Поиск по сайту

Мнение экспертов

23.01.19

Контроль приложений (Application Control)

Введение

FortiGate поддерживает множество функций по обеспечению безопасности сети. Краткое описание профилей безопасности мы рассматривали в прошлой статье. Одна из возможностей защиты сети – контроль приложений, о котором мы и поговорим сегодня.


Текущая ситуация использования приложений и последствия от их применения

Современный интернет невозможно представить без различных приложений: Skype, Google Talk, Gmail и многие другие. Без них продуктивность работы любого предприятия снизится во много раз, а в некоторых случаях и вовсе упадет до нуля. Необходимо понимать, что обычно у любой организации есть список используемых приложений. Они подбираются под нужды предприятия для обеспечения максимального удобства и, в то же время, минимальных затрат.

Но обычно контроля за корпоративными компьютерами сотрудников нет, что приводит к использованию сторонних приложений. Это объясняется нескольким факторами. Иногда работнику просто неудобно использовать приложение, определенное руководством предприятия, поэтому он ищет аналоги. Также бывает, что сотрудник занимается своими делами, например, скачивает фильмы через стороннее приложение.

Такой порядок работы ведет к дополнительной, не предусмотренной нагрузке сети, и, следовательно, к непредвиденным затратам. Результатом также является уменьшение работоспособности персонала, что также негативно влияет на работу предприятия.


Управление приложениями или профиль безопасности Application Control

FortiGate имеет функцию Application Control (управление приложениями), которая применяется как профиль безопасности.

Профиль управления приложениями позволяет определять различные приложения и, в зависимости от настройки, пропускать или блокировать их трафик, а также управлять им.

Application Control использует механизм IPS для определения приложений. Трафик сравнивается с шаблонами передачи данных различных приложений, которые содержатся в базе FortiGate. Если трафик попал под какой-либо шаблон, то приложение определено, и к нему применяется действие, указанное в профиле безопасности.

AC может работать как в режиме прокси, так и в потоковом режиме инспекции (Flow Based). Однако из-за того, что AC использует механизм IPS, инспекция всегда происходит с помощью потоковых приемов. Стоит также упомянуть о том, что если FortiGate настроен в режиме Flow Based, необходимо использовать Profile based режим NGFW (настраивается там же, где режим инспектирования).


Настройка Application Control – первая область – Categories

Перейдем непосредственно к настройке. Для этого откроем меню Security Profiles → Application Control. На этот раз предлагаю попробовать заблокировать Gmail. В качестве тренировки можно попробовать заблокировать какое-либо другое приложение (см. рис. 1).

 

Рисунок 1. Меню настройки default профиля AC.

На рисунке видно несколько областей. Первая — Categories. Здесь шаблоны передачи данных приложений разбиты на категории в зависимости от их предназначения. Чтобы просмотреть список приложений, содержащихся в каждой категории, необходимо правой кнопкой мыши нажать на действие, определенное для данной категории (по умолчанию в большинстве случаев это мониторинг) (см. рис. 2).

 

Рисунок 2. Пример списка приложений.

Теперь необходимо перейти в меню View Signatures, или же в View Cloud Signatures, если вы хотите посмотреть на шаблоны, связанные с облачными приложениями.

Также мы здесь видим действия, доступные для категорий приложений: их можно разрешить, запретить или разрешить и следить за событиями, связанными с ними (Monitor), поместить в карантин.


Настройка Application Control – Вторая область - Application Override

Здесь вы можете выбрать отдельные приложения и применить к ним нужные действия. Это может помочь в той ситуации, когда необходимо разрешить одно или несколько приложений из какой-либо категории, а остальные — запретить. К примеру, вы выбрали приложение, в котором сотрудники будут общаться между собой. А остальные приложения из выбранной категории использоваться не должны.


Настройка Application Control – Третья область — Filter Override

Третью область — Filter Override вы можете использовать в том случае, когда предопределенная категория не соответствует вашим требованиям или вы хотите заблокировать все приложения на основе критериев, недоступных в категориях. Вы можете настроить категоризацию на основе популярности, риска, используемого протокола, поставщика и так далее.

Стоит также упомянуть о порядке сканирования. Если в области Application Override присутствуют шаблоны, сначала проверяются именно они. После этого, при наличии шаблонов в области Filter Override, сканируются они. И в последнюю очередь проверяются категории приложений.


Создание профиля безопасности для блокировки Gmail

С меню разобрались, теперь, как и договаривались ранее, попробуем заблокировать Gmail. Для этого создадим свой профиль безопасности. Назовем его DenyGmail. В области Application Override нажимаем Add Signatures (см. рис. 3).

 

Рисунок 3. Меню.

Для того, чтобы найти Gmail, добавим фильтр Name (см. рис. 4).

 

Рисунок 4. Использование фильтра Name.

Выбрали фильтр, вводим запрос — Gmail (см. рис. 5).

 

Рисунок 5. Результат запроса.

Теперь нажимаем на Use Selected Signatures (см. рис. 6).

 

Рисунок 6. Результат настроек.

Нажимаем Apply. Теперь необходимо применить созданный нами профиль AC к политике безопасности. Важно упомянуть, что для корректной работы AC необходимо к данной политике так же подключить профиль SSL/SSH инспекции — deep inspection. При работе данного профиля возможны проблемы, описанные в статье про SSL/SSH инспекции. Здесь приведу краткое решение.

Для корректной работы необходимо скачать сертификат, расположенный в меню Security Profiles → SSL/SSH Inspection (см. рис. 7).

 

Рисунок 7. Пример скачивания сертификата.

После того, как вы скачали сертификат, необходимо его установить. В зависимости от операционной системы, установка может существенно отличаться. После установки сертификата, deep inspection должна работать корректно.


Заключение

В принципе, AC настраивается довольно просто, но в то же время позволяет гибко конфигурировать сеть. Так что советую не забывать про эту полезную опцию и пользоваться ею для достижения более точечного контроля сети.