Salutacions! Benvinguts a la setena lliçó del curs . Encès ens vam familiaritzar amb perfils de seguretat com ara el filtratge web, el control d'aplicacions i la inspecció HTTPS. En aquesta lliçó, continuarem coneixent els perfils de seguretat. En primer lloc, ens familiaritzarem amb els aspectes teòrics del funcionament del sistema antivirus i de prevenció d'intrusions, i després considerarem el treball d'aquests perfils de seguretat a la pràctica.
Comencem amb l'antivirus. Primer, parlem de les tecnologies que FortiGate utilitza per detectar virus:
L'anàlisi antivirus és el mètode més senzill i ràpid per detectar virus. Detecta virus que coincideixen completament amb les signatures contingudes a la base de dades antivirus.
Escaneig de programes no desitjats o exploració de programes no desitjats: aquesta tecnologia detecta programes no desitjats que s'instal·len sense el coneixement o el consentiment de l'usuari. Tècnicament, aquests programes no són virus. Normalment vénen acompanyats d'altres programes, però quan s'instal·len afecten negativament el sistema, per això es classifiquen com a programari maliciós. Sovint, aquests programes es poden detectar mitjançant signatures simples de grayware de la base de recerca de FortiGuard.
Escaneig heurístic: aquesta tecnologia es basa en probabilitats, de manera que el seu ús pot provocar efectes falsos positius, però també pot detectar virus de dia zero. Els virus de dia zero són virus nous que encara no s'han investigat i encara no hi ha signatures que els puguin detectar. L'exploració heurística no està activada per defecte, s'ha d'habilitar a la línia d'ordres.
Si totes les funcions antivirus estan habilitades, FortiGate les aplica en l'ordre següent: exploració antivirus, exploració de programari gris, exploració heurística.
FortiGate pot utilitzar diverses bases de dades antivirus, depenent de les tasques:
- Base de dades antivirus normal (Normal): està inclosa en tots els models de FortiGate'ov. Inclou signatures de virus que s'han descobert en els últims mesos. Aquesta és la base de dades antivirus més petita, de manera que quan l'utilitzeu, l'escaneig és el més ràpid. Tanmateix, aquesta base de dades no pot detectar tots els virus coneguts.
- Ampliat (Extend): aquesta base és compatible amb la majoria dels models FortiGate. Es pot utilitzar per detectar virus que ja no estan actius. Moltes plataformes encara són vulnerables a aquests virus. A més, aquests virus poden comportar problemes en el futur.
- I l'última base extrema (Extreme) - s'utilitza en infraestructures on es requereix un alt nivell de seguretat. Pot detectar tots els virus coneguts, inclosos els virus dirigits a sistemes operatius heretats que actualment no estan àmpliament distribuïts. Aquest tipus de base de dades de signatures tampoc és compatible amb tots els models de FortiGate.
També hi ha una base de dades de signatures compacta dissenyada per escanejar ràpidament. En parlarem una mica més endavant.
Podeu actualitzar les bases de dades antivirus mitjançant diferents mètodes.
El primer mètode és Push Update: us permet actualitzar les bases de dades tan bon punt la base de recerca de FortiGuard publica una actualització. Això és útil per a infraestructures que requereixen un alt nivell de seguretat, ja que FortiGate rebrà actualitzacions urgents tan bon punt estiguin disponibles.
El segon mètode és establir un calendari. D'aquesta manera, podeu comprovar si hi ha actualitzacions cada hora, dia o setmana. És a dir, aquí l'interval de temps es defineix a la vostra discreció.
Aquests mètodes es poden utilitzar conjuntament.
Però cal tenir en compte que, per fer actualitzacions, cal habilitar el perfil antivirus per a almenys una política de tallafocs. En cas contrari, no es faran actualitzacions.
També podeu descarregar actualitzacions des del lloc d'assistència de Fortinet i, a continuació, carregar-les manualment a FortiGate.
Penseu en els modes d'escaneig. Només n'hi ha tres: el mode complet en el mode basat en flux, el mode ràpid en el mode basat en el flux i el mode complet en el mode proxy. Comencem amb el mode complet en mode flux.
Suposem que l'usuari vol descarregar un fitxer. Ell envia una petició. El servidor comença a enviar-li els paquets que formen el fitxer. L'usuari rep aquests paquets immediatament. Però abans de passar aquests paquets a l'usuari, FortiGate els guarda a la memòria cau. Després que FortiGate rebi l'últim paquet, comença a escanejar el fitxer. En aquest moment, l'últim paquet està a la cua i no es transmet a l'usuari. Si el fitxer no conté virus, l'últim paquet s'envia a l'usuari. Si es detecta un virus, FortiGate trenca la connexió amb l'usuari.
El segon mode d'escaneig disponible a Flow Based és el mode ràpid. Utilitza una base de dades de signatures compacta que conté menys signatures que una base de dades de signatures normal. També té algunes limitacions en comparació amb el mode complet:
- No pot enviar fitxers a la caixa de proves
- No pot utilitzar l'anàlisi heurístic
- Tampoc no pot utilitzar paquets relacionats amb programari maliciós mòbil.
- Alguns models d'entrada no admeten aquest mode.
El mode ràpid també comprova el trànsit de virus, cucs, troians i programari maliciós, però sense emmagatzemar la memòria intermèdia. Això proporciona un millor rendiment, però al mateix temps, es redueix la probabilitat de detectar un virus.
En mode proxy, l'únic mode d'escaneig disponible és el mode complet. Amb aquesta exploració, FortiGate primer emmagatzema tot el fitxer per si mateix (tret que, per descomptat, se superi la mida de fitxer permesa per a l'escaneig). El client ha d'esperar que finalitzi l'escaneig. Si es detecta un virus durant l'escaneig, l'usuari rebrà una notificació immediata. Com que FortiGate desa primer el fitxer sencer i després l'escaneja, això pot trigar molt de temps. per això, és possible que el client finalitzi la connexió abans de rebre el fitxer a causa d'un gran retard.
La figura següent proporciona una taula de comparació dels modes d'escaneig; us ajudarà a determinar quin tipus d'escaneig és adequat per a les vostres tasques. La configuració i la comprovació del rendiment de l'antivirus es consideren a la pràctica al vídeo al final de l'article.
Passem a la segona part de la lliçó: el sistema de prevenció d'intrusions. Però per començar a estudiar IPS, cal entendre la diferència entre exploits i anomalies, així com entendre quins mecanismes utilitza FortiGate per protegir-los.
Els exploits són atacs coneguts, amb patrons específics, que es poden detectar mitjançant signatures IPS, WAF o antivirus.
Les anomalies són comportaments inusuals a la xarxa, com ara una quantitat inusualment alta de trànsit o un consum de CPU superior a l'habitual. Les anomalies s'han de supervisar perquè poden ser signes d'un atac nou, encara no explorat. Les anomalies es detecten normalment mitjançant l'anàlisi del comportament: les anomenades signatures basades en tarifes i polítiques de DoS.
Com a resultat, IPS a FortiGate utilitza bases de signatures per detectar atacs coneguts i signatures basades en tarifes i polítiques de DoS per detectar diverses anomalies.
De manera predeterminada, s'inclou un conjunt inicial de signatures IPS amb cada versió del sistema operatiu FortiGate. Amb les actualitzacions, FortiGate rep noves signatures. Així, IPS segueix sent efectiu contra noves explotacions. El servei FortiGuard actualitza les signatures IPS amb força freqüència.
Un punt important que s'aplica tant a IPS com a antivirus és que si les vostres llicències han caducat, encara podeu utilitzar les últimes signatures que heu rebut. Però aconseguir-ne de nous sense llicències no funcionarà. Per tant, l'absència de llicències és molt indesitjable: quan apareguin nous atacs, no podreu protegir-vos amb signatures antigues.
Les bases de dades de signatures IPS es divideixen en regulars i ampliades. La base de dades normal conté signatures d'atacs comuns que molt rarament o mai causen falsos positius. L'acció predeterminada per a la majoria d'aquestes signatures és un bloc.
La base ampliada conté signatures d'atac addicionals que tenen un impacte significatiu en el rendiment del sistema o que no es poden bloquejar per la seva naturalesa especial. A causa de la mida d'aquesta base, no està disponible per als models FortiGate amb disc petit o RAM. Però per a entorns altament segurs, és possible que hàgiu d'utilitzar una base ampliada.
La configuració i verificació d'IPS també es tracta al vídeo següent.
A la lliçó següent, veurem com treballar amb usuaris. Per no perdre'l, estigueu atents a les novetats als següents canals:
Font: www.habr.com