng tôi lên Internet. Bây giờ là lúc phải quan tâm đến sự an toàn của người dùng trong không gian mở của mình. Trong bài học này, chúng ta sẽ xem xét các cấu hình bảo mật sau: Lọc Web, Kiểm soát ứng dụng và kiểm tra HTTPS.
Để bắt đầu với hồ sơ bảo mật, chúng ta cần hiểu một điều nữa: các chế độ kiểm tra.
Mặc định là chế độ Flow Based. Nó kiểm tra các tập tin khi chúng đi qua FortiGate mà không cần đệm. Khi gói đến, nó sẽ được xử lý và chuyển tiếp mà không cần đợi nhận được toàn bộ tệp hoặc trang web. Nó yêu cầu ít tài nguyên hơn và cung cấp hiệu suất tốt hơn chế độ Proxy, nhưng đồng thời, không phải tất cả chức năng Bảo mật đều có sẵn trong đó. Ví dụ: Ngăn chặn rò rỉ dữ liệu (DLP) chỉ có thể được sử dụng ở chế độ Proxy.
Chế độ proxy hoạt động khác nhau. Nó tạo ra hai kết nối TCP, một kết nối giữa máy khách và FortiGate, kết nối thứ hai giữa FortiGate và máy chủ. Điều này cho phép nó đệm lưu lượng truy cập, tức là nhận được một tệp hoặc trang web hoàn chỉnh. Việc quét các tệp để tìm các mối đe dọa khác nhau chỉ bắt đầu sau khi toàn bộ tệp đã được lưu vào bộ đệm. Điều này cho phép bạn sử dụng các tính năng bổ sung không có sẵn trong chế độ dựa trên Flow. Như bạn có thể thấy, chế độ này có vẻ trái ngược với Flow Based - bảo mật đóng vai trò chính ở đây và hiệu suất chiếm vai trò thứ yếu.
Mọi người thường hỏi: chế độ nào tốt hơn? Nhưng không có công thức chung ở đây. Mọi thứ luôn mang tính cá nhân và phụ thuộc vào nhu cầu và mục tiêu của bạn. Ở phần sau của khóa học, tôi sẽ cố gắng chỉ ra sự khác biệt giữa các cấu hình bảo mật ở chế độ Flow và Proxy. Điều này sẽ giúp bạn so sánh chức năng và quyết định cái nào là tốt nhất cho bạn.
Hãy chuyển trực tiếp đến cấu hình bảo mật và trước tiên hãy xem Lọc Web. Nó giúp giám sát hoặc theo dõi những trang web mà người dùng truy cập. Tôi nghĩ không cần phải đi sâu giải thích sự cần thiết của một hồ sơ như vậy trong thực tế hiện nay. Chúng ta hãy hiểu rõ hơn về cách nó hoạt động.
Sau khi kết nối TCP được thiết lập, người dùng sẽ sử dụng yêu cầu GET để yêu cầu nội dung của một trang web cụ thể.
Nếu máy chủ web phản hồi tích cực, nó sẽ gửi lại thông tin về trang web. Đây là lúc bộ lọc web phát huy tác dụng. Nó xác minh nội dung của phản hồi này. Trong quá trình xác minh, FortiGate gửi yêu cầu theo thời gian thực tới Mạng phân phối FortiGuard (FDN) để xác định danh mục của trang web nhất định. Sau khi xác định danh mục của một trang web cụ thể, bộ lọc web, tùy thuộc vào cài đặt, sẽ thực hiện một hành động cụ thể.
Có ba hành động có sẵn trong chế độ Flow:
- Allow - cho phép truy cập vào website
- Block - chặn truy cập vào website
- Giám sát - cho phép truy cập vào trang web và ghi lại vào nhật ký
Trong chế độ Proxy, hai hành động nữa được thêm vào:
- Cảnh báo - đưa ra cảnh báo cho người dùng rằng anh ta đang cố truy cập một tài nguyên nhất định và cho người dùng lựa chọn - tiếp tục hoặc rời khỏi trang web
- Xác thực - Yêu cầu thông tin xác thực của người dùng - điều này cho phép một số nhóm nhất định truy cập vào các danh mục trang web bị hạn chế.
Trang web bạn có thể xem tất cả các danh mục và danh mục phụ của bộ lọc web, đồng thời tìm ra danh mục mà một trang web cụ thể thuộc về. Và nói chung, đây là một trang web khá hữu ích cho người dùng các giải pháp của Fortinet, tôi khuyên bạn nên tìm hiểu kỹ hơn về nó khi rảnh rỗi.
Có rất ít điều có thể nói về Kiểm soát ứng dụng. Đúng như tên gọi, nó cho phép bạn kiểm soát hoạt động của các ứng dụng. Và anh ấy thực hiện điều này bằng cách sử dụng các mẫu từ nhiều ứng dụng khác nhau, được gọi là chữ ký. Sử dụng những chữ ký này, anh ta có thể xác định một ứng dụng cụ thể và áp dụng một hành động cụ thể cho nó:
- Cho phép - cho phép
- Giám sát - cho phép và ghi lại điều này
- Chặn - cấm
- Cách ly - ghi lại một sự kiện vào nhật ký và chặn địa chỉ IP trong một thời gian nhất định
Bạn cũng có thể xem chữ ký hiện có trên trang web .
Bây giờ chúng ta hãy xem cơ chế kiểm tra HTTPS. Theo thống kê cuối năm 2018, tỷ trọng lưu lượng truy cập HTTPS đã vượt quá 70%. Nghĩa là, nếu không sử dụng tính năng kiểm tra HTTPS, chúng tôi sẽ chỉ có thể phân tích khoảng 30% lưu lượng truy cập đi qua mạng. Trước tiên, hãy xem cách HTTPS hoạt động một cách gần đúng.
Máy khách bắt đầu yêu cầu TLS tới máy chủ web và nhận được phản hồi TLS, đồng thời nhìn thấy chứng chỉ kỹ thuật số phải đáng tin cậy đối với người dùng này. Đây là điều tối thiểu mà chúng ta cần biết về cách thức hoạt động của HTTPS; trên thực tế, cách thức hoạt động của nó phức tạp hơn nhiều. Sau khi bắt tay TLS thành công, quá trình truyền dữ liệu được mã hóa sẽ bắt đầu. Và điều này là tốt. Không ai có thể truy cập dữ liệu bạn trao đổi với máy chủ web.
Tuy nhiên, đối với các nhân viên bảo mật của công ty, đây thực sự là một vấn đề đau đầu vì họ không thể nhìn thấy lưu lượng truy cập này và kiểm tra nội dung của nó bằng phần mềm chống vi-rút, hệ thống ngăn chặn xâm nhập hoặc hệ thống DLP hoặc bất cứ thứ gì. Điều này cũng ảnh hưởng tiêu cực đến chất lượng định nghĩa của các ứng dụng và tài nguyên web được sử dụng trong mạng - chính xác là những gì liên quan đến chủ đề bài học của chúng ta. Công nghệ kiểm tra HTTPS được thiết kế để giải quyết vấn đề này. Bản chất của nó rất đơn giản - trên thực tế, một thiết bị thực hiện kiểm tra HTTPS sẽ tổ chức một cuộc tấn công Man In The Middle. Nó trông giống như thế này: FortiGate chặn yêu cầu của người dùng, tổ chức kết nối HTTPS với yêu cầu đó và sau đó mở phiên HTTPS với tài nguyên mà người dùng đã truy cập. Trong trường hợp này, chứng chỉ do FortiGate cấp sẽ hiển thị trên máy tính của người dùng. Nó phải được tin cậy để trình duyệt cho phép kết nối.
Trên thực tế, việc kiểm tra HTTPS là một việc khá phức tạp và có nhiều hạn chế, nhưng chúng ta sẽ không xem xét vấn đề này trong khóa học này. Tôi chỉ nói thêm rằng việc thực hiện kiểm tra HTTPS không phải là vấn đề trong vài phút; thường mất khoảng một tháng. Cần thu thập thông tin về các trường hợp ngoại lệ cần thiết, thực hiện cài đặt phù hợp, thu thập phản hồi từ người dùng và điều chỉnh cài đặt.
Lý thuyết đã cho cũng như phần thực hành được trình bày trong bài học video này:
Trong bài học tiếp theo chúng ta sẽ xem xét các cấu hình bảo mật khác: hệ thống chống vi-rút và ngăn chặn xâm nhập. Để không bỏ lỡ, hãy theo dõi cập nhật trên các kênh sau:
Nguồn: www.habr.com