Pozdrav! Dobrodošli na sedmu lekciju kursa ... Uključeno upoznali smo se sa sigurnosnim profilima kao što su Web Filtriranje, Kontrola aplikacija i HTTPS inspekcija. U ovoj lekciji nastavićemo sa našim upoznavanjem sa sigurnosnim profilima. Prvo ćemo se upoznati sa teorijskim aspektima rada antivirusnog i sistema za prevenciju upada, a zatim ćemo pogledati kako ovi sigurnosni profili funkcionišu u praksi.
Počnimo sa antivirusom. Prvo, razgovarajmo o tehnologijama koje FortiGate koristi za otkrivanje virusa:
Antivirusno skeniranje je najlakši i najbrži način otkrivanja virusa. Otkriva viruse koji u potpunosti odgovaraju potpisima sadržanim u antivirusnoj bazi podataka.
Grayware Scan ili skeniranje neželjenih programa - ova tehnologija otkriva neželjene programe koji su instalirani bez znanja ili pristanka korisnika. Tehnički, ovi programi nisu virusi. Obično dolaze u paketu sa drugim programima, ali kada se instaliraju negativno utiču na sistem, zbog čega su klasifikovani kao malver. Često se takvi programi mogu otkriti korištenjem jednostavnih sivih potpisa iz istraživačke baze FortiGuard.
Heurističko skeniranje - ova tehnologija je zasnovana na vjerovatnoćama, tako da njeno korištenje može uzrokovati lažno pozitivne efekte, ali može otkriti i viruse nultog dana. Virusi nultog dana su novi virusi koji još nisu proučavani i ne postoje potpisi koji bi ih mogli otkriti. Heurističko skeniranje nije omogućeno prema zadanim postavkama i mora biti omogućeno na komandnoj liniji.
Ako su sve antivirusne mogućnosti omogućene, FortiGate ih primjenjuje sljedećim redoslijedom: antivirusno skeniranje, grayware skeniranje, heurističko skeniranje.
FortiGate može koristiti nekoliko antivirusnih baza podataka, ovisno o zadacima:
- Normalna antivirusna baza podataka (Normal) - sadržana u svim FortiGate modelima. Uključuje potpise za viruse koji su otkriveni posljednjih mjeseci. Ovo je najmanja antivirusna baza podataka, tako da najbrže skenira kada se koristi. Međutim, ova baza podataka ne može otkriti sve poznate viruse.
- Prošireno - ovu bazu podržava većina FortiGate modela. Može se koristiti za otkrivanje virusa koji više nisu aktivni. Mnoge platforme su još uvijek osjetljive na ove viruse. Također, ovi virusi mogu uzrokovati probleme u budućnosti.
- I posljednja, ekstremna baza (Extreme) - koristi se u infrastrukturama gdje je potreban visok nivo sigurnosti. Uz njegovu pomoć možete otkriti sve poznate viruse, uključujući viruse usmjerene na zastarjele operativne sisteme, koji trenutno nisu široko rasprostranjeni. Ovaj tip baze podataka potpisa također nije podržan od strane svih FortiGate modela.
Tu je i kompaktna baza podataka potpisa dizajnirana za brzo skeniranje. Pričaćemo o tome malo kasnije.
Antivirusne baze podataka možete ažurirati na različite načine.
Prva metoda je Push Update, koja omogućava ažuriranje baza podataka čim istraživačka baza podataka FortiGuard objavi ažuriranje. Ovo je korisno za infrastrukture koje zahtijevaju visok nivo sigurnosti, jer će FortiGate primati hitna ažuriranja čim budu dostupna.
Drugi način je postavljanje rasporeda. Na ovaj način možete provjeriti ima li ažuriranja svaki sat, dan ili sedmicu. Odnosno, ovdje se vremenski raspon postavlja po vašem nahođenju.
Ove metode se mogu koristiti zajedno.
Ali morate imati na umu da za ažuriranje morate omogućiti antivirusni profil za barem jednu politiku zaštitnog zida. U suprotnom, ažuriranja se neće vršiti.
Također možete preuzeti ažuriranja sa Fortinet stranice za podršku i zatim ih ručno učitati na FortiGate.
Pogledajmo modove skeniranja. Postoje samo tri od njih - Full Mode u Flow Based modu, Quick Mode u Flow Based modu i Full Mode u proxy modu. Počnimo s Full Mode u Flow modu.
Recimo da korisnik želi preuzeti fajl. On šalje zahtjev. Server počinje da mu šalje pakete koji čine fajl. Korisnik odmah prima ove pakete. Ali prije isporuke ovih paketa korisniku, FortiGate ih kešira. Nakon što FortiGate primi posljednji paket, počinje skenirati datoteku. U ovom trenutku, posljednji paket je u redu čekanja i ne prenosi se korisniku. Ako datoteka ne sadrži viruse, korisniku se šalje najnoviji paket. Ako se otkrije virus, FortiGate prekida vezu sa korisnikom.
Drugi način skeniranja dostupan u Flow Based je Quick Mode. Koristi kompaktnu bazu podataka potpisa, koja sadrži manje potpisa od obične baze podataka. Takođe ima neka ograničenja u poređenju sa punim načinom rada:
- Ne može slati datoteke u sandbox
- Ne može koristiti heurističku analizu
- Također ne može koristiti pakete koji se odnose na mobilni malver
- Neki modeli početnog nivoa ne podržavaju ovaj način rada.
Brzi način također provjerava promet na viruse, crve, trojance i zlonamjerni softver, ali bez baferovanja. Ovo osigurava bolje performanse, ali je u isto vrijeme smanjena vjerojatnost otkrivanja virusa.
U proxy načinu, jedini dostupan način skeniranja je Full Mode. Kod takvog skeniranja, FortiGate prvo pohranjuje cijeli fajl na sebe (osim ako, naravno, nije prekoračena dozvoljena veličina datoteke za skeniranje). Klijent mora čekati da se skeniranje završi. Ako se tokom skeniranja otkrije virus, korisnik će odmah biti obaviješten. Budući da FortiGate prvo sprema cijelu datoteku, a zatim je skenira, ovo može potrajati dosta vremena. Zbog toga je moguće da klijent prekine vezu prije nego što primi datoteku zbog dugog kašnjenja.
Na slici ispod prikazana je uporedna tabela za načine skeniranja - pomoći će vam da odredite koja je vrsta skeniranja prikladna za vaše zadatke. Postavljanje i provjera funkcionalnosti antivirusa raspravlja se u praksi u videu na kraju članka.
Pređimo na drugi dio lekcije – sistem za sprječavanje upada. Ali da biste počeli proučavati IPS, morate razumjeti razliku između eksploatacije i anomalija, kao i razumjeti koje mehanizme FortiGate koristi za zaštitu od njih.
Eksploatacije su poznati napadi sa specifičnim obrascima koji se mogu otkriti korištenjem IPS, WAF ili antivirusnih potpisa.
Anomalije su neobično ponašanje na mreži, kao što je neuobičajeno velika količina saobraćaja ili veća potrošnja procesora od normalne. Anomalije se moraju pratiti jer mogu biti znaci novog, neistraženog napada. Anomalije se obično otkrivaju pomoću bihevioralne analize - takozvanih potpisa zasnovanih na brzini i DoS politika.
Kao rezultat toga, IPS na FortiGate-u koristi baze potpisa za otkrivanje poznatih napada, i Rate-Based potpise i DoS politike za otkrivanje različitih anomalija.
Podrazumevano, početni skup IPS potpisa je uključen u svaku verziju FortiGate operativnog sistema. Sa ažuriranjima, FortiGate prima nove potpise. Na ovaj način, IPS ostaje efikasan protiv novih eksploatacija. FortiGuard ažurira IPS potpise prilično često.
Važna stvar koja se odnosi i na IPS i na antivirus je da ako su vam licence istekle, i dalje možete koristiti najnovije primljene potpise. Ali nećete moći dobiti nove bez licenci. Stoga je nedostatak licenci krajnje nepoželjan - ako se pojave novi napadi, nećete se moći zaštititi starim potpisima.
IPS baze podataka potpisa dijele se na redovne i proširene. Tipična baza podataka sadrži potpise za uobičajene napade koji rijetko ili nikada ne uzrokuju lažne pozitivne rezultate. Unaprijed konfigurirana radnja za većinu ovih potpisa je blokiranje.
Proširena baza podataka sadrži dodatne potpise napada koji imaju značajan uticaj na performanse sistema ili koji se ne mogu blokirati zbog njihove posebne prirode. Zbog veličine ove baze podataka, nije dostupna na FortiGate modelima sa malim diskom ili RAM-om. Ali za visoko bezbedna okruženja, možda ćete morati da koristite proširenu bazu.
Podešavanje i provjera funkcionalnosti IPS-a također se govori u videu ispod.
U sljedećoj lekciji ćemo se osvrnuti na rad sa korisnicima. Kako ga ne biste propustili, pratite ažuriranja na sljedećim kanalima:
izvor: www.habr.com