Bài 8: Data Leak Prevention
-- oOo --
Data Leak Prevention bảo vệ dữ liệu quan trọng khỏi bị đánh cắp. Fortigate sẽ kiểm tra các phần tử có hợp lệ hay không?.
Các bước kiểm tra mà tổ chức an toàn dữ liệu khuyến cáo
- Quan sát và theo dõi các nơi mà dữ liệu bị lỗ hổng
- Hạn chế các đường truyền tải có thể xảy ra lỗ hổng
- Dò xét và loại bỏ dữ liệu bị lỗi
Các loại dữ liệu:
- Text bao gồm các HTML và nội dung Email
- Plaintext nội dung PDF
- Các loại file Ms Office
DLP sensor: sử dụng loc dữ liệu. Thông qua các áp đặt DLP sensor vào Policy dữ liệu sẽ được cho qua hay cấm tùy cấu hình.
DLP Fillter: Mỗi DLP sensor có 1 hay nhiều bộ lọc tùy vào cấu hình. Bộ lọc kiểm tra truyền tải dữ liệu sử dụng DLP fingerprint. Đối với file sẽ kiểm tra tên hay kiểu. Nếu là file lớn thì kiểm tra dung lượng.... Các hành động trong bộ lọc gồm: Log Only, Block, Exempt, Quanrantine User, IP address, interface.
Fingerprint: Cho phép tạo thư viện file để Fortigate kiểm tra. Điều này nghĩa là sẽ tạo 1 checksum fingerprint để xác định loại file và khi file được thực thi trên đường truyền nó sẽ so sánh với fingerprint database.
File Filter: sử dụng danh sách lọc để kiểm tra hệ thống truyền tải mạng đối với file có phù hợp không?.
File Size: Kiểm tra kiểu và dung lượng file
Regular Expression: Firewall Fortigate sẽ kiểm tra truyền tải mạng về các địa chỉ giao thức thông thường.
Lab: Kiểm tra và cấm user gửi mail có file đính kèm có dung lượng > 5Mb
- Cài đặt Firewall Fortigate chạy chế độ Proxy-based
- Enable DLP
B1/ Cấu hình Sensor
- Security Profiles -> Data Leak Prevention -> Add Filter
Cấu hình như trên hình: 5120KB = 512Mb
B2/ Áp dung vào Policy
Test bằng cách gửi 1 file có dung lượng lớn hơn 5Mb và kiểm tra trong Log