GrĂŒĂe! Willkommen zur siebten Lektion des Kurses . Auf Wir haben uns mit Sicherheitsprofilen wie Webfilterung, Anwendungskontrolle und HTTPS-Inspektion vertraut gemacht. In dieser Lektion werden wir unsere Bekanntschaft mit Sicherheitsprofilen fortsetzen. ZunĂ€chst machen wir uns mit den theoretischen Aspekten der Funktionsweise des Antiviren- und Intrusion-Prevention-Systems vertraut und betrachten dann die Funktionsweise dieser Sicherheitsprofile in der Praxis.
Beginnen wir mit dem Antivirenprogramm. Lassen Sie uns zunÀchst die Technologien besprechen, die FortiGate zur Erkennung von Viren verwendet:
Antiviren-Scans sind die einfachste und schnellste Methode zur Virenerkennung. Es erkennt Viren, die vollstĂ€ndig mit den in der Antiviren-Datenbank enthaltenen Signaturen ĂŒbereinstimmen.
Grayware-Scan oder Scan unerwĂŒnschter Programme â Diese Technologie erkennt unerwĂŒnschte Programme, die ohne Wissen oder Zustimmung des Benutzers installiert werden. Technisch gesehen sind diese Programme keine Viren. Normalerweise werden sie mit anderen Programmen gebĂŒndelt geliefert, wirken sich jedoch bei der Installation negativ auf das System aus, weshalb sie als Malware eingestuft werden. HĂ€ufig können solche Programme mithilfe einfacher Grayware-Signaturen aus der FortiGuard-Forschungsbasis erkannt werden.
Heuristisches Scannen â diese Technologie basiert auf Wahrscheinlichkeiten, sodass ihre Verwendung zu Fehlalarmen fĂŒhren kann, aber auch Zero-Day-Viren erkennen kann. Bei Zero-Day-Viren handelt es sich um neue Viren, die noch nicht untersucht wurden und fĂŒr deren Erkennung es noch keine Signaturen gibt. Heuristisches Scannen ist standardmĂ€Ăig nicht aktiviert, es muss in der Befehlszeile aktiviert werden.
Wenn alle Antivirenfunktionen aktiviert sind, wendet FortiGate sie in der folgenden Reihenfolge an: Antivirenscan, Grayware-Scan, heuristischer Scan.
FortiGate kann je nach Aufgabenstellung mehrere Antiviren-Datenbanken nutzen:
- RegulĂ€re Antiviren-Datenbank (Normal) â ist in allen FortiGate'ov-Modellen enthalten. Es enthĂ€lt Signaturen fĂŒr Viren, die in den letzten Monaten entdeckt wurden. Dies ist die kleinste Antiviren-Datenbank, daher ist der Scanvorgang bei Verwendung am schnellsten. Allerdings kann diese Datenbank nicht alle bekannten Viren erkennen.
- Erweitert (Extend) â diese Basis wird von den meisten FortiGate-Modellen unterstĂŒtzt. Damit lassen sich Viren erkennen, die nicht mehr aktiv sind. Viele Plattformen sind immer noch anfĂ€llig fĂŒr diese Viren. AuĂerdem können diese Viren in Zukunft Probleme mit sich bringen.
- Und die letzte, extreme Basis (Extreme) wird in Infrastrukturen verwendet, in denen ein hohes MaĂ an Sicherheit erforderlich ist. Es kann alle bekannten Viren erkennen, einschlieĂlich Viren, die auf Ă€ltere Betriebssysteme abzielen, die derzeit nicht weit verbreitet sind. Auch diese Art der Signaturdatenbank wird nicht von allen FortiGate-Modellen unterstĂŒtzt.
AuĂerdem gibt es eine kompakte Signaturdatenbank, die fĂŒr schnelles Scannen ausgelegt ist. Wir werden etwas spĂ€ter darĂŒber sprechen.
Sie können Antiviren-Datenbanken mit verschiedenen Methoden aktualisieren.
Die erste Methode ist Push Update â sie ermöglicht Ihnen, die Datenbanken zu aktualisieren, sobald die FortiGuard-Forschungsbasis ein Update veröffentlicht. Dies ist fĂŒr Infrastrukturen nĂŒtzlich, die ein hohes MaĂ an Sicherheit erfordern, da FortiGate dringende Updates erhĂ€lt, sobald diese verfĂŒgbar sind.
Die zweite Methode besteht darin, einen Zeitplan festzulegen. Auf diese Weise können Sie jede Stunde, jeden Tag oder jede Woche nach Updates suchen. Das heiĂt, hier wird der Zeitbereich nach Ihrem Ermessen festgelegt.
Diese Methoden können zusammen verwendet werden.
Beachten Sie jedoch, dass Sie das Antivirenprofil fĂŒr mindestens eine Firewall-Richtlinie aktivieren mĂŒssen, damit Updates durchgefĂŒhrt werden können. Andernfalls werden keine Aktualisierungen vorgenommen.
Sie können Updates auch von der Fortinet-Supportseite herunterladen und sie dann manuell auf FortiGate hochladen.
ErwÀgen Sie Scanmodi. Es gibt nur drei davon: Vollmodus im Flow-basierten Modus, Schnellmodus im Flow-basierten Modus und Vollmodus im Proxy-Modus. Beginnen wir mit dem Vollmodus im Flow-Modus.
Nehmen wir an, der Benutzer möchte eine Datei herunterladen. Er sendet eine Anfrage. Der Server beginnt, ihm die Pakete zu senden, aus denen die Datei besteht. Der Benutzer erhĂ€lt diese Pakete sofort. Bevor diese Pakete jedoch an den Benutzer weitergeleitet werden, werden sie von FortiGate zwischengespeichert. Nachdem FortiGate das letzte Paket empfangen hat, beginnt es mit dem Scannen der Datei. Zu diesem Zeitpunkt wird das letzte Paket in die Warteschlange gestellt und nicht an den Benutzer ĂŒbertragen. Wenn die Datei keine Viren enthĂ€lt, wird das letzte Paket an den Benutzer gesendet. Wenn ein Virus erkannt wird, unterbricht FortiGate die Verbindung zum Benutzer.
Der zweite in Flow Based verfĂŒgbare Scanmodus ist der Schnellmodus. Es verwendet eine kompakte Signaturdatenbank, die weniger Signaturen enthĂ€lt als eine normale Signaturdatenbank. Im Vergleich zum Vollmodus gibt es auch einige EinschrĂ€nkungen:
- Es können keine Dateien an die Sandbox gesendet werden
- Es kann keine heuristische Analyse verwendet werden
- Es können auch keine Pakete im Zusammenhang mit mobiler Malware verwendet werden.
- Einige Einstiegsmodelle unterstĂŒtzen diesen Modus nicht.
Der Schnellmodus ĂŒberprĂŒft den Datenverkehr auch auf Viren, WĂŒrmer, Trojaner und Malware, jedoch ohne Pufferung. Dies sorgt fĂŒr eine bessere Leistung, gleichzeitig verringert sich jedoch die Wahrscheinlichkeit, einen Virus zu entdecken.
Im Proxy-Modus ist der einzige verfĂŒgbare Scanmodus der Vollmodus. Bei einem solchen Scan speichert FortiGate zunĂ€chst die gesamte Datei selbststĂ€ndig (es sei denn natĂŒrlich, die zulĂ€ssige DateigröĂe fĂŒr den Scan wird ĂŒberschritten). Der Client muss warten, bis der Scan abgeschlossen ist. Wenn beim Scan ein Virus entdeckt wird, wird der Benutzer sofort benachrichtigt. Da FortiGate zunĂ€chst die gesamte Datei speichert und diese dann scannt, kann dies recht lange dauern. Aus diesem Grund ist es möglich, dass der Client aufgrund einer langen Verzögerung die Verbindung beendet, bevor er die Datei erhĂ€lt.
Die folgende Abbildung zeigt eine Vergleichstabelle fĂŒr die Scanmodi. Sie hilft Ihnen dabei, herauszufinden, welcher Scantyp fĂŒr Ihre Aufgaben der richtige ist. Das Konfigurieren und ĂberprĂŒfen der Leistung des Antivirenprogramms wird im Video am Ende des Artikels in der Praxis behandelt.
Kommen wir zum zweiten Teil der Lektion â dem Intrusion Prevention System. Um jedoch mit dem Studium von IPS zu beginnen, mĂŒssen Sie den Unterschied zwischen Exploits und Anomalien verstehen und verstehen, welche Mechanismen FortiGate zum Schutz vor ihnen verwendet.
Exploits sind bekannte Angriffe mit bestimmten Mustern, die mithilfe von IPS-, WAF- oder Antivirensignaturen erkannt werden können.
Anomalien sind ungewöhnliches Verhalten im Netzwerk, wie beispielsweise ein ungewöhnlich hoher Datenverkehr oder eine höhere CPU-Auslastung als normal. Anomalien sollten ĂŒberwacht werden, da sie Anzeichen fĂŒr einen neuen, noch unerforschten Angriff sein können. Anomalien werden in der Regel mithilfe von Verhaltensanalysen erkannt â den sogenannten ratenbasierten Signaturen und DoS-Richtlinien.
Daher verwendet IPS auf FortiGate Signaturbasen, um bekannte Angriffe zu erkennen, sowie ratenbasierte Signaturen und DoS-Richtlinien, um verschiedene Anomalien zu erkennen.
StandardmĂ€Ăig ist in jeder Version des FortiGate-Betriebssystems ein erster Satz IPS-Signaturen enthalten. Mit Updates erhĂ€lt FortiGate neue Signaturen. Somit bleibt IPS wirksam gegen neue Exploits. Der FortiGuard-Dienst aktualisiert die IPS-Signaturen recht hĂ€ufig.
Ein wichtiger Punkt, der sowohl fĂŒr IPS als auch fĂŒr Antivirenprogramme gilt: Wenn Ihre Lizenzen abgelaufen sind, können Sie immer noch die neuesten Signaturen verwenden, die Sie erhalten haben. Aber ohne Lizenz neue zu bekommen, wird nicht funktionieren. Daher ist das Fehlen von Lizenzen höchst unerwĂŒnscht â wenn neue Angriffe auftreten, können Sie sich nicht mit alten Signaturen schĂŒtzen.
IPS-Signaturdatenbanken werden in regulĂ€re und erweiterte Datenbanken unterteilt. Die regulĂ€re Datenbank enthĂ€lt Signaturen fĂŒr hĂ€ufige Angriffe, die sehr selten oder nie zu Fehlalarmen fĂŒhren. Die Standardaktion fĂŒr die meisten dieser Signaturen ist eine Blockierung.
Die erweiterte Basis enthĂ€lt zusĂ€tzliche Angriffssignaturen, die einen erheblichen Einfluss auf die Systemleistung haben oder aufgrund ihrer besonderen Natur nicht blockiert werden können. Aufgrund der GröĂe dieser Basis ist sie nicht fĂŒr FortiGate-Modelle mit kleiner Festplatte oder RAM verfĂŒgbar. FĂŒr hochsichere Umgebungen mĂŒssen Sie jedoch möglicherweise eine erweiterte Basis verwenden.
Die IPS-Einrichtung und -Verifizierung wird auch im folgenden Video behandelt.
In der nÀchsten Lektion werden wir uns mit der Arbeit mit Benutzern befassen. Um es nicht zu verpassen, bleiben Sie auf den folgenden KanÀlen auf dem Laufenden:
Source: habr.com
