Vær hilset! Velkommen til kursets syvende lektion . på vi stiftede bekendtskab med sikkerhedsprofiler som webfiltrering, applikationskontrol og HTTPS-inspektion. I denne lektion vil vi fortsætte vores introduktion til sikkerhedsprofiler. Først vil vi stifte bekendtskab med de teoretiske aspekter af driften af et antivirus- og indtrængningssystem, og derefter vil vi se på, hvordan disse sikkerhedsprofiler fungerer i praksis.
Lad os starte med antivirus. Lad os først diskutere de teknologier, som FortiGate bruger til at opdage vira:
Antivirusscanning er den nemmeste og hurtigste metode til at opdage vira. Den registrerer vira, der fuldstændig matcher signaturerne i antivirusdatabasen.
Grayware-scanning eller uønsket programscanning - denne teknologi registrerer uønskede programmer, der er installeret uden brugerens viden eller samtykke. Teknisk set er disse programmer ikke vira. De kommer normalt sammen med andre programmer, men når de er installeret, påvirker de systemet negativt, hvorfor de er klassificeret som malware. Ofte kan sådanne programmer detekteres ved hjælp af simple greyware-signaturer fra FortiGuards forskningsbase.
Heuristisk scanning - denne teknologi er baseret på sandsynligheder, så brugen af den kan forårsage falske positive effekter, men den kan også detektere zero day virus. Zero day virus er nye vira, der endnu ikke er blevet undersøgt, og der er ingen signaturer, der kunne opdage dem. Heuristisk scanning er ikke aktiveret som standard og skal være aktiveret på kommandolinjen.
Hvis alle antivirusfunktioner er aktiveret, anvender FortiGate dem i følgende rækkefølge: antivirusscanning, greyware-scanning, heuristisk scanning.
FortiGate kan bruge flere antivirusdatabaser, afhængigt af opgaverne:
- Normal antivirusdatabase (Normal) - indeholdt i alle FortiGate-modeller. Det inkluderer signaturer for vira, der er blevet opdaget i de seneste måneder. Dette er den mindste antivirusdatabase, så den scanner hurtigst, når den bruges. Denne database kan dog ikke detektere alle kendte vira.
- Udvidet - denne base understøttes af de fleste FortiGate-modeller. Det kan bruges til at opdage vira, der ikke længere er aktive. Mange platforme er stadig sårbare over for disse vira. Disse vira kan også forårsage problemer i fremtiden.
- Og den sidste, ekstreme base (Extreme) - bruges i infrastrukturer, hvor der kræves et højt sikkerhedsniveau. Med dens hjælp kan du opdage alle kendte vira, inklusive vira rettet mod forældede operativsystemer, som ikke er meget udbredt i øjeblikket. Denne type signaturdatabase understøttes heller ikke af alle FortiGate-modeller.
Der er også en kompakt signaturdatabase designet til hurtig scanning. Vi taler om det lidt senere.
Du kan opdatere antivirusdatabaser ved hjælp af forskellige metoder.
Den første metode er Push Update, som gør det muligt at opdatere databaser, så snart FortiGuards forskningsdatabase frigiver en opdatering. Dette er nyttigt for infrastrukturer, der kræver et højt sikkerhedsniveau, da FortiGate vil modtage presserende opdateringer, så snart de er tilgængelige.
Den anden metode er at sætte en tidsplan. På denne måde kan du tjekke for opdateringer hver time, dag eller uge. Det vil sige, at her indstilles tidsintervallet efter dit skøn.
Disse metoder kan bruges sammen.
Men du skal huske på, at for at der kan foretages opdateringer, skal du aktivere antivirusprofilen for mindst én firewallpolitik. Ellers vil der ikke blive foretaget opdateringer.
Du kan også downloade opdateringer fra Fortinets supportwebsted og derefter manuelt uploade dem til FortiGate.
Lad os se på scanningstilstandene. Der er kun tre af dem - Fuld tilstand i flowbaseret tilstand, hurtig tilstand i flowbaseret tilstand og fuld tilstand i proxytilstand. Lad os starte med fuld tilstand i flowtilstand.
Lad os sige, at en bruger vil downloade en fil. Han sender en anmodning. Serveren begynder at sende ham pakker, der udgør filen. Brugeren modtager straks disse pakker. Men før de leverer disse pakker til brugeren, cacher FortiGate dem. Efter at FortiGate har modtaget den sidste pakke, begynder den at scanne filen. På dette tidspunkt er den sidste pakke i kø og sendes ikke til brugeren. Hvis filen ikke indeholder virus, sendes den seneste pakke til brugeren. Hvis der opdages en virus, afbryder FortiGate forbindelsen med brugeren.
Den anden scanningstilstand, der er tilgængelig i Flow Based, er Quick Mode. Den bruger en kompakt signaturdatabase, som indeholder færre signaturer end en almindelig database. Det har også nogle begrænsninger sammenlignet med fuld tilstand:
- Det kan ikke sende filer til sandkassen
- Den kan ikke bruge heuristisk analyse
- Den kan heller ikke bruge pakker relateret til mobil malware
- Nogle begyndermodeller understøtter ikke denne tilstand.
Hurtig tilstand kontrollerer også trafikken for vira, orme, trojanske heste og malware, men uden buffering. Dette giver bedre ydeevne, men samtidig reduceres sandsynligheden for at opdage en virus.
I proxytilstand er den eneste tilgængelige scanningstilstand fuld tilstand. Med en sådan scanning gemmer FortiGate først hele filen på sig selv (medmindre selvfølgelig den tilladte filstørrelse for scanning overskrides). Klienten skal vente på, at scanningen er fuldført. Hvis der opdages en virus under scanning, vil brugeren få besked med det samme. Fordi FortiGate først gemmer hele filen og derefter scanner den, kan dette tage ret lang tid. På grund af dette er det muligt for klienten at afslutte forbindelsen før modtagelse af filen på grund af en lang forsinkelse.
Nedenstående figur viser en sammenligningstabel for scanningstilstande - den hjælper dig med at bestemme, hvilken type scanning der passer til dine opgaver. Opsætning og kontrol af antivirusprogrammets funktionalitet diskuteres i praksis i videoen i slutningen af artiklen.
Lad os gå videre til anden del af lektionen - systemet til forebyggelse af indtrængen. Men for at begynde at studere IPS, skal du forstå forskellen mellem udnyttelser og uregelmæssigheder og også forstå, hvilke mekanismer FortiGate bruger til at beskytte mod dem.
Udnyttelse er kendte angreb med specifikke mønstre, der kan detekteres ved hjælp af IPS, WAF eller antivirussignaturer.
Anomalier er usædvanlig adfærd på et netværk, såsom en usædvanlig stor mængde trafik eller højere end normalt CPU-forbrug. Anomalier skal overvåges, fordi de kan være tegn på et nyt, uudforsket angreb. Anomalier opdages normalt ved hjælp af adfærdsanalyse - såkaldte rate-baserede signaturer og DoS-politikker.
Som et resultat bruger IPS på FortiGate signaturbaser til at opdage kendte angreb, og Rate-Based signaturer og DoS-politikker til at opdage forskellige uregelmæssigheder.
Som standard er et første sæt IPS-signaturer inkluderet i hver version af FortiGate-operativsystemet. Med opdateringer modtager FortiGate nye signaturer. På denne måde forbliver IPS effektiv mod nye udnyttelser. FortiGuard opdaterer IPS-signaturer ret ofte.
En vigtig pointe, der gælder både for IPS og antivirus, er, at hvis dine licenser er udløbet, kan du stadig bruge de seneste modtagne signaturer. Men du vil ikke kunne få nye uden licenser. Derfor er fraværet af licenser yderst uønsket – hvis nye angreb dukker op, vil du ikke være i stand til at beskytte dig selv med gamle signaturer.
IPS signaturdatabaser er opdelt i almindelige og udvidede. En typisk database indeholder signaturer for almindelige angreb, der sjældent eller aldrig forårsager falske positiver. Den forudkonfigurerede handling for de fleste af disse signaturer er blokering.
Den udvidede database indeholder yderligere angrebssignaturer, som har en væsentlig indflydelse på systemets ydeevne, eller som ikke kan blokeres på grund af deres særlige karakter. På grund af størrelsen af denne database er den ikke tilgængelig på FortiGate-modeller med lille disk eller RAM. Men for meget sikre miljøer skal du muligvis bruge en udvidet base.
Opsætning og kontrol af funktionaliteten af IPS er også diskuteret i videoen nedenfor.
I den næste lektion vil vi se på arbejdet med brugerne. For ikke at gå glip af det, følg opdateringerne på følgende kanaler:
Kilde: www.habr.com