Grüße! Willkommen zur siebten Lektion des Kurses . Auf Wir haben uns mit Sicherheitsprofilen wie Webfilterung, Anwendungskontrolle und HTTPS-Inspektion vertraut gemacht. In dieser Lektion werden wir unsere Bekanntschaft mit Sicherheitsprofilen fortsetzen. Zunächst machen wir uns mit den theoretischen Aspekten der Funktionsweise des Antiviren- und Intrusion-Prevention-Systems vertraut und betrachten dann die Funktionsweise dieser Sicherheitsprofile in der Praxis.
Beginnen wir mit dem Antivirenprogramm. Lassen Sie uns zunächst die Technologien besprechen, die FortiGate zur Erkennung von Viren verwendet:
Antiviren-Scans sind die einfachste und schnellste Methode zur Virenerkennung. Es erkennt Viren, die vollständig mit den in der Antiviren-Datenbank enthaltenen Signaturen übereinstimmen.
Grayware-Scan oder Scan unerwünschter Programme – Diese Technologie erkennt unerwünschte Programme, die ohne Wissen oder Zustimmung des Benutzers installiert werden. Technisch gesehen sind diese Programme keine Viren. Normalerweise werden sie mit anderen Programmen gebündelt geliefert, wirken sich jedoch bei der Installation negativ auf das System aus, weshalb sie als Malware eingestuft werden. Häufig können solche Programme mithilfe einfacher Grayware-Signaturen aus der FortiGuard-Forschungsbasis erkannt werden.
Heuristisches Scannen – diese Technologie basiert auf Wahrscheinlichkeiten, sodass ihre Verwendung zu Fehlalarmen führen kann, aber auch Zero-Day-Viren erkennen kann. Bei Zero-Day-Viren handelt es sich um neue Viren, die noch nicht untersucht wurden und für deren Erkennung es noch keine Signaturen gibt. Heuristisches Scannen ist standardmäßig nicht aktiviert, es muss in der Befehlszeile aktiviert werden.
Wenn alle Antivirenfunktionen aktiviert sind, wendet FortiGate sie in der folgenden Reihenfolge an: Antivirenscan, Grayware-Scan, heuristischer Scan.
FortiGate kann je nach Aufgabenstellung mehrere Antiviren-Datenbanken nutzen:
- Reguläre Antiviren-Datenbank (Normal) – ist in allen FortiGate'ov-Modellen enthalten. Es enthält Signaturen für Viren, die in den letzten Monaten entdeckt wurden. Dies ist die kleinste Antiviren-Datenbank, daher ist der Scanvorgang bei Verwendung am schnellsten. Allerdings kann diese Datenbank nicht alle bekannten Viren erkennen.
- Erweitert (Extend) – diese Basis wird von den meisten FortiGate-Modellen unterstützt. Damit lassen sich Viren erkennen, die nicht mehr aktiv sind. Viele Plattformen sind immer noch anfällig für diese Viren. Außerdem können diese Viren in Zukunft Probleme mit sich bringen.
- Und die letzte, extreme Basis (Extreme) wird in Infrastrukturen verwendet, in denen ein hohes Maß an Sicherheit erforderlich ist. Es kann alle bekannten Viren erkennen, einschließlich Viren, die auf ältere Betriebssysteme abzielen, die derzeit nicht weit verbreitet sind. Auch diese Art der Signaturdatenbank wird nicht von allen FortiGate-Modellen unterstützt.
Außerdem gibt es eine kompakte Signaturdatenbank, die für schnelles Scannen ausgelegt ist. Wir werden etwas später darüber sprechen.
Sie können Antiviren-Datenbanken mit verschiedenen Methoden aktualisieren.
Die erste Methode ist Push Update – sie ermöglicht Ihnen, die Datenbanken zu aktualisieren, sobald die FortiGuard-Forschungsbasis ein Update veröffentlicht. Dies ist für Infrastrukturen nützlich, die ein hohes Maß an Sicherheit erfordern, da FortiGate dringende Updates erhält, sobald diese verfügbar sind.
Die zweite Methode besteht darin, einen Zeitplan festzulegen. Auf diese Weise können Sie jede Stunde, jeden Tag oder jede Woche nach Updates suchen. Das heißt, hier wird der Zeitbereich nach Ihrem Ermessen festgelegt.
Diese Methoden können zusammen verwendet werden.
Beachten Sie jedoch, dass Sie das Antivirenprofil für mindestens eine Firewall-Richtlinie aktivieren müssen, damit Updates durchgeführt werden können. Andernfalls werden keine Aktualisierungen vorgenommen.
Sie können Updates auch von der Fortinet-Supportseite herunterladen und sie dann manuell auf FortiGate hochladen.
Erwägen Sie Scanmodi. Es gibt nur drei davon: Vollmodus im Flow-basierten Modus, Schnellmodus im Flow-basierten Modus und Vollmodus im Proxy-Modus. Beginnen wir mit dem Vollmodus im Flow-Modus.
Nehmen wir an, der Benutzer möchte eine Datei herunterladen. Er sendet eine Anfrage. Der Server beginnt, ihm die Pakete zu senden, aus denen die Datei besteht. Der Benutzer erhält diese Pakete sofort. Bevor diese Pakete jedoch an den Benutzer weitergeleitet werden, werden sie von FortiGate zwischengespeichert. Nachdem FortiGate das letzte Paket empfangen hat, beginnt es mit dem Scannen der Datei. Zu diesem Zeitpunkt wird das letzte Paket in die Warteschlange gestellt und nicht an den Benutzer übertragen. Wenn die Datei keine Viren enthält, wird das letzte Paket an den Benutzer gesendet. Wenn ein Virus erkannt wird, unterbricht FortiGate die Verbindung zum Benutzer.
Der zweite in Flow Based verfügbare Scanmodus ist der Schnellmodus. Es verwendet eine kompakte Signaturdatenbank, die weniger Signaturen enthält als eine normale Signaturdatenbank. Im Vergleich zum Vollmodus gibt es auch einige Einschränkungen:
- Es können keine Dateien an die Sandbox gesendet werden
- Es kann keine heuristische Analyse verwendet werden
- Es können auch keine Pakete im Zusammenhang mit mobiler Malware verwendet werden.
- Einige Einstiegsmodelle unterstützen diesen Modus nicht.
Der Schnellmodus überprüft den Datenverkehr auch auf Viren, Würmer, Trojaner und Malware, jedoch ohne Pufferung. Dies sorgt für eine bessere Leistung, gleichzeitig verringert sich jedoch die Wahrscheinlichkeit, einen Virus zu entdecken.
Im Proxy-Modus ist der einzige verfügbare Scanmodus der Vollmodus. Bei einem solchen Scan speichert FortiGate zunächst die gesamte Datei selbstständig (es sei denn natürlich, die zulässige Dateigröße für den Scan wird überschritten). Der Client muss warten, bis der Scan abgeschlossen ist. Wenn beim Scan ein Virus entdeckt wird, wird der Benutzer sofort benachrichtigt. Da FortiGate zunächst die gesamte Datei speichert und diese dann scannt, kann dies recht lange dauern. Aus diesem Grund ist es möglich, dass der Client aufgrund einer langen Verzögerung die Verbindung beendet, bevor er die Datei erhält.
Die folgende Abbildung zeigt eine Vergleichstabelle für die Scanmodi. Sie hilft Ihnen dabei, herauszufinden, welcher Scantyp für Ihre Aufgaben der richtige ist. Das Konfigurieren und Überprüfen der Leistung des Antivirenprogramms wird im Video am Ende des Artikels in der Praxis behandelt.
Kommen wir zum zweiten Teil der Lektion – dem Intrusion Prevention System. Um jedoch mit dem Studium von IPS zu beginnen, müssen Sie den Unterschied zwischen Exploits und Anomalien verstehen und verstehen, welche Mechanismen FortiGate zum Schutz vor ihnen verwendet.
Exploits sind bekannte Angriffe mit bestimmten Mustern, die mithilfe von IPS-, WAF- oder Antivirensignaturen erkannt werden können.
Anomalien sind ungewöhnliches Verhalten im Netzwerk, wie beispielsweise ein ungewöhnlich hoher Datenverkehr oder eine höhere CPU-Auslastung als normal. Anomalien sollten überwacht werden, da sie Anzeichen für einen neuen, noch unerforschten Angriff sein können. Anomalien werden in der Regel mithilfe von Verhaltensanalysen erkannt – den sogenannten ratenbasierten Signaturen und DoS-Richtlinien.
Daher verwendet IPS auf FortiGate Signaturbasen, um bekannte Angriffe zu erkennen, sowie ratenbasierte Signaturen und DoS-Richtlinien, um verschiedene Anomalien zu erkennen.
Standardmäßig ist in jeder Version des FortiGate-Betriebssystems ein erster Satz IPS-Signaturen enthalten. Mit Updates erhält FortiGate neue Signaturen. Somit bleibt IPS wirksam gegen neue Exploits. Der FortiGuard-Dienst aktualisiert die IPS-Signaturen recht häufig.
Ein wichtiger Punkt, der sowohl für IPS als auch für Antivirenprogramme gilt: Wenn Ihre Lizenzen abgelaufen sind, können Sie immer noch die neuesten Signaturen verwenden, die Sie erhalten haben. Aber ohne Lizenz neue zu bekommen, wird nicht funktionieren. Daher ist das Fehlen von Lizenzen höchst unerwünscht – wenn neue Angriffe auftreten, können Sie sich nicht mit alten Signaturen schützen.
IPS-Signaturdatenbanken werden in reguläre und erweiterte Datenbanken unterteilt. Die reguläre Datenbank enthält Signaturen für häufige Angriffe, die sehr selten oder nie zu Fehlalarmen führen. Die Standardaktion für die meisten dieser Signaturen ist eine Blockierung.
Die erweiterte Basis enthält zusätzliche Angriffssignaturen, die einen erheblichen Einfluss auf die Systemleistung haben oder aufgrund ihrer besonderen Natur nicht blockiert werden können. Aufgrund der Größe dieser Basis ist sie nicht für FortiGate-Modelle mit kleiner Festplatte oder RAM verfügbar. Für hochsichere Umgebungen müssen Sie jedoch möglicherweise eine erweiterte Basis verwenden.
Die IPS-Einrichtung und -Verifizierung wird auch im folgenden Video behandelt.
In der nächsten Lektion werden wir uns mit der Arbeit mit Benutzern befassen. Um es nicht zu verpassen, bleiben Sie auf den folgenden Kanälen auf dem Laufenden:
Source: habr.com