Pozdravy! Vítejte u sedmé lekce kurzu . Na seznámili jsme se s takovými bezpečnostními profily, jako je Web Filtering, Application Control a HTTPS inspekce. V této lekci budeme pokračovat v úvodu do bezpečnostních profilů. Nejprve se seznámíme s teoretickými aspekty fungování antivirového systému a systému prevence narušení a poté se podíváme na to, jak tyto bezpečnostní profily fungují v praxi.
Začněme antivirem. Nejprve si proberme technologie, které FortiGate používá k detekci virů:
Antivirová kontrola je nejjednodušší a nejrychlejší metoda detekce virů. Detekuje viry, které zcela odpovídají signaturám obsaženým v antivirové databázi.
Skenování šedé nebo nežádoucí programy – tato technologie detekuje nežádoucí programy, které jsou nainstalovány bez vědomí nebo souhlasu uživatele. Technicky tyto programy nejsou viry. Obvykle jsou dodávány s jinými programy, ale při instalaci negativně ovlivňují systém, a proto jsou klasifikovány jako malware. Často lze takové programy detekovat pomocí jednoduchých signatur šedého softwaru z výzkumné základny FortiGuard.
Heuristické skenování – tato technologie je založena na pravděpodobnostech, takže její použití může způsobit falešně pozitivní efekty, ale také dokáže detekovat zero day viry. Zero day viry jsou nové viry, které ještě nebyly studovány a neexistují žádné signatury, které by je mohly detekovat. Heuristické skenování není ve výchozím nastavení povoleno a musí být povoleno na příkazovém řádku.
Pokud jsou povoleny všechny funkce antiviru, FortiGate je aplikuje v následujícím pořadí: antivirová kontrola, kontrola šedého softwaru, heuristická kontrola.
FortiGate může používat několik antivirových databází v závislosti na úkolech:
- Normální antivirová databáze (Normal) - obsažená ve všech modelech FortiGate. Zahrnuje signatury virů, které byly objeveny v posledních měsících. Jedná se o nejmenší antivirovou databázi, takže při použití skenuje nejrychleji. Tato databáze však nedokáže detekovat všechny známé viry.
- Extended - tuto základnu podporuje většina modelů FortiGate. Lze jej použít k detekci virů, které již nejsou aktivní. Mnoho platforem je stále zranitelných vůči těmto virům. Tyto viry mohou také způsobit problémy v budoucnu.
- A poslední, extrémní základna (Extreme) – se používá v infrastrukturách, kde je vyžadována vysoká úroveň zabezpečení. S jeho pomocí můžete detekovat všechny známé viry, včetně virů zaměřených na zastaralé operační systémy, které nejsou v současné době široce distribuovány. Tento typ databáze podpisů také není podporován všemi modely FortiGate.
K dispozici je také kompaktní databáze podpisů navržená pro rychlé skenování. Promluvíme si o tom trochu později.
Antivirové databáze můžete aktualizovat různými metodami.
První metodou je Push Update, která umožňuje aktualizaci databází, jakmile výzkumná databáze FortiGuard vydá aktualizaci. To je užitečné pro infrastruktury, které vyžadují vysokou úroveň zabezpečení, protože FortiGate obdrží naléhavé aktualizace, jakmile budou k dispozici.
Druhým způsobem je nastavení rozvrhu. Tímto způsobem můžete kontrolovat aktualizace každou hodinu, den nebo týden. To znamená, že zde je časový rozsah nastaven podle vašeho uvážení.
Tyto metody lze použít společně.
Musíte však mít na paměti, že aby mohly být provedeny aktualizace, musíte povolit antivirový profil alespoň pro jednu zásadu brány firewall. V opačném případě nebudou aktualizace provedeny.
Můžete si také stáhnout aktualizace z webu podpory Fortinet a poté je ručně nahrát do FortiGate.
Podívejme se na režimy skenování. Jsou pouze tři – Full Mode v režimu Flow Based, Quick Mode v Flow Based režimu a Full Mode v proxy režimu. Začněme s Full Mode v režimu Flow.
Řekněme, že uživatel chce stáhnout soubor. Posílá žádost. Server mu začne posílat pakety, které tvoří soubor. Uživatel tyto balíčky okamžitě obdrží. Před doručením těchto paketů uživateli je však FortiGate uloží do mezipaměti. Jakmile FortiGate přijme poslední paket, začne skenovat soubor. V tomto okamžiku je poslední paket zařazen do fronty a není odeslán uživateli. Pokud soubor neobsahuje viry, je uživateli odeslán nejnovější paket. Pokud je detekován virus, FortiGate přeruší spojení s uživatelem.
Druhý režim skenování dostupný v Flow Based je Rychlý režim. Používá kompaktní databázi podpisů, která obsahuje méně podpisů než běžná databáze. Má také určitá omezení ve srovnání s Full Mode:
- Nemůže odesílat soubory do sandboxu
- Nemůže používat heuristickou analýzu
- Také nemůže používat balíčky související s mobilním malwarem
- Některé základní modely tento režim nepodporují.
Rychlý režim také kontroluje provoz na viry, červy, trojské koně a malware, ale bez ukládání do vyrovnávací paměti. To poskytuje lepší výkon, ale zároveň se snižuje pravděpodobnost detekce viru.
V režimu proxy je jediným dostupným režimem skenování Full Mode. Při takovém skenování si FortiGate nejprve uloží celý soubor na sebe (pokud samozřejmě není překročena povolená velikost souboru pro skenování). Klient musí počkat na dokončení skenování. Pokud je během skenování detekován virus, uživatel bude okamžitě informován. Protože FortiGate nejprve uloží celý soubor a poté jej prohledá, může to trvat poměrně dlouho. Z tohoto důvodu je možné, že klient kvůli dlouhé prodlevě ukončí připojení před přijetím souboru.
Níže uvedený obrázek ukazuje srovnávací tabulku pro režimy kontroly – pomůže vám určit, který typ kontroly je vhodný pro vaše úlohy. Nastavení a kontrola funkčnosti antiviru je v praxi rozebrána ve videu na konci článku.
Přejděme k druhé části lekce – k systému prevence narušení. Ale abyste mohli začít studovat IPS, musíte pochopit rozdíl mezi exploity a anomáliemi a také pochopit, jaké mechanismy FortiGate používá k ochraně proti nim.
Exploity jsou známé útoky se specifickými vzory, které lze detekovat pomocí IPS, WAF nebo antivirových signatur.
Anomálie jsou neobvyklé chování v síti, jako je neobvykle velký provoz nebo vyšší než normální spotřeba CPU.Anomálie je třeba monitorovat, protože mohou být příznaky nového, neprozkoumaného útoku. Anomálie jsou obvykle detekovány pomocí behaviorální analýzy - takzvané signatury založené na rychlosti a DoS politiky.
Výsledkem je, že IPS na FortiGate používá signatury k detekci známých útoků a Rate-Based signatures a DoS politiky k detekci různých anomálií.
Ve výchozím nastavení je počáteční sada IPS signatur součástí každé verze operačního systému FortiGate. S aktualizacemi získává FortiGate nové podpisy. Tímto způsobem zůstává IPS účinný proti novým exploitům. FortiGuard aktualizuje signatury IPS poměrně často.
Důležitým bodem, který platí pro IPS i antivirus, je, že pokud vaše licence vypršely, můžete stále používat nejnovější přijaté signatury. Bez licencí ale nové nezískáte. Absence licencí je proto krajně nežádoucí – pokud se objeví nové útoky, nebudete se moci chránit starými podpisy.
Databáze podpisů IPS se dělí na běžné a rozšířené. Typická databáze obsahuje signatury pro běžné útoky, které zřídka nebo nikdy nezpůsobují falešné poplachy. Předkonfigurovaná akce pro většinu těchto podpisů je blokování.
Rozšířená databáze obsahuje další signatury útoků, které mají významný dopad na výkon systému nebo které nelze blokovat kvůli jejich zvláštní povaze. Vzhledem k velikosti této databáze není dostupná na modelech FortiGate s malým diskem nebo RAM. Ale pro vysoce bezpečná prostředí možná budete muset použít rozšířenou základnu.
Nastavení a kontrola funkčnosti IPS je také rozebrána ve videu níže.
V další lekci se podíváme na práci s uživateli. Abyste to nezmeškali, sledujte aktualizace na následujících kanálech:
Zdroj: www.habr.com