Groete! Welkom by die sewende les van die kursus . Op ons het kennis gemaak met sekuriteitsprofiele soos webfiltrering, toepassingsbeheer en HTTPS-inspeksie. In hierdie les gaan ons voort met ons inleiding tot sekuriteitsprofiele. Eerstens sal ons kennis maak met die teoretiese aspekte van die werking van 'n antivirus en inbraakvoorkomingstelsel, en dan sal ons kyk hoe hierdie sekuriteitsprofiele in die praktyk werk.
Kom ons begin met die antivirus. Kom ons bespreek eers die tegnologieë wat FortiGate gebruik om virusse op te spoor:
Antivirus-skandering is die maklikste en vinnigste metode om virusse op te spoor. Dit bespeur virusse wat heeltemal ooreenstem met die handtekeninge vervat in die anti-virus databasis.
Grysware-skandering of ongewenste programskandering – hierdie tegnologie bespeur ongewenste programme wat sonder die gebruiker se medewete of toestemming geïnstalleer word. Tegnies is hierdie programme nie virusse nie. Hulle kom gewoonlik saam met ander programme saam, maar wanneer dit geïnstalleer word, beïnvloed dit die stelsel negatief, en daarom word hulle as wanware geklassifiseer. Dikwels kan sulke programme opgespoor word deur eenvoudige grysware-handtekeninge van die FortiGuard-navorsingsbasis te gebruik.
Heuristiese skandering - hierdie tegnologie is gebaseer op waarskynlikhede, so die gebruik daarvan kan vals positiewe effekte veroorsaak, maar dit kan ook nul-dag-virusse opspoor. Nuldagvirusse is nuwe virusse wat nog nie bestudeer is nie, en daar is geen handtekeninge wat hulle kan opspoor nie. Heuristiese skandering is nie by verstek geaktiveer nie en moet op die opdragreël geaktiveer word.
As alle antivirus-vermoëns geaktiveer is, pas FortiGate dit in die volgende volgorde toe: antivirusskandering, grysware-skandering, heuristiese skandering.
FortiGate kan verskeie anti-virus databasisse gebruik, afhangende van die take:
- Normale antivirusdatabasis (normaal) - vervat in alle FortiGate-modelle. Dit sluit handtekeninge in vir virusse wat die afgelope maande ontdek is. Dit is die kleinste antivirus databasis, so dit skandeer die vinnigste wanneer dit gebruik word. Hierdie databasis kan egter nie alle bekende virusse opspoor nie.
- Uitgebreid - hierdie basis word deur die meeste FortiGate-modelle ondersteun. Dit kan gebruik word om virusse op te spoor wat nie meer aktief is nie. Baie platforms is steeds kwesbaar vir hierdie virusse. Hierdie virusse kan ook probleme in die toekoms veroorsaak.
- En die laaste, uiterste basis (Extreme) - word gebruik in infrastruktuur waar 'n hoë vlak van sekuriteit vereis word. Met sy hulp kan u alle bekende virusse opspoor, insluitend virusse wat op verouderde bedryfstelsels gerig is, wat nie tans wyd versprei word nie. Hierdie tipe handtekeningdatabasis word ook nie deur alle FortiGate-modelle ondersteun nie.
Daar is ook 'n kompakte handtekeningdatabasis wat ontwerp is vir vinnige skandering. Ons sal 'n bietjie later daaroor praat.
Jy kan anti-virus databasisse opdateer met verskillende metodes.
Die eerste metode is Push Update, wat toelaat dat databasisse opgedateer word sodra die FortiGuard-navorsingsdatabasis 'n opdatering vrystel. Dit is nuttig vir infrastruktuur wat 'n hoë vlak van sekuriteit vereis, aangesien FortiGate dringende opdaterings sal ontvang sodra dit beskikbaar is.
Die tweede metode is om 'n skedule op te stel. Op hierdie manier kan jy elke uur, dag of week vir opdaterings kyk. Dit wil sê, hier word die tydsbestek volgens u goeddunke ingestel.
Hierdie metodes kan saam gebruik word.
Maar jy moet in gedagte hou dat jy die antivirusprofiel vir ten minste een brandmuurbeleid moet aktiveer om bywerkings te maak. Andersins sal opdaterings nie gemaak word nie.
Jy kan ook opdaterings van die Fortinet-ondersteuningswerf aflaai en dit dan handmatig na FortiGate oplaai.
Kom ons kyk na die skanderingsmodusse. Daar is net drie van hulle - Volledige modus in vloeigebaseerde modus, vinnige modus in vloeigebaseerde modus, en volle modus in volmagmodus. Kom ons begin met Volmodus in Vloeimodus.
Kom ons sê 'n gebruiker wil 'n lêer aflaai. Hy stuur 'n versoek. Die bediener begin vir hom pakkies stuur waaruit die lêer bestaan. Die gebruiker ontvang onmiddellik hierdie pakkette. Maar voordat hierdie pakkies aan die gebruiker afgelewer word, kas FortiGate hulle. Nadat FortiGate die laaste pakkie ontvang het, begin dit die lêer skandeer. Op hierdie tydstip word die laaste pakkie in die tou gesit en nie aan die gebruiker oorgedra nie. As die lêer nie virusse bevat nie, word die nuutste pakkie na die gebruiker gestuur. As 'n virus opgespoor word, verbreek FortiGate die verbinding met die gebruiker.
Die tweede skanderingsmodus wat beskikbaar is in Flow Based is Quick Mode. Dit gebruik 'n kompakte handtekeningdatabasis, wat minder handtekeninge as 'n gewone databasis bevat. Dit het ook 'n paar beperkings in vergelyking met die volle modus:
- Dit kan nie lêers na die sandbox stuur nie
- Dit kan nie heuristiese analise gebruik nie
- Dit kan ook nie pakkette gebruik wat verband hou met mobiele wanware nie
- Sommige intreevlakmodelle ondersteun nie hierdie modus nie.
Vinnige modus kontroleer ook verkeer vir virusse, wurms, trojane en wanware, maar sonder buffering. Dit bied beter werkverrigting, maar terselfdertyd word die waarskynlikheid verminder om 'n virus op te spoor.
In Proxy-modus is die enigste skanderingsmodus wat beskikbaar is Volmodus. Met so 'n skandering stoor FortiGate eers die hele lêer op homself (tensy natuurlik die toelaatbare lêergrootte vir skandering oorskry word). Die kliënt moet wag vir die skandering om te voltooi. As 'n virus tydens skandering opgespoor word, sal die gebruiker onmiddellik in kennis gestel word. Omdat FortiGate eers die hele lêer stoor en dit dan skandeer, kan dit nogal lank neem. As gevolg hiervan is dit moontlik vir die kliënt om die verbinding te beëindig voordat die lêer ontvang word weens 'n lang vertraging.
Die figuur hieronder toon 'n vergelykingstabel vir skanderingmodusse - dit sal jou help om te bepaal watter tipe skandering geskik is vir jou take. Die opstel en kontrolering van die funksionaliteit van die antivirus word in die praktyk in die video aan die einde van die artikel bespreek.
Kom ons gaan aan na die tweede deel van die les – die inbraakvoorkomingstelsel. Maar om IPS te begin bestudeer, moet jy die verskil tussen uitbuiting en afwykings verstaan, en ook verstaan watter meganismes FortiGate gebruik om daarteen te beskerm.
Uitbuitings is bekende aanvalle met spesifieke patrone wat met behulp van IPS-, WAF- of antivirus-handtekeninge opgespoor kan word.
Afwykings is ongewone gedrag op 'n netwerk, soos 'n buitengewoon groot hoeveelheid verkeer of hoër as normale SVE-verbruik. Afwykings moet gemonitor word omdat dit tekens van 'n nuwe, onontginde aanval kan wees. Anomalieë word gewoonlik opgespoor met behulp van gedragsanalise - sogenaamde koersgebaseerde handtekeninge en DoS-beleide.
Gevolglik gebruik IPS op FortiGate handtekeningbasisse om bekende aanvalle op te spoor, en koersgebaseerde handtekeninge en DoS-beleide om verskeie afwykings op te spoor.
By verstek is 'n aanvanklike stel IPS-handtekeninge by elke weergawe van die FortiGate-bedryfstelsel ingesluit. Met opdaterings ontvang FortiGate nuwe handtekeninge. Op hierdie manier bly IPS doeltreffend teen nuwe uitbuitings. FortiGuard dateer IPS-handtekeninge redelik gereeld op.
’n Belangrike punt wat op beide IPS en antivirus van toepassing is, is dat as jou lisensies verval het, jy steeds die jongste handtekeninge wat ontvang is, kan gebruik. Maar jy sal nie nuwes kan kry sonder lisensies nie. Daarom is die afwesigheid van lisensies uiters ongewens – as nuwe aanvalle verskyn, sal jy jou nie met ou handtekeninge kan beskerm nie.
IPS handtekening databasisse is verdeel in gereelde en uitgebreide. 'n Tipiese databasis bevat handtekeninge vir algemene aanvalle wat selde of nooit vals positiewes veroorsaak nie. Die vooraf gekonfigureerde aksie vir die meeste van hierdie handtekeninge is blok.
Die uitgebreide databasis bevat bykomende aanvalhandtekeninge wat 'n beduidende impak op stelselwerkverrigting het, of wat nie geblokkeer kan word nie as gevolg van hul spesiale aard. As gevolg van die grootte van hierdie databasis, is dit nie beskikbaar op FortiGate-modelle met 'n klein skyf of RAM nie. Maar vir hoogs veilige omgewings moet jy dalk 'n uitgebreide basis gebruik.
Die opstel en kontrolering van die funksionaliteit van IPS word ook in die video hieronder bespreek.
In die volgende les gaan ons kyk na werk met gebruikers. Om dit nie mis te loop nie, volg die opdaterings op die volgende kanale:
Bron: will.com