salamlar! Kursun yeddinci dərsinə xoş gəlmisiniz . Haqqında Veb Filtrləmə, Tətbiqlərə Nəzarət və HTTPS yoxlaması kimi təhlükəsizlik profilləri ilə tanış olduq. Bu dərsdə biz təhlükəsizlik profilləri ilə tanışlığımızı davam etdirəcəyik. Əvvəlcə antivirus və müdaxilənin qarşısının alınması sisteminin işinin nəzəri aspektləri ilə tanış olacağıq, sonra isə bu təhlükəsizlik profillərinin praktikada necə işlədiyinə baxacağıq.
Antivirusdan başlayaq. Əvvəlcə FortiGate-in virusları aşkar etmək üçün istifadə etdiyi texnologiyaları müzakirə edək:
Antivirus taraması virusları aşkar etməyin ən asan və sürətli üsuludur. Antivirus verilənlər bazasında olan imzalara tam uyğun gələn virusları aşkar edir.
Grayware Scan və ya arzuolunmaz proqramların skan edilməsi - bu texnologiya istifadəçinin xəbəri və ya razılığı olmadan quraşdırılmış arzuolunmaz proqramları aşkarlayır. Texniki cəhətdən bu proqramlar virus deyil. Onlar adətən digər proqramlarla birlikdə gəlir, lakin quraşdırıldıqda sistemə mənfi təsir göstərir, buna görə də onlar zərərli proqram kimi təsnif edilir. Çox vaxt belə proqramlar FortiGuard tədqiqat bazasından sadə boz proqram imzalarından istifadə etməklə aşkar edilə bilər.
Evristik skan - bu texnologiya ehtimallara əsaslanır, ona görə də onun istifadəsi yanlış müsbət təsirlərə səbəb ola bilər, lakin sıfır gün viruslarını da aşkar edə bilər. Sıfır gün virusları hələ öyrənilməmiş yeni viruslardır və onları aşkar edə biləcək heç bir imza yoxdur. Evristik tarama defolt olaraq aktiv edilməyib və əmr satırında aktivləşdirilməlidir.
Bütün antivirus imkanları aktivləşdirilibsə, FortiGate onları aşağıdakı ardıcıllıqla tətbiq edir: antivirus skanı, boz proqram skanı, evristik skan.
FortiGate tapşırıqlardan asılı olaraq bir neçə antivirus verilənlər bazasından istifadə edə bilər:
- Normal antivirus verilənlər bazası (Normal) - bütün FortiGate modellərində var. Buraya son aylarda aşkar edilmiş viruslar üçün imzalar daxildir. Bu, ən kiçik antivirus verilənlər bazasıdır, ona görə də istifadə edildikdə ən sürətli skan edir. Lakin bu verilənlər bazası bütün məlum virusları aşkar edə bilmir.
- Genişləndirilmiş - bu baza əksər FortiGate modelləri tərəfindən dəstəklənir. Artıq aktiv olmayan virusları aşkar etmək üçün istifadə edilə bilər. Bir çox platformalar hələ də bu viruslara qarşı həssasdır. Həmçinin, bu viruslar gələcəkdə problemlər yarada bilər.
- Və sonuncu, ekstremal baza (Extreme) - yüksək səviyyəli təhlükəsizlik tələb olunan infrastrukturlarda istifadə olunur. Onun köməyi ilə siz bütün məlum virusları, o cümlədən köhnəlmiş əməliyyat sistemlərinə yönəlmiş, hazırda geniş yayılmayan virusları aşkar edə bilərsiniz. Bu tip imza verilənlər bazası bütün FortiGate modelləri tərəfindən dəstəklənmir.
Sürətli skan etmək üçün nəzərdə tutulmuş kompakt imza bazası da mövcuddur. Bu barədə bir az sonra danışacağıq.
Antivirus verilənlər bazalarını müxtəlif üsullardan istifadə edərək yeniləyə bilərsiniz.
Birinci üsul, FortiGuard tədqiqat bazası bir yeniləmə buraxan kimi verilənlər bazalarının yenilənməsinə imkan verən Push Update-dir. Bu, yüksək səviyyəli təhlükəsizlik tələb edən infrastrukturlar üçün faydalıdır, çünki FortiGate təcili yeniləmələri mövcud olan kimi alacaq.
İkinci üsul cədvəl qurmaqdır. Bu yolla siz hər saat, gün və ya həftə yeniləmələri yoxlaya bilərsiniz. Yəni burada vaxt diapazonu sizin mülahizənizlə müəyyən edilir.
Bu üsullar birlikdə istifadə edilə bilər.
Ancaq yadda saxlamalısınız ki, yeniləmələrin edilməsi üçün ən azı bir firewall siyasəti üçün antivirus profilini aktivləşdirməlisiniz. Əks halda yeniləmələr aparılmayacaq.
Siz həmçinin Fortinet dəstək saytından yeniləmələri yükləyə və sonra onları FortiGate-ə əl ilə yükləyə bilərsiniz.
Skanlama rejimlərinə baxaq. Onlardan yalnız üçü var - axın əsaslı rejimdə tam rejim, axın əsaslı rejimdə sürətli rejim və proxy rejimində tam rejim. Flow rejimində Tam Modu ilə başlayaq.
Tutaq ki, istifadəçi faylı yükləmək istəyir. Sorğu göndərir. Server ona faylı təşkil edən paketləri göndərməyə başlayır. İstifadəçi bu paketləri dərhal alır. Lakin bu paketləri istifadəçiyə çatdırmazdan əvvəl FortiGate onları keşləyir. FortiGate sonuncu paketi aldıqdan sonra faylı skan etməyə başlayır. Bu zaman sonuncu paket növbəyə qoyulur və istifadəçiyə ötürülmür. Faylda virus yoxdursa, istifadəçiyə ən son paket göndərilir. Virus aşkar edilərsə, FortiGate istifadəçi ilə əlaqəni kəsir.
Flow Based-də mövcud olan ikinci tarama rejimi Sürətli rejimdir. O, adi verilənlər bazasından daha az imza ehtiva edən yığcam imza verilənlər bazasından istifadə edir. Tam rejimlə müqayisədə onun bəzi məhdudiyyətləri də var:
- O, faylları sandboxa göndərə bilmir
- Evristik analizdən istifadə edə bilməz
- Həmçinin o, mobil zərərli proqramla əlaqəli paketlərdən istifadə edə bilməz
- Bəzi giriş səviyyəli modellər bu rejimi dəstəkləmir.
Sürətli rejim həmçinin trafiki viruslar, qurdlar, troyanlar və zərərli proqramlar üçün yoxlayır, lakin buferləşdirmədən. Bu, daha yaxşı performans təmin edir, lakin eyni zamanda virusun aşkarlanması ehtimalı azalır.
Proksi rejimində mövcud olan yeganə skan rejimi Tam rejimdir. Belə bir tarama ilə FortiGate əvvəlcə bütün faylı özündə saxlayır (əlbəttə ki, skan üçün icazə verilən fayl ölçüsü aşılmazsa). Müştəri taramanın tamamlanmasını gözləməlidir. Skanlama zamanı virus aşkar edilərsə, istifadəçiyə dərhal məlumat veriləcək. FortiGate əvvəlcə bütün faylı saxladığı və sonra onu skan etdiyi üçün bu, kifayət qədər uzun vaxt apara bilər. Bu səbəbdən, uzun gecikmə səbəbindən müştərinin faylı almadan əvvəl əlaqəni dayandırması mümkündür.
Aşağıdakı rəqəm tarama rejimləri üçün müqayisə cədvəlini göstərir - bu, hansı növ taramanın tapşırıqlarınız üçün uyğun olduğunu müəyyən etməyə kömək edəcəkdir. Antivirusun qurulması və funksionallığının yoxlanılması məqalənin sonundakı videoda praktikada müzakirə olunur.
Gəlin dərsin ikinci hissəsinə - müdaxilənin qarşısının alınması sisteminə keçək. Lakin IPS-i öyrənməyə başlamaq üçün siz istismar və anomaliyalar arasındakı fərqi başa düşməlisiniz, həmçinin FortiGate-in onlardan qorunmaq üçün hansı mexanizmlərdən istifadə etdiyini başa düşməlisiniz.
İstismarlar IPS, WAF və ya antivirus imzalarından istifadə etməklə aşkarlana bilən xüsusi nümunələri olan məlum hücumlardır.
Anomaliyalar şəbəkədə qeyri-adi davranışdır, məsələn, qeyri-adi böyük həcmdə trafik və ya normal CPU istehlakından yüksəkdir. Anomaliyalara nəzarət edilməlidir, çünki onlar yeni, araşdırılmamış hücumun əlamətləri ola bilər. Anomaliyalar adətən davranış analizi - sözdə dərəcəyə əsaslanan imzalar və DoS siyasətləri vasitəsilə aşkar edilir.
Nəticədə, FortiGate-də IPS məlum hücumları aşkar etmək üçün imza bazalarından, müxtəlif anomaliyaları aşkar etmək üçün Rate-based imzalardan və DoS siyasətlərindən istifadə edir.
Varsayılan olaraq, IPS imzalarının ilkin dəsti FortiGate əməliyyat sisteminin hər bir versiyasına daxil edilir. Yeniləmələrlə FortiGate yeni imzalar alır. Bu yolla, IPS yeni istismarlara qarşı effektiv olaraq qalır. FortiGuard IPS imzalarını tez-tez yeniləyir.
Həm IPS, həm də antivirusa aid olan vacib məqam odur ki, lisenziyalarınızın müddəti bitibsə, yenə də alınan ən son imzalardan istifadə edə bilərsiniz. Ancaq lisenziyasız yenilərini əldə edə bilməyəcəksiniz. Buna görə də, lisenziyaların olmaması son dərəcə arzuolunmazdır - yeni hücumlar görünsə, köhnə imzalarla özünüzü qoruya bilməyəcəksiniz.
IPS imza verilənlər bazaları müntəzəm və genişləndirilmiş bölünür. Tipik verilənlər bazası nadir hallarda və ya heç vaxt yanlış pozitivlərə səbəb olan ümumi hücumlar üçün imzaları ehtiva edir. Bu imzaların əksəriyyəti üçün əvvəlcədən konfiqurasiya edilmiş fəaliyyət blokdur.
Genişləndirilmiş verilənlər bazası sistemin işinə əhəmiyyətli təsir göstərən və ya xüsusi təbiətinə görə bloklana bilməyən əlavə hücum imzalarını ehtiva edir. Bu verilənlər bazası ölçüsünə görə kiçik disk və ya RAM ilə FortiGate modellərində mövcud deyil. Lakin yüksək təhlükəsiz mühitlər üçün genişləndirilmiş bazadan istifadə etməli ola bilərsiniz.
IPS-in qurulması və funksionallığının yoxlanılması da aşağıdakı videoda müzakirə olunur.
Növbəti dərsdə istifadəçilərlə işləməyə baxacağıq. Onu qaçırmamaq üçün aşağıdakı kanallardakı yenilikləri izləyin:
Mənbə: www.habr.com