Application control что это

Обновлено: 17.05.2024

Компании становятся все более зависимыми от приложений в повседневных деловых операциях. Используя веб-приложения, облачные приложения и сторонние приложения, лежащие в основе современных бизнес-процессов, компании сталкиваются с проблемой мониторинга и контроля угроз безопасности данных, работая при этом эффективно и продуктивно. Большинство решений для управления приложениями включают возможности внесения в белый и черный списки, чтобы показать организациям, каким приложениям следует доверять и разрешить их выполнение, а какие – остановить. Благодаря контролю приложений компании любого размера могут устранить риски, связанные с вредоносным, незаконным и несанкционированным программным обеспечением и доступом к сети.

Контроль приложений – это метод обеспечения безопасности, который блокирует или ограничивает выполнение неавторизованных приложений способами, которые подвергают данные риску.

Функции управления различаются в зависимости от бизнес-цели конкретного приложения, но основная цель – помочь обеспечить конфиденциальность и безопасность данных, используемых и передаваемых между приложениями.

Элементы управления приложениями — это особые элементы управления, уникальные для каждого компьютеризированного приложения, такие как расчет заработной платы или обработка заказов.

6. Fortinet Getting Started v6.0. Web Filtering и Application Control

Для того, чтобы начать знакомство с профилями безопасности, нам необходимо разобраться еще с одной вещью — режимами инспекции.

По умолчанию используется Flow Based режим. Он проверяет файлы, когда они проходят через FortiGate без буферизации. Как только пакет пребывает, он обрабатывается и передается дальше, без ожидания получения целого файла или веб страницы. Он требует меньше ресурсов и обеспечивает большую производительность, чем Proxy режим, но в то же время в нем доступен не весь Security функционал. Например, систему предотвращения утечки данных (DLP) можно использовать только в Proxy режиме.
Proxy режим работает по другому. Он создает два TCP соединения, одно между клиентом и FortiGate’ом, второе между FortiGate’oм и сервером. Это позволяет ему буферизировать трафик, т.е получать полный файл или веб страницу. Сканирование файлов на различные угрозы начинается только после того, как забуферизировался весь файл. Это позволяет применять дополнительные возможности, которые недоступны во Flow based режиме. Как видите, этот режим будто бы противоположность Flow Based — безопасность здесь играет главную роль, а производительность отходит на второй план.
Очень часто спрашивают — какой режим лучше? Но здесь нет общего рецепта. Все всегда индивидуально и зависит от ваших потребностей и задач. Я же далее в течение курса постараюсь показать отличия профилей безопасности во Flow и Proxy режимах. Это поможет сравнить функционал и решить, что лучше подойдет вам.

Перейдем непосредственно к профилям безопасности и первым рассмотрим Web Filtering. Он помогает контролировать или отслеживать, какие веб сайты посещают пользователи. Думаю, не стоит углубляться в объяснения необходимости такого профиля в нынешних реалиях. Лучше разберемся, как он работает.

После того, как установлено TCP соединение, пользователь с помощью запроса GET запрашивает содержимое определенного веб сайта.

Если веб сервер отвечает положительно, он отсылает информацию о веб сайте в ответ. Здесь в дело вступает веб фильтр. Он проверяет содержимое данного ответа.Во время проверки FortiGate в режиме реального времени отправляет запрос в FortiGuard Distribution Network (FDN), чтобы определить категорию данного веб сайта. После определения категории конкретного веб сайта, веб фильтр, в зависимости от настроек выполняет конкретное действие.
Во Flow режиме доступно три действия:

• Allow — разрешить доступ к веб сайту
• Block — запретить доступ к веб сайту
• Monitor — разрешить доступ к веб сайту и записать это в логи

• Warning — выдавать пользователю предупреждение о том, что он пытается посетить определенный ресурс и дать пользователю выбор — продолжить или уйти с веб сайта
• Authenticate — запросить учетные данные пользователя — это позволяет разрешить определенным группам доступ к запрещенным категориям веб сайтов.

Про Application Control можно сказать совсем немного. Из названия видно, что он позволяет контролировать работу приложений. А делает он это с помощью паттернов различных приложений, так называемых сигнатур. По этим сигнатурам он может определить конкретное приложение и применить к нему определенное действие:

• Allow — разрешить
• Monitor — разрешить и записать это в логи
• Block — запретить
• Quarantine — записать событие в логи и заблокировать IP адрес на определенное время

Приведенная теория, а также практическая часть представлены в данном видео уроке:

В следующем уроке мы рассмотрим другие профили безопасности: антивирус и систему предотвращения вторжений. Чтобы не пропустить его, следите за обновлениями на следующих каналах:

9. Check Point Getting Started R80.20. Application Control & URL Filtering

Как вы помните, в 7 уроке мы начали обсуждать политику Access Control, однако до сих пор мы затронули лишь блейд Firewall и немного поигрались с NAT-ом. Теперь добавим еще три блейда — Application Control, URL Filtering и Content Awareness.

Application Control & URL Filtering

Теперь что касается базы приложений и сайтов. Посмотреть их можно в SmartConsole через Object Explorer. Там есть для этого специальный фильтр Applications/Categories. Кроме того, есть специальный ресурс — Check Point AppWiki. Там всегда можно посмотреть, есть ли в базе чекпоинта то или иное приложение (ну или ресурс).

Также есть сервис Check Point URL Categorization, там всегда можно проверить, к какой «чекпоинтовской» категории относится тот или иной ресурс. Можно даже запросить смену категории, если вы считаете, что она определяется неправильно.

В остальном с этими блейдами все довольно очевидно. Создаете аксес лист, указываете ресурс/приложение, которое нужно блокировать или наоборот разрешить. На этом все. Чуть позже мы увидим это на практике.

Content Awareness

Не вижу смысла повторяться по этой теме в рамках нашего курса. Я очень подробно расписал и показал это блейд в предыдущем курсе — 3. Check Point на максимум. Content Awareness.

Видео урок

Application control что это

Контроль приложений (Application Control)

FortiGate поддерживает множество функций по обеспечению безопасности сети. Краткое описание профилей безопасности мы рассматривали в прошлой статье. Одна из возможностей защиты сети – контроль приложений, о котором мы и поговорим сегодня.

Текущая ситуация использования приложений и последствия от их применения

Современный интернет невозможно представить без различных приложений: Skype, Google Talk, Gmail и многие другие. Без них продуктивность работы любого предприятия снизится во много раз, а в некоторых случаях и вовсе упадет до нуля. Необходимо понимать, что обычно у любой организации есть список используемых приложений. Они подбираются под нужды предприятия для обеспечения максимального удобства и, в то же время, минимальных затрат.

Но обычно контроля за корпоративными компьютерами сотрудников нет, что приводит к использованию сторонних приложений. Это объясняется нескольким факторами. Иногда работнику просто неудобно использовать приложение, определенное руководством предприятия, поэтому он ищет аналоги. Также бывает, что сотрудник занимается своими делами, например, скачивает фильмы через стороннее приложение.

Такой порядок работы ведет к дополнительной, не предусмотренной нагрузке сети, и, следовательно, к непредвиденным затратам. Результатом также является уменьшение работоспособности персонала, что также негативно влияет на работу предприятия.

Управление приложениями или профиль безопасности Application Control

FortiGate имеет функцию Application Control (управление приложениями), которая применяется как профиль безопасности.

Профиль управления приложениями позволяет определять различные приложения и, в зависимости от настройки, пропускать или блокировать их трафик, а также управлять им.

Application Control использует механизм IPS для определения приложений. Трафик сравнивается с шаблонами передачи данных различных приложений, которые содержатся в базе FortiGate. Если трафик попал под какой-либо шаблон, то приложение определено, и к нему применяется действие, указанное в профиле безопасности.

AC может работать как в режиме прокси, так и в потоковом режиме инспекции (Flow Based). Однако из-за того, что AC использует механизм IPS, инспекция всегда происходит с помощью потоковых приемов. Стоит также упомянуть о том, что если FortiGate настроен в режиме Flow Based, необходимо использовать Profile based режим NGFW (настраивается там же, где режим инспектирования).

Настройка Application Control – первая область – Categories

Перейдем непосредственно к настройке. Для этого откроем меню Security Profiles → Application Control. На этот раз предлагаю попробовать заблокировать Gmail. В качестве тренировки можно попробовать заблокировать какое-либо другое приложение (см. рис. 1).

Рисунок 1. Меню настройки default профиля AC.

На рисунке видно несколько областей. Первая — Categories. Здесь шаблоны передачи данных приложений разбиты на категории в зависимости от их предназначения. Чтобы просмотреть список приложений, содержащихся в каждой категории, необходимо правой кнопкой мыши нажать на действие, определенное для данной категории (по умолчанию в большинстве случаев это мониторинг) (см. рис. 2).

Рисунок 2. Пример списка приложений.

Теперь необходимо перейти в меню View Signatures, или же в View Cloud Signatures, если вы хотите посмотреть на шаблоны, связанные с облачными приложениями.

Также мы здесь видим действия, доступные для категорий приложений: их можно разрешить, запретить или разрешить и следить за событиями, связанными с ними (Monitor), поместить в карантин.

Настройка Application Control – Вторая область - Application Override

Здесь вы можете выбрать отдельные приложения и применить к ним нужные действия. Это может помочь в той ситуации, когда необходимо разрешить одно или несколько приложений из какой-либо категории, а остальные — запретить. К примеру, вы выбрали приложение, в котором сотрудники будут общаться между собой. А остальные приложения из выбранной категории использоваться не должны.

Настройка Application Control – Третья область — Filter Override

Третью область — Filter Override вы можете использовать в том случае, когда предопределенная категория не соответствует вашим требованиям или вы хотите заблокировать все приложения на основе критериев, недоступных в категориях. Вы можете настроить категоризацию на основе популярности, риска, используемого протокола, поставщика и так далее.

Стоит также упомянуть о порядке сканирования. Если в области Application Override присутствуют шаблоны, сначала проверяются именно они. После этого, при наличии шаблонов в области Filter Override, сканируются они. И в последнюю очередь проверяются категории приложений.

Создание профиля безопасности для блокировки Gmail

С меню разобрались, теперь, как и договаривались ранее, попробуем заблокировать Gmail. Для этого создадим свой профиль безопасности. Назовем его DenyGmail. В области Application Override нажимаем Add Signatures (см. рис. 3).

Для того, чтобы найти Gmail, добавим фильтр Name (см. рис. 4).

Рисунок 4. Использование фильтра Name.

Выбрали фильтр, вводим запрос — Gmail (см. рис. 5).

Рисунок 5. Результат запроса.

Теперь нажимаем на Use Selected Signatures (см. рис. 6).

Рисунок 6. Результат настроек.

Нажимаем Apply. Теперь необходимо применить созданный нами профиль AC к политике безопасности. Важно упомянуть, что для корректной работы AC необходимо к данной политике так же подключить профиль SSL/SSH инспекции — deep inspection. При работе данного профиля возможны проблемы, описанные в статье про SSL/SSH инспекции. Здесь приведу краткое решение.

Для корректной работы необходимо скачать сертификат, расположенный в меню Security Profiles → SSL/SSH Inspection (см. рис. 7).

Рисунок 7. Пример скачивания сертификата.

После того, как вы скачали сертификат, необходимо его установить. В зависимости от операционной системы, установка может существенно отличаться. После установки сертификата, deep inspection должна работать корректно.

В принципе, AC настраивается довольно просто, но в то же время позволяет гибко конфигурировать сеть. Так что советую не забывать про эту полезную опцию и пользоваться ею для достижения более точечного контроля сети.

Читайте также:

  
• Как узнать game id cs go
  
• Что желает видеть беовульф перед смертью
  
• Кто озвучивал сиджея в гта сан андреас
  
• Legal alien как воспитать кота
  
• Darksiders 3 digital extras что это