https facebook

Yapılması gereken TMG de olduğu gibi SSL Inpect i açmak. Onuda zaten Protection Profile da Protocol Recognition bölümünden hallediyoruz.

bağlanıp bakacak varmı bu fortiye

Merhaba ,

Bu tarz istek ve bildirimlerin talebi formumuzda  yasaktır.

Teşekkürler.

Savaş bey forti konusunda danışmanlık yapıyor kendisi ile profesyonel olarak görüşebilirsiniz

http://www.f1teknoloji.net/

Fortide nasıl yapılıyor bilmemde,

Genel olarak HTTPS trafikleri taranamaz yapıdadırlar, yani trafik bir şekilde başlar ise kesmenin yolu olmasa gerek. Eğer trafik başldığında kesemiyorsak bir şekilde bu tarafiğin başlamasına engel olmamız lazım. IDS ve IPS yapılarında SSL, ve Secure bağlantılar yapan bir çok sistem için güvenlik önlemleri var ama https bağlantı yapılacak bir FQDN adına ilişkin bir imza olmasa gerek. HTTPS bağlantılarında ağa kapatmak olmaz. Bankası var, mail sitesi var.

O zaman bu tür bir bağlantıyı iki yolla keseriz, bir facebook.com alan adının sorgusunu kesebiliriz ki, cihazın FQDN adlarına ilişkin kural yazması lazım profesyonel routerlar bunu desteklemez gibi me geliyor neme lazım DNS poisoning filan oluşur, e o zaman en mantıklı yol IP bazında kesmek olacaktır. nslookup ile isimleri sorgulatıp, bu IP adreslerıne gıdısı kapatmak yeterlı olsa gerek. Tabi proxy çıkışlarınıda kapatmak lazım ki gidilen yer başka IP gösterilip aslında facebook da cocukluk arkadaşları aranmasın.

merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar

şirketimizden Kemal Bey size müdahele ettiğini ve sorunuzu çözdüğünüzü söyledi.
konu ile ilgili bilgilendirirmisiniz ?
selamlar

merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar

 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?

Bazı arkadaşların belirttiği gibi fazla detaya inmeye gerek yok.

SSL inspect ile ilgili ufak çaplı bir araştırma ile sorunun çözülecektir.

Saygılarımla

merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar

 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?

https trafiğini taradığı için ip olarakta gitseniz kesecektir.selamlar

Sarp Bey, şimdi sizin için bu işler kolay tabi ki. Tabi biz öğrenmeye çalışıyoruz, aslında konu hakkında ki bilgilerinizi bizimle paylaşsanız güzel olurdu.

merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar

 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?

https trafiğini taradığı için ip olarakta gitseniz kesecektir.selamlar

Savaş Bey, yapıyı kurarken; HTTPS trafiği içinde facebook yakalar isen  kesmi diyorsunuz yoksa HTTPS trafinğini mi kesiyorsunuz. Sonuçta ben IP yazdığımda ve HTTPS trafiğini başlattığımda trafik bir kez sertfikalı hale gelir ise o andan sonrasını hiç bir cihazın görememesi lazım. Yok eğer görüyor ise bankalarda ve HTTPS trafikli sistemlerin hiçbirisinde güvenlik kalmamış demektir.

Eğer ben IP ile facebook adresine gider isem benim gönderdiğim paket içerisinde facebook.com ibarisi olmayacaktır, ilk paketten sonra sertifikalı yapıye geçer isem ondan sonrasında data içeriği okunamaz diye biliyorum, ama kesin çözüm olarak facebook ıplerini versem ve bu ıplere HTTPS reguest Vx leri kes dersem zaten IP istinaden bir HTTPS isteği yapamıyacağım için datamı HTTP ile açık göndermem lazım, bunuda her şekilde keserim gibime geliyor.

Konu ile ilgilendiğiniz için teşekkürler.

fortiguard web filtering bir hizmettir ve bu hizmette hangi ip adresi hangi category ait bilinmektedir.dolayısı ile siz fortiguard web filteringi aktif ettiğiniz anda ve categorylerden personel releationship i engellediğiniz zaman sizin facebook veya siberalem gibi kişisel tanışma sitelerine yapacağınız istek önce fortigate e gelecek bu isteği fortigate sorgulayacak ve izinli categoride ise izin verecek.

bankalardaki https trafiğinin içine baktığına dair ben bir şey söylemedim , şayet öyle olsa çok kişinin canı yanardı,https trafiğini fortigate dışında websense ilede denetim altına alabilirsiniz.denetimden kastım incelemek değil !!!. https olarak gidilecek sayfalar categori bazında izinli ise pass et değilse engelle diye.

Şimdi daha anlaşılır oldu, teşekkürler Savaş Bey. Yazılanlardan sanki HTTPS içeriği incelenebiliyormuş gibi bir hava çıktı. Elbette web content hizmeti ile rahatlıkla kesilebilir.

Teşekkürler.

güzel paylaşım oldu bu post..

bu posta emeği geçen herkese teşekkürler

Savaş beyin bahsettiği  Websense konusu ile ilgili herhangi bir konuda yardıma ihtiyacı olan kişi hiç çekinmeden bana danışabilir.

Websense sertifikasyonuna sahip değilim ama çalıştığım yer gerekse pozisyonum gereği uzmanlığım Websense üzerinedir. WSS   WSG gibi konularda Türkiyenin her yerinde danışmanlık hizmeti veriyorum zaten.

Bilginize ve Saygılarımla

Bir de ek olarak HTTPS trafiğinin içeriğini de Man In The Middle (Ortadaki Kişi diye çevireyim) yöntemi kullanarak inceleyen/filtreleyen cihazlar var (örneğin Cisco Ironport).

Mesela banka ile HTTPS bağlantı kurmak istediğinizde aslında bu cihaz ile kuruyorsunuz bağlantıyı, o da banka ile HTTPS bağlantı kurup sizin isteğinizi iletiyor, ortadaki kişi oluyor yani cihaz. İki taraftaki iletişim de HTTPS olduğu için güvenlik de geçerli kalıyor.

TMG de aynı özelliği sunuyor.