تحيات! مرحبا بكم في الدرس السابع من الدورة . في لقد تعرفنا على ملفات تعريف الأمان مثل تصفية الويب والتحكم في التطبيقات وفحص HTTPS. سنواصل في هذا الدرس تقديمنا لملفات تعريف الأمان. أولاً، سوف نتعرف على الجوانب النظرية لتشغيل نظام مكافحة الفيروسات ومنع التسلل، ثم سننظر في كيفية عمل ملفات تعريف الأمان هذه عمليًا.
لنبدأ ببرنامج مكافحة الفيروسات. أولاً، دعونا نناقش التقنيات التي يستخدمها FortiGate للكشف عن الفيروسات:
يعد فحص مكافحة الفيروسات أسهل وأسرع طريقة لاكتشاف الفيروسات. يكتشف الفيروسات التي تتطابق تمامًا مع التوقيعات الموجودة في قاعدة بيانات مكافحة الفيروسات.
فحص البرامج الرمادية أو فحص البرامج غير المرغوب فيها - تكتشف هذه التقنية البرامج غير المرغوب فيها التي يتم تثبيتها دون علم المستخدم أو موافقته. من الناحية الفنية، هذه البرامج ليست فيروسات. عادةً ما تأتي هذه البرامج مرفقة مع برامج أخرى، ولكن عند تثبيتها فإنها تؤثر سلبًا على النظام، ولهذا السبب يتم تصنيفها على أنها برامج ضارة. غالبًا ما يمكن اكتشاف مثل هذه البرامج باستخدام توقيعات البرامج الرمادية البسيطة من قاعدة أبحاث FortiGuard.
المسح الإرشادي - تعتمد هذه التقنية على الاحتمالات، لذا فإن استخدامها يمكن أن يسبب تأثيرات إيجابية كاذبة، ولكنه يمكنه أيضًا اكتشاف فيروسات اليوم الصفري. فيروسات اليوم الصفري هي فيروسات جديدة لم تتم دراستها بعد، ولا توجد أي توقيعات يمكنها اكتشافها. لا يتم تمكين المسح الإرشادي افتراضيًا ويجب تمكينه في سطر الأوامر.
إذا تم تمكين جميع إمكانات مكافحة الفيروسات، فإن FortiGate يطبقها بالترتيب التالي: فحص مكافحة الفيروسات، وفحص البرامج الرمادية، والمسح الإرشادي.
يمكن لـ FortiGate استخدام العديد من قواعد بيانات مكافحة الفيروسات، اعتمادًا على المهام:
- قاعدة بيانات عادية لمكافحة الفيروسات (عادية) - موجودة في جميع نماذج FortiGate. ويتضمن التوقيعات للفيروسات التي تم اكتشافها في الأشهر الأخيرة. هذه هي أصغر قاعدة بيانات لمكافحة الفيروسات، لذا فهي تفحص بشكل أسرع عند استخدامها. ومع ذلك، لا يمكن لقاعدة البيانات هذه اكتشاف كافة الفيروسات المعروفة.
- ممتد - هذه القاعدة مدعومة في معظم موديلات FortiGate. ويمكن استخدامه للكشف عن الفيروسات التي لم تعد نشطة. لا تزال العديد من المنصات عرضة لهذه الفيروسات. كما أن هذه الفيروسات يمكن أن تسبب مشاكل في المستقبل.
- والقاعدة الأخيرة المتطرفة (المتطرفة) - تُستخدم في البنى التحتية التي تتطلب مستوى عالٍ من الأمان. بمساعدتها، يمكنك اكتشاف جميع الفيروسات المعروفة، بما في ذلك الفيروسات التي تستهدف أنظمة التشغيل القديمة، والتي لا يتم توزيعها على نطاق واسع في الوقت الحالي. هذا النوع من قاعدة بيانات التوقيع غير مدعوم أيضًا في جميع طرز FortiGate.
هناك أيضًا قاعدة بيانات مدمجة للتوقيعات مصممة للمسح السريع. سنتحدث عن ذلك بعد قليل.
يمكنك تحديث قواعد بيانات مكافحة الفيروسات باستخدام طرق مختلفة.
الطريقة الأولى هي Push Update، والتي تسمح بتحديث قواعد البيانات بمجرد أن تقوم قاعدة بيانات أبحاث FortiGuard بإصدار تحديث. وهذا مفيد للبنى التحتية التي تتطلب مستوى عالٍ من الأمان، حيث ستتلقى FortiGate تحديثات عاجلة بمجرد توفرها.
الطريقة الثانية هي تحديد جدول زمني. بهذه الطريقة يمكنك التحقق من التحديثات كل ساعة أو يوم أو أسبوع. وهذا هو، هنا يتم تعيين النطاق الزمني حسب تقديرك.
يمكن استخدام هذه الطرق معًا.
ولكن عليك أن تضع في اعتبارك أنه لكي يتم إجراء التحديثات، يجب عليك تمكين ملف تعريف مكافحة الفيروسات لسياسة جدار حماية واحدة على الأقل. وإلا فلن يتم إجراء التحديثات.
يمكنك أيضًا تنزيل التحديثات من موقع دعم Fortinet ثم تحميلها يدويًا إلى FortiGate.
دعونا نلقي نظرة على أوضاع المسح. لا يوجد سوى ثلاثة منها - الوضع الكامل في الوضع المستند إلى التدفق، والوضع السريع في الوضع المستند إلى التدفق، والوضع الكامل في الوضع الوكيل. لنبدأ بالوضع الكامل في وضع التدفق.
لنفترض أن المستخدم يريد تنزيل ملف. يرسل طلبا. يبدأ الخادم بإرسال الحزم التي يتكون منها الملف إليه. يتلقى المستخدم هذه الحزم على الفور. ولكن قبل تسليم هذه الحزم إلى المستخدم، يقوم FortiGate بتخزينها مؤقتًا. بعد أن يتلقى FortiGate الحزمة الأخيرة، يبدأ في فحص الملف. في هذا الوقت، يتم وضع الحزمة الأخيرة في قائمة الانتظار ولا يتم نقلها إلى المستخدم. إذا كان الملف لا يحتوي على فيروسات، فسيتم إرسال أحدث حزمة إلى المستخدم. إذا تم اكتشاف فيروس، يقوم FortiGate بقطع الاتصال بالمستخدم.
وضع المسح الثاني المتوفر في Flow Based هو الوضع السريع. ويستخدم قاعدة بيانات توقيع مدمجة، والتي تحتوي على توقيعات أقل من قاعدة البيانات العادية. كما أن لديها بعض القيود مقارنة بالوضع الكامل:
- لا يمكنه إرسال الملفات إلى وضع الحماية
- لا يمكن استخدام التحليل الإرشادي
- كما لا يمكنه استخدام الحزم المتعلقة بالبرامج الضارة للجوال
- بعض نماذج مستوى الدخول لا تدعم هذا الوضع.
يقوم الوضع السريع أيضًا بالتحقق من حركة المرور بحثًا عن الفيروسات والفيروسات المتنقلة وأحصنة طروادة والبرامج الضارة، ولكن دون تخزين مؤقت. وهذا يوفر أداء أفضل، ولكن في نفس الوقت تقل احتمالية اكتشاف الفيروس.
في وضع الوكيل، يكون وضع المسح الوحيد المتاح هو الوضع الكامل. مع مثل هذا الفحص، يقوم FortiGate أولاً بتخزين الملف بأكمله على نفسه (ما لم يتم تجاوز حجم الملف المسموح به للمسح الضوئي بالطبع). يجب على العميل الانتظار حتى يكتمل الفحص. إذا تم اكتشاف فيروس أثناء الفحص، فسيتم إخطار المستخدم على الفور. نظرًا لأن FortiGate يقوم أولاً بحفظ الملف بأكمله ثم يقوم بمسحه ضوئيًا، فقد يستغرق ذلك وقتًا طويلاً. ولهذا السبب، من الممكن للعميل إنهاء الاتصال قبل استلام الملف بسبب التأخير الطويل.
يوضح الشكل أدناه جدول مقارنة لأوضاع المسح الضوئي - وسيساعدك على تحديد نوع المسح المناسب لمهامك. تمت مناقشة إعداد برنامج مكافحة الفيروسات والتحقق منه عمليًا في الفيديو الموجود في نهاية المقالة.
دعنا ننتقل إلى الجزء الثاني من الدرس - نظام منع التطفل. ولكن من أجل البدء في دراسة IPS، تحتاج إلى فهم الفرق بين عمليات استغلال الثغرات والشذوذات، وكذلك فهم الآليات التي يستخدمها FortiGate للحماية منها.
إن عمليات الاستغلال هي هجمات معروفة ذات أنماط محددة يمكن اكتشافها باستخدام توقيعات IPS أو WAF أو برامج مكافحة الفيروسات.
الحالات الشاذة هي سلوك غير معتاد على الشبكة، مثل وجود كمية كبيرة بشكل غير عادي من حركة المرور أو استهلاك أعلى من المعتاد لوحدة المعالجة المركزية (CPU). يجب مراقبة الحالات الشاذة لأنها قد تكون علامات على هجوم جديد غير مستكشف. عادةً ما يتم اكتشاف الحالات الشاذة باستخدام التحليل السلوكي - ما يسمى بالتوقيعات المستندة إلى المعدل وسياسات DoS.
ونتيجة لذلك، يستخدم IPS في FortiGate قواعد التوقيع للكشف عن الهجمات المعروفة، والتوقيعات المستندة إلى المعدل وسياسات DoS للكشف عن الحالات الشاذة المختلفة.
بشكل افتراضي، يتم تضمين مجموعة أولية من توقيعات IPS مع كل إصدار من نظام التشغيل FortiGate. مع التحديثات، يتلقى FortiGate توقيعات جديدة. بهذه الطريقة، يظل نظام IPS فعالاً ضد عمليات الاستغلال الجديدة. يقوم FortiGuard بتحديث توقيعات IPS بشكل متكرر.
هناك نقطة مهمة تنطبق على كل من IPS ومكافحة الفيروسات وهي أنه إذا انتهت صلاحية التراخيص الخاصة بك، فلا يزال بإمكانك استخدام أحدث التوقيعات المستلمة. لكن لن تتمكن من الحصول على تراخيص جديدة بدون تراخيص. لذلك، فإن عدم وجود تراخيص غير مرغوب فيه للغاية - إذا ظهرت هجمات جديدة، فلن تتمكن من حماية نفسك بالتوقيعات القديمة.
تنقسم قواعد بيانات توقيع IPS إلى عادية وممتدة. تحتوي قاعدة البيانات النموذجية على توقيعات للهجمات الشائعة التي نادرًا ما تسبب نتائج إيجابية كاذبة أو لا تسبب أبدًا. يتم حظر الإجراء الذي تم تكوينه مسبقًا لمعظم هذه التوقيعات.
تحتوي قاعدة البيانات الموسعة على توقيعات هجوم إضافية لها تأثير كبير على أداء النظام، أو لا يمكن حظرها بسبب طبيعتها الخاصة. نظرًا لحجم قاعدة البيانات هذه، فهي غير متوفرة في موديلات FortiGate ذات القرص الصغير أو ذاكرة الوصول العشوائي (RAM). ولكن بالنسبة للبيئات الآمنة للغاية، قد تحتاج إلى استخدام قاعدة موسعة.
تتم أيضًا مناقشة إعداد وظيفة IPS والتحقق منها في الفيديو أدناه.
في الدرس التالي سننظر في العمل مع المستخدمين. وحتى لا يفوتك تابع التحديثات على القنوات التالية:
المصدر: www.habr.com