Saluti ! Benvenuti à a settima lezzione di u corsu . Nantu à u avemu cunnisciutu tali profili di sicurezza cum'è Filtrazione Web, Controlu di l'Applicazione è Inspezione HTTPS. In questa lezzione, avemu da cuntinuà a nostra cunniscenza cù i profili di sicurità. Prima, avemu da cunnosce l'aspetti teorichi di u funziunamentu di l'antivirus è u sistema di prevenzione d'intrusioni, è dopu cunsideremu u travagliu di sti profili di sicurità in pratica.
Cuminciamu cù l'antivirus. Prima, discutemu di e tecnulugia chì FortiGate usa per detect virus:
U scanning antivirus hè u metudu più simplice è veloce di detectà i virus. Detecta virus chì currispondenu cumplettamente à e firme cuntenute in a basa di dati antivirus.
Grayware Scan o Unwanted Program Scan - Questa tecnulugia detecta i prugrammi indesiderati chì sò stallati senza a cunniscenza o l'accunsentu di l'utilizatore. Tecnicamente, sti prugrammi ùn sò micca virus. Di solitu venenu bundle cù altri prugrammi, ma quandu sò stallati, affettanu negativamente u sistema, per quessa sò classificati cum'è malware. Spessu tali prugrammi ponu esse rilevati aduprendu signature grayware simplici da a basa di ricerca FortiGuard.
Scanning euristicu - sta tecnulugia hè basatu annantu à probabilità, cusì u so usu pò causà effetti falsi pusitivi, ma pò ancu detectà virus di ghjornu zero. I virus di u ghjornu Zero sò novi virus chì ùn sò micca stati investigati, è ùn ci sò ancu firmate chì puderanu detect. U scanning heuristicu ùn hè micca attivatu per difettu, deve esse attivatu nantu à a linea di cummanda.
Se tutte e funzioni antivirus sò attivate, FortiGate l'applica in l'ordine seguente: scan antivirus, scan grayware, scan heuristic.
FortiGate pò aduprà parechje basa di dati anti-virus, sicondu i travaglii:
- Regular anti-virus database (Normale) - hè cuntenutu in tutti i mudelli di FortiGate'ov. Include signature per i virus chì sò stati scuperti in l'ultimi mesi. Questa hè a basa di dati antivirus più chjuca, per quessa, quandu si usa, a scanning hè a più veloce. Tuttavia, sta basa di dati ùn pò micca detectà tutti i virus cunnisciuti.
- Extended (Extend) - sta basa hè supportata da a maiò parte di i mudelli FortiGate. Pò esse usatu per detectà i virus chì ùn sò più attivi. Parechji piattaforme sò sempre vulnerabili à questi virus. Inoltre, sti virus ponu purtà prublemi in u futuru.
- È l'ultimu, basa estremu (Extreme) - hè utilizatu in infrastrutture induve un altu livellu di sicurità hè necessariu. Puderà detectà tutti i virus cunnisciuti, cumpresi i virus chì miranu à i sistemi operativi legacy chì sò attualmente micca largamente distribuiti. Stu tipu di basa di dati di firma ùn hè ancu supportatu da tutti i mudelli FortiGate.
Ci hè ancu una basa di dati di firma compatta pensata per una scansione rapida. Ne parlemu un pocu dopu.
Pudete aghjurnà e basa di dati antivirus utilizendu metudi diffirenti.
U primu metudu hè Push Update - vi permette di aghjurnà e basa di dati quandu a basa di ricerca FortiGuard libera una aghjurnazione. Questu hè utile per l'infrastrutture chì necessitanu un altu livellu di sicurità, postu chì FortiGate riceverà aghjurnamenti urgenti appena diventanu dispunibili.
U sicondu mètudu hè di stabilisce un calendariu. Questu modu pudete verificà l'aghjurnamenti ogni ora, ghjornu o settimana. Questu hè, quì u intervalu di tempu hè stabilitu à a vostra discrezione.
Sti metudi ponu esse usatu inseme.
Ma avete bisognu di mantene in mente chì per esse aghjurnamenti, deve attivà u prufilu antivirus per almenu una pulitica di firewall. Altrimenti, l'aghjurnamenti ùn saranu micca fatti.
Pudete ancu scaricà l'aghjurnamenti da u situ di supportu di Fortinet è poi caricali manualmente à FortiGate.
Cunsiderate i modi di scanning. Ci sò solu trè di elli - Modu Full in Modu Basatu in Flussu, Modu Rapidu in Modu Basatu Flussu, è Modu Full in Modu Proxy. Cuminciamu cù u Modu Full in Modu Flussu.
Dicemu chì l'utilizatore vole scaricà un schedariu. Manda una dumanda. U servitore cumencia à mandà à ellu i pacchetti chì custituiscenu u schedariu. L'utilizatore riceve immediatamente questi pacchetti. Ma prima di passà questi pacchetti à l'utilizatore, FortiGate li cache. Dopu chì FortiGate riceve l'ultimu pacchettu, cumencia à scanning u schedariu. À questu tempu, l'ultimu pacchettu hè in fila è micca trasmessu à l'utilizatore. Se u schedariu ùn cuntene virus, l'ultimu pacchettu hè mandatu à l'utilizatore. Se un virus hè rilevatu, FortiGate rompe a cunnessione cù l'utilizatore.
U secondu modu di scansione dispunibule in Flow Based hè u Modu Rapidu. Aduprà una basa di dati di firma compatta chì cuntene menu firme chè una basa di dati di firma normale. Hà ancu alcune limitazioni cumparatu cù u Modu Full:
- Ùn pò micca mandà schedari à u sandbox
- Ùn pò micca aduprà analisi euristica
- Ùn pò ancu aduprà pacchetti ligati à u malware mobile.
- Certi mudelli di livellu d'entrata ùn sustene micca stu modu.
U modu rapidu verifica ancu u trafficu per virus, vermi, troiani è malware, ma senza buffering. Questu furnisce un rendimentu megliu, ma à u stessu tempu, a probabilità di detectà un virus hè ridutta.
In u modu Proxy, l'unicu modu di scansione dispunibule hè u Modu Full. Cù una tale scansione, FortiGate prima guarda u schedariu sanu nantu à u so propiu (salvo chì, sicuru, a dimensione di u schedariu permessa per a scanning hè superata). U cliente deve aspittà chì a scansione finisci. Se un virus hè rilevatu durante a scansione, l'utilizatore serà avvisatu immediatamente. Siccomu FortiGate salva u schedariu sanu prima è poi scansa, questu pò piglià un bellu pezzu. per quessa, hè pussibule per u cliente per finisce a cunnessione prima di riceve u schedariu per un longu ritardu.
A figura sottu furnisce una tabella di paragone per i modi di scansione - vi aiuterà à determinà quale tipu di scansione hè ghjustu per i vostri compiti. A cunfigurazione è a verificazione di u funziunamentu di l'antivirus sò cunsiderate in pratica in u video à a fine di l'articulu.
Passemu à a seconda parte di a lezioni - u sistema di prevenzione di intrusioni. Ma per principià à studià IPS, avete bisognu di capiscenu a diffarenza trà i sfruttamenti è l'anomali, è ancu capisce chì i meccanismi FortiGate usa per pruteggiri contru à elli.
Exploits sò attacchi cunnisciuti, cù mudelli specifichi, chì ponu esse rilevati cù IPS, WAF, o signatures antivirus.
L'anomalii sò cumportamenti inusual in a reta, cum'è una quantità inusualmente alta di trafficu o più altu di u cunsumu di CPU normale. L'anomalii anu da esse monitorate perchè ponu esse segni di un novu attaccu, ancu inesploratu. L'anomalie sò generalmente rilevate cù l'analisi di cumportamentu - e chjamate signature basate in tariffu è e pulitiche DoS.
In u risultatu, IPS nantu à FortiGate usa basi di firma per detectà attacchi cunnisciuti, è signature basate in Tariffa è politiche DoS per detectà diverse anomalie.
Per automaticamente, un settore iniziale di signature IPS hè inclusu cù ogni versione di u sistema operatore FortiGate. Cù l'aghjurnamenti, FortiGate riceve novi firme. Cusì IPS ferma efficace contr'à novi sfruttamenti. U serviziu FortiGuard aghjurnà e firme IPS abbastanza spessu.
Un puntu impurtante chì si applica à l'IPS è à l'antivirus hè chì, se e vostre licenze sò scadute, pudete ancu aduprà l'ultime firme chì avete ricevutu. Ma uttene novi senza licenze ùn funziona micca. Dunque, l'absenza di licenze hè assai indesevule - quandu i novi attacchi appariscenu, ùn puderete micca pruteggià cù vechji signatures.
I basa di dati di firma IPS sò divisi in regularmente è estesi. A basa di dati regulare cuntene signatures per attacchi cumuni chì assai raramente o mai causanu falsi pusitivi. L'azzione predeterminata per a maiò parte di queste firme hè un bloccu.
A basa allargata cuntene signature d'attaccu supplementari chì anu un impattu significativu in u rendiment di u sistema o chì ùn ponu micca esse bluccati per via di a so natura speciale. A causa di a dimensione di sta basa, ùn hè micca dispunibule per i mudelli FortiGate cù un discu chjucu o RAM. Ma per ambienti altamente sicuri, pudete bisognu di utilizà una basa estesa.
A cunfigurazione è a verificazione IPS hè ancu coperta in u video sottu.
In a prossima lezione, avemu da circà à travaglià cù l'utilizatori. Per ùn mancà micca, stà sintonizatu per l'aghjurnamenti nantu à i seguenti canali:
Source: www.habr.com