教程篇(5.4) NSE4 20. 数据防泄露 ❀ 飞塔 (Fortinet) 网络安全专家

在这节课中将学习如何防止重要的私人数据（例如银行账户路由号码和信用卡号码）离开你的网络，不适当的传输。

　　一些遵从性机制要求数据泄漏预防，例如PCI DSS和HIPAA，但是其他的网络也可能发现它有助于防止学生作弊。




在本课程结束后，你应该具备实施数据泄漏预防(DLP)所需的实际技能。这些技能包括知道何时使用DLP，知道如何监视特定的数据类型，以及如何配置DLP过滤器和传感器。




FortiGate还有其他一些功能，比如IPS和反病毒，可以检测和拦截文件。是什么让DLP不同?你为什么要用它?

　　传统的防火墙和第一代UTM的设计是为了防止攻击和入侵进入你的网络。Web过滤仅适用于进入的流量。同样地，尽管在两个方向上都有最好的应用，但很多人只在流量中使用防病毒和电子邮件过滤。

　　DLP阻止了特定数据的退出。

　　离开你的网络的流量如何影响安全性?

　　同事们经常在你的网络中分享敏感文件。服务器之间也共享敏感信息，这些服务器协同工作以托管单个应用程序。但是，如果像金融信息这样的敏感数据变得公开，它可能会产生严重的影响。股票价格、银行交易、隐私和密码安全都可能受到影响。

　　DLP帮助确保你的网络遵循真实世界组织所要求的规则，并且不提供重要的信息。




那么DLP是如何工作的呢?

　　FortiGate从你指定的DLP模式，扫描你的防火墙策略匹配的流量。

　　当你配置一个模式时，无论是预定义的还是自定义的，DLP不会直接检查流量。相反，它将模式与代理或IPS引擎的进程进行通信，后者进行扫描。因此，当你正在进行故障排除时，你可能需要通过你没有手动启用的模块来调查流量。

　　如果扫描找到匹配，它就执行过滤器相应的操作。在这里的示例中，前两个过滤器与文件不匹配，但是第三个过滤器执行了，所以FortiGate执行了它的操作。




现在我们已经讨论了DLP，让我们来看看一些细节，比如如何在DLP传感器中添加过滤器。最初，我们将使用一些默认的文件过滤器和消息模式。稍后，我们将展示如何定制和扩展它们。大多数DLP行为依赖于过滤器类型，稍后我们将深入研究。现在，让我们看一下服务检查和操作。

　　首先，你需要更改GUI菜单设置来显示DLP(默认情况下是隐藏的)。你可以从功能选择页面进行此工作。然后，进入安全配置文件下的DLP子菜单，创建一个DLP传感器。在里面添加一个过滤器。

　　在每个过滤器中，我们将指定：

匹配标准

要扫描的协议

当流量匹配时，FortiGate将会应用

　　注意，DLP只在代理模式虚拟域(VDOM)中可用。

　　在检查以下服务区域时，选择应该扫描哪些网络协议。与其他安全特性一样，安全协议不在可扫描网络服务的列表中。但是，如果你启用了SSL/SSH检查(特别是深度检查)，那么FortiGate将扫描你选择的每一个协议和它的安全等价物。例如，如果你标记了HTTP的复选框，那么FortiGate将扫描HTTP和HTTPS。更多关于深度检查的信息可以在有关证书的操作课程中获得。

　　注意：FortiOS载体模型也检查MMS服务(MM1，MM3，MM4，MM7)。




对于DLP传感器中的每个过滤器，你必须选择一个动作，也就是如果流量匹配的话应该做什么。

　　默认设置仅为日志。如果你不确定要选择哪个操作，那么默认设置可能是有用的。当你研究你的网络时，使用这个动作来看看哪些敏感信息正在被传送。稍后，你可以调整你的传感器，并选择最合适的动作来阻止来自WAN的敏感文件。




现在让我们回到过滤器的顶部，这是配置中更复杂的部分。选择类型：要么是消息，要么是文件。大多数其他可用的选项取决于最初的选择。

　　消息会扫描直接嵌入协议的文字、信用卡号码或其他基于文本的模式，而不是作为文件。有两个预配置的消息过滤器可用：信用卡和SSN。

　　如果预定义的DLP模式与你想要的完全不匹配，你可以使用正则表达式选项来配置你自己的自定义模式。使用PCRE语法。使用复杂的图灵完全表达式的表达式和性能在正则表达式引擎中总是不同的。因此，如果你正在寻找参考资料，请特别关注PCRE，而不是其他的，例如类似命名的Perl语言。

　　文件更改了适合文件的可用选项，例如文件大小、指纹和水印。




在本例中，我们使用预先配置的消息过滤器来阻止信用卡号离开网络。块操作停止了违规通信，但它也生成了一个日志，你以在转发流量日志中查看它。日志提供诸如安全事件、结果和防火墙策略之类的信息。选择日志以获得更多的详细信息。

　　Details选项卡提供有关源、目标和操作的更多信息，以命名一些信息。Security选项卡提供了额外的信息，比如过滤器类型、过滤器类别和DLP过滤器索引。




让我们看一下特定于文件的子过滤器。

　　文件名模式是直观的。如果一个文件名匹配字面上的匹配，或者匹配这个模式，那么FortiGate将执行这个动作。

　　如果一个重要的文件名不同(用户经常试图通过将文件重命名为一个无害的名字来逃避DLP)，那么你应该使用模式，而不是字面的文件名。配置FortiGate以匹配所有预期的文件名，但不会有意外的文件名。例如，浏览器经常重命名重复文件名的下载，以防止意外地覆盖现有的不同的、但相同的命名的文件。例如,它们会在文件扩展名之前添加(2)。同样地，Windows重命名文件的副本，以便它们从副本开始。因此，应该使用名称模式，比如nice*.jpg，不是文字的文件名，而是nicepainting.jpg。

　　这里的示例显示哪些过滤器将匹配文件名，哪些过滤器将不匹配。

　　但是，如果文件名不匹配任何模式，该怎么办呢?如果文件名完全不同，那么一个宽泛的模式会导致错误的阳性结果呢?例如，如果我们想要阻止所有可执行文件，而不考虑名称或平台，又该怎么办呢?






对于非常敏感的数据，单独的文件名匹配通常是不够的。你可能想要一个更复杂的过滤器。一种选择是使用文件类型匹配。

　　文件类型匹配的行为如你所期望的那样。FortiGate不能通过扩展名来识别文件类型(例如，.doc)。这是因为用户可以通过简单地重命名扩展来绕过DLP。相反，通过扫描匹配的二进制模式来识别文件类型；就是说，文件类型如何在特定的区域存储数据，以特定的模式1和0的方式存储数据。然而，为了使用这种精确的技术，必须有一个对应的解码器来理解二进制数据源。如果没有一个解码器，FortiGate就不能解码一串0和1的字符串，因此不能识别文件类型。






如果你为过滤器选择了一个文件类型，并选择指定的文件类型选项，那么文件类型和文件名模式设置就可以使用了。

　　文件类型扫描文件内容，而不考虑文件名或扩展名。即使文件以不同的扩展名重新命名，DLP仍然会检测到它。它有一个相应的下拉菜单，您可以选择要扫描的文件类型。

　　文件名模式扫描文件的名称。它是手动配置。

　　下面是一个与所有Microsoft Office文件相匹配的示例文件过滤表。注意，为了做到这一点，表必须包含这两种类型的子过滤器。这是因为：

旧版本的Office使用二进制文件格式，可通过二进制文件类型扫描识别。

Office 2010和更新的文件不是二进制文件，而是ZIP归档文件。它们实际上是一个ZIP归档中的XML文件。这是在微软网站上的文档(参见链接)。

　　需要注意的是，由于Office 2010和更新使用了嵌套的文件类型，如果你使用文件类型过滤器，那么过滤器将匹配任何ZIP文件，而不仅仅是Office文件。这是一个常见的DLP错误配置。因此，为了避免使用Office 2010和更新的假阳性，默认的配置文件会通过文件扩展来匹配。但是请注意，权衡是可能的假阴性。






让我们回到我们的DLP传感器的过滤器。当扫描文件时，类型和名称不是我们唯一的选择。在大多数网络中，通常不可以选择屏蔽所有的Microsoft Office文件，如果用户试图绕过，那么以文件名进行阻塞是无效的。那么，我们还有什么别的选择呢?

　　FortiGate可以使用一种基于内容的过滤器，称为文档指纹。文档指纹识别使用一个或多个CRC校验和来识别特定的文件。你可以同时在许多文件上应用这种基于内容的过滤器，包括大型文件。

　　文档指纹的准确程度如何?DLP将计算和存储多少个校验和?

　　该文件本身并不存储在FortiGate，只有块的校验和。更小的块意味着对每个文件计算更多的校验和，而DLP将更精确地指纹。也就是说，即使有人在一些地方修改了文件，指纹识别仍然能够识别它，因为其他块的校验和仍然匹配。这样做的代价是，更多的校验和需要更多的存储空间。因此，你必须在性能和准确度之间做出最佳的平衡。

　　注意：文档指纹特性需要一个带有内部存储的防御工事。






在你在DLP传感器中配置任何指纹过滤器之前，先考虑一下你是否想要定制敏感级别的标签。例如，你可以创建一个名为Finance的自定义敏感级别。在配置指纹过滤器时，你可以使用财务敏感级别来标记所有与金钱相关的指纹。

　　敏感性水平有两个影响：

它会出现在日志文件中

当你在DLP传感器中配置每个过滤器时，你将通过指定一个敏感级别来选择文件过滤器将使用的指纹。所有具有敏感性水平的指纹都会被包含在这个过滤器中。






一旦你定义了任何自定义敏感级别，你就可以为网络共享文档定义你的指纹了。

　　通过使用CLI，你可以配置FortiGate，以连接到文件共享，或者是每天、每周或每月。每当它连接时，FortiGate就可以自动地为共享的所有文件重新创建校验和，或者保留旧的指纹(以防旧版本的文件仍在流通)。

　　通过文件共享，你可以添加许多文件，并为每一个添加或修改更新指纹。在配置时，选择哪个敏感级别的防御层将用于标记这些指纹。






在配置了指纹识别和网络共享之后，下一步是配置DLP传感器的过滤器。

　　在DLP传感器中，从CLI为过滤器启用了指纹识别功能(配置)，这允许你选择敏感级别。一旦你在DLP传感器中通过CLI设置〖set filter-by fingerprint〗配置了一个过滤器，就可以在GUI中显示File Finger Print选项。从File Finger Print下拉菜单中，你可以选择过滤器是否使用关键的、私有的、警告的，或者你自己的自定义的指纹组，根据他们的敏感度等级标签。

　　DLP将扫描和检查这些规则(过滤器)，从上到下的指纹匹配。当DLP以块的格式存储文件校验和时，它会检测到指纹文件从原始文件中改变，并按照DLP传感器中定义的动作进行操作。

　　〖diagnose test application dlpfingerprint〗命令提供了许多选项，可以查看统计数据、转储所有数据块或刷新所有的VDOM中的所有文档源。






现在我们已经在DLP传感器中配置了几个过滤器。继续使用更多的过滤器，直到传感器匹配它所需要的所有流量，但不会在无意中匹配。最后，使用DLP传感器在防火墙策略中选择它。

　　下面是一个带有几个过滤器的DLP传感器示例。每个过滤器都搜索不同类型的敏感信息，比如信用卡号或指纹。如果流量匹配一个过滤器，那么FortiGate将应用该过滤器的动作。

　　记住，DLP过滤器是按顺序从上到下进行匹配的，而FortiGate则使用第一个匹配的过滤器。例如，假设一个电子邮件包含一个信用卡号(它过滤序列1表示要阻塞)，但也有敏感的文本(过滤序列5表示要记录，但允许)。FortiGate只会使用第一个过滤器：邮件会被封，不被允许。






到目前为止，我们已经展示了DLP阻塞或监控敏感数据。DLP还能做什么?

　　它可以记录流量总结，也就是日志，如果启用的话，还可以记录流量中包含的完整文件和消息。

　　如果你熟悉旧版本的增强版的内容存档，你将会在这里识别汇总归档和完整的归档。

　　摘要存档记录了一个日志消息，它总结了通信量，因此会因协议而异。例如，使用电子邮件消息，摘要存档将包含发送者的电子邮件地址、收件人的电子邮件地址和大小。当用户访问Web时，FortiGate将记录他们访问过的每一个URL。






完整的归档记录了摘要日志，但是完整的电子邮件消息，包括任何附件，也被归档。当用户访问Web时，用户访问的每一个页面都会被归档。

　　这在法医调查中很有用；然而，这并不意味着长期使用。根据你正在归档的内容，完整的归档可能需要大量的FortiGate磁盘、CPU和RAM资源，这会降低性能。

　　例如，如果你完全DLP归档一个100 MB的文件，那么FortiGate将存储超过100 MB的数据，它存储在网络传输过程中使用的数据加上以太网、IP和其他头文件，加上日志消息。因此，它需要略多于100 MB的存储空间。它还需要RAM和CPU，直到它把文件写到硬盘上。完整的DLP存档也消耗了其他UTM特性可能需要的磁盘空间。

　　因此，出于性能方面的考虑，最好使用一个FortiAnalyzer或外部存储设备。

　　如果你需要检查和存档电子邮件，尤其是长时间的邮件，那么，FortiMail可能是一个更好的选择。它有本地存档，加上反垃圾邮件、安全消息和其他深度特性，而这是FortiGate的SMTP代理无法支持的。






复习一下在这节课上所讨论的主题。我们讨论了：

何时使用DLP

使用消息过滤器和文件过滤器检测敏感数据之间的差异

配置DLP传感器和过滤器

DLP指纹是如何工作的

DLP可以记录的日志和流量内容

飞塔技术 - 老梅子   QQ：57389522