Вітаю! Сардэчна запрашаем на сёмы ўрок курса . На мы пазнаёміліся з такімі профілямі бяспекі, як Web Filtering, Application Control і HTTPS інспекцыя. На дадзеным уроку мы працягнем знаёмства з профілямі бяспекі. Спачатку мы пазнаёмімся з тэарэтычнымі аспектамі працы антывіруса і сістэмы прадухілення ўварванняў, а пасля разгледзім працу дадзеных профіляў бяспекі на практыку.
Пачнём з антывіруса. Для пачатку абмяркуем тэхналогіі, якія прымяняе FortiGate для выяўлення вірусаў:
Антывіруснае сканаванне - гэта самы просты і хуткі метад выяўлення вірусаў. Ён вызначае вірусы, якія цалкам супадаюць з сігнатурамі, якія змяшчаюцца ў антывіруснай базе.
Grayware Scan або сканаванне непажаданых праграм - дадзеная тэхналогія вызначае непажаданыя праграмы, якія ўсталёўваюцца без ведама ці згоды карыстальніка. Тэхнічна гэтыя праграмы не зьяўляюцца вірусамі. Звычайна яны ідуць у камплекце з іншымі праграмамі, але пры ўсталёўцы негатыўна ўплываюць на сістэму, таму яны і класіфікуюцца як шкоднасныя праграмы. Часта такія праграмы могуць быць выяўлены з дапамогай простых grayware сігнатур ад даследчай базы FortiGuard.
Эўрыстычнае сканаванне - дадзеная тэхналогія заснавана на верагоднасцях, таму яе выкарыстанне можа выклікаць false positives эфекты, аднак з яе дапамогай можна таксама выявіць zero day вірусы. Zero day вірусы - новыя вірусы, якія яшчэ не даследаваны, і пакуль не існуе сігнатур, якія маглі б іх выявіць. Эўрыстычнае сканаванне не ўжываецца па змаўчанні, яго трэба актываваць у камандным радку.
Калі ўсе магчымасці антывіруса актываваны, FortiGate ужывае іх у наступным парадку: антывіруснае сканаванне, grayware сканаванне, эўрыстычнае сканаванне.
FortiGate можа выкарыстоўваць некалькі антывірусных баз, у залежнасці ад задач:
- Звычайная антывірусная база (Normal) – змяшчаецца ва ўсіх мадэлях FortiGate'ов. Яна ўключае ў сябе сігнатуры для вірусаў, якія былі выяўлены ў апошнія месяцы. Гэта самая маленькая антывірусная база, таму пры яе выкарыстанні сканіраванне выконваецца хутчэй за ўсё. Аднак гэтая база не можа выявіць усе вядомыя вірусы.
- Пашыраная (Extend) - дадзеная база падтрымліваецца большасцю мадэляў FortiGate. З яе дапамогай можна выявіць вірусы, якія ўжо не актыўныя. Мноства платформаў усё яшчэ ўразлівыя для гэтых вірусаў. Таксама гэтыя вірусы могуць прынесці праблемы ў будучыні.
- І апошняя, экстрэмальная база (Extreme) - выкарыстоўваецца ў інфраструктурах, дзе неабходны высокі ўзровень бяспекі. З яе дапамогай можна выявіць усе вядомыя вірусы, у тым ліку вірусы, нацэленыя на састарэлыя аперацыйныя сістэмы, якія ў дадзены момант шырока не распаўсюджаныя. Дадзены тып базы сігнатур таксама падтрымліваецца не ўсімі мадэлямі FortiGate.
Таксама існуе кампактная база сігнатур, прызначаная для хуткага сканавання. Пра яе мы пагаворым крыху пазней.
Абнаўляць антывірусныя базы можна рознымі метадамі.
Першы метад – Push Update – ён дазваляе абнаўляць базы адразу, як толькі даследчая база FortiGuard выпускае абнаўленне. Гэта карысна для інфраструктур, якім неабходзен высокі ўзровень бяспекі, паколькі FortiGate будзе атрымліваць тэрміновыя абнаўленні адразу ж пасля таго, як яны з'явяцца.
Другі метад-устанавіць расклад. Такім чынам абнаўленні можна правяраць кожную гадзіну, дзень ці тыдзень. Гэта значыць, тут часовы дыяпазон ставіцца на ваша меркаванне.
Гэтыя метады можна выкарыстоўваць разам.
Але трэба мець на ўвазе — для таго, каб абнаўленні рабіліся, неабходна ўключыць профіль антывіруса хаця б на адну фаервольную палітыку. Інакш абнаўленні рабіцца не будуць.
Таксама можна спампоўваць абнаўленні з сайта падтрымкі Fortinet, а пасля ўручную загрузіць іх на FortiGate.
Разгледзім рэжымы сканавання. Іх усяго тры – Full Mode ва Flow Based рэжыме, Quick Mode ва Flow Based рэжыме, і Full Mode у проксі рэжыме. Пачнём з Full Mode ва Flow рэжыме.
Дапушчальны, карыстач жадае запампаваць файл. Ён адпраўляе запыт. Сервер пачынае дасылаць яму пакеты, з якіх складаецца файл. Карыстальнік адразу ж атрымлівае гэтыя пакеты. Але перад тым, як перадаць гэтыя пакеты карыстачу, FortiGate іх кэшуе. Пасля таго як FortiGate атрымлівае апошні пакет, ён пачынае сканаваць файл. У гэты час апошні пакет ставіцца ў чаргу і не перадаецца карыстачу. Калі файл не змяшчае вірусаў, апошні пакет адпраўляецца карыстачу. Калі ж вірус знойдзены - FortiGate разрывае злучэнне з карыстальнікам.
Другі рэжым сканавання, даступны ва Flow Based – Quick Mode. Ён выкарыстоўвае кампактную базу сігнатур, якая змяшчае менш сігнатур, чым звычайная база. Таксама ён мае некаторыя абмежаванні ў параўнанні ў Full Mode:
- Ён не можа адпраўляць файлы ў пясочніцу
- Ён не можа выкарыстоўваць эўрыстычны аналіз
- Таксама ён не можа выкарыстоўваць пакеты, злучаныя з мабільнымі шкоднаснымі праграмамі
- Некаторыя entry level мадэлі не падтрымліваюць гэты рэжым.
Quick mode таксама правярае трафік на ўтрыманне вірусаў, чарвякоў, траянаў і шкоднасных праграм, але без буферызацыі. Гэта забяспечвае лепшую прадукцыйнасць, але ў той жа час верагоднасць выявіць вірус змяншаецца.
У Proxy рэжыме даступны адзіны рэжым сканавання - Full Mode. Пры такім сканаванні FortiGate спачатку захоўвае ўвесь файл у сябе (калі вядома не перавысіцца дапушчальны памер файлаў для сканавання). Кліент павінен чакаць, пакуль сканіраванне завершыцца. Калі пры сканаванні будзе знойдзены вірус, карыстальнік будзе адразу апавешчаны. Паколькі FortiGate спачатку захоўвае ўвесь файл, а потым скануе яго, гэта можа заняць даволі шмат часу. з-за гэтага са боку кліента магчыма завяршэнне злучэння да атрымання файла з-за доўгай затрымкі.
На малюнку ніжэй прадстаўлена параўнальная табліца для рэжымаў сканавання - яна дапаможа вам вызначыць, які тып сканавання падыдзе пад вашыя задачы. Настройка і праверка працаздольнасці антывіруса разгледжаны на практыцы ў відэа ў канцы артыкула.
Пяройдзем да другой часткі ўрока - сістэме прадухілення ўварванняў. Але для таго, каб прыступіць да вывучэння IPS, неабходна разабрацца ў адрозненні эксплойтаў ад анамалій, а таксама зразумець, якія механізмы выкарыстоўвае FortiGate для абароны ад іх.
Эксплойты - гэта вядомыя атакі, з канкрэтнымі патэрнамі, якія можна выявіць з дапамогай IPS, WAF, або антывірусных сігнатур.
Анамаліі - гэта незвычайныя паводзіны ў сетцы, напрыклад незвычайна вялікі аб'ём трафіку або большае чым звычайна спажыванне CPU, Анамаліі неабходна адсочваць, паколькі яны могуць быць прыкметамі новай, яшчэ нявывучанай атакі. Анамаліі звычайна выяўляюцца з дапамогай паводніцкага аналізу - так званых rate-based сігнатур і DoS палітык.
Па выніку – IPS на FortiGate выкарыстоўвае сігантурныя базы для выяўлення вядомых нападаў, і Rate-Based сігнатуры і палітыкі DoS для выяўлення розных анамалій.
Па змаўчанні, пачатковы набор IPS сігнатур уключаны ў кожную версію аперацыйнай сістэмы FortiGate. З дапамогай абнаўленняў FortiGate атрымлівае новыя сігнатуры. Такім чынам IPS застаецца эфектыўным супраць новых эксплойтаў. Сэрвіс FortiGuard абнаўляе сігнатуры IPS даволі часта.
Важны момант, які адносіцца як да IPS, так і да антывіруса - калі ў вас скончыліся ліцэнзіі, вы ўсё роўна можаце выкарыстоўваць апошнія атрыманыя сігнатуры. Але атрымаць новыя без ліцэнзій не атрымаецца. Таму адсутнасць ліцэнзій вельмі непажадана - пры з'яўленні новых нападаў вы не зможаце абараніцца старымі сігнатурамі.
Базы IPS цыгантур падзяляюцца на звычайную і пашыраную. Звычайная база ўтрымоўвае сігнатуры для распаўсюджаных нападаў, якія вельмі рэдка ці наогул не выклікаюць ілжывых спрацоўванняў. Перанастроенае дзеянне для большасці такіх сігнатур - блок.
Пашыраная база змяшчае дадатковыя сігнатуры нападаў, якія моцна ўплываюць на прадукцыйнасць сістэмы, або якія нельга заблакаваць з-за іх асаблівай прыроды. З-за памеру такой базы, яна недаступная для мадэляў FortiGate з маленькай кружэлкай або RAM. Але для высокаабароненых асяроддзяў можа запатрабавацца выкарыстаць пашыраную базу.
Настройка і праверка працаздольнасці IPS таксама разгледжаны ў відэа ніжэй.
У наступным уроку мы разгледзім працу з карыстальнікамі. Каб не прапусціць яго, сачыце за абнаўленнямі на наступных каналах:
Крыніца: habr.com