Χαιρετίσματα! Καλώς ήρθατε στο έβδομο μάθημα του μαθήματος . επί Γνωριστήκαμε με προφίλ ασφαλείας όπως το φιλτράρισμα ιστού, ο έλεγχος εφαρμογών και η επιθεώρηση HTTPS. Σε αυτό το μάθημα θα συνεχίσουμε την εισαγωγή μας στα προφίλ ασφαλείας. Αρχικά, θα εξοικειωθούμε με τις θεωρητικές πτυχές της λειτουργίας ενός συστήματος προστασίας από ιούς και αποτροπής εισβολών και στη συνέχεια θα δούμε πώς λειτουργούν στην πράξη αυτά τα προφίλ ασφαλείας.
Ας ξεκινήσουμε με το antivirus. Αρχικά, ας συζητήσουμε τις τεχνολογίες που χρησιμοποιεί το FortiGate για τον εντοπισμό ιών:
Η σάρωση προστασίας από ιούς είναι η πιο εύκολη και γρήγορη μέθοδος ανίχνευσης ιών. Εντοπίζει ιούς που ταιριάζουν πλήρως με τις υπογραφές που περιέχονται στη βάση δεδομένων προστασίας από ιούς.
Grayware Scan ή ανεπιθύμητη σάρωση προγραμμάτων - αυτή η τεχνολογία εντοπίζει ανεπιθύμητα προγράμματα που εγκαθίστανται χωρίς τη γνώση ή τη συγκατάθεση του χρήστη. Τεχνικά, αυτά τα προγράμματα δεν είναι ιοί. Συνήθως συνοδεύονται από άλλα προγράμματα, αλλά όταν εγκατασταθούν επηρεάζουν αρνητικά το σύστημα, γι' αυτό και ταξινομούνται ως κακόβουλο λογισμικό. Συχνά τέτοια προγράμματα μπορούν να εντοπιστούν χρησιμοποιώντας απλές υπογραφές grayware από την ερευνητική βάση FortiGuard.
Ευρετική σάρωση - αυτή η τεχνολογία βασίζεται σε πιθανότητες, επομένως η χρήση της μπορεί να προκαλέσει ψευδώς θετικά αποτελέσματα, αλλά μπορεί επίσης να ανιχνεύσει ιούς μηδενικής ημέρας. Οι ιοί Zero day είναι νέοι ιοί που δεν έχουν ακόμη μελετηθεί και δεν υπάρχουν υπογραφές που θα μπορούσαν να τους ανιχνεύσουν. Η ευρετική σάρωση δεν είναι ενεργοποιημένη από προεπιλογή και πρέπει να ενεργοποιηθεί στη γραμμή εντολών.
Εάν είναι ενεργοποιημένες όλες οι δυνατότητες προστασίας από ιούς, το FortiGate τις εφαρμόζει με την ακόλουθη σειρά: σάρωση προστασίας από ιούς, σάρωση grayware, ευρετική σάρωση.
Το FortiGate μπορεί να χρησιμοποιήσει πολλές βάσεις δεδομένων προστασίας από ιούς, ανάλογα με τις εργασίες:
- Κανονική βάση δεδομένων προστασίας από ιούς (Normal) - περιέχεται σε όλα τα μοντέλα FortiGate. Περιλαμβάνει υπογραφές για ιούς που έχουν ανακαλυφθεί τους τελευταίους μήνες. Αυτή είναι η μικρότερη βάση δεδομένων προστασίας από ιούς, επομένως σαρώνει ταχύτερα όταν χρησιμοποιείται. Ωστόσο, αυτή η βάση δεδομένων δεν μπορεί να εντοπίσει όλους τους γνωστούς ιούς.
- Extended - αυτή η βάση υποστηρίζεται από τα περισσότερα μοντέλα FortiGate. Μπορεί να χρησιμοποιηθεί για τον εντοπισμό ιών που δεν είναι πλέον ενεργοί. Πολλές πλατφόρμες εξακολουθούν να είναι ευάλωτες σε αυτούς τους ιούς. Επίσης, αυτοί οι ιοί μπορούν να προκαλέσουν προβλήματα στο μέλλον.
- Και η τελευταία, ακραία βάση (Extreme) - χρησιμοποιείται σε υποδομές όπου απαιτείται υψηλό επίπεδο ασφάλειας. Με τη βοήθειά του, μπορείτε να εντοπίσετε όλους τους γνωστούς ιούς, συμπεριλαμβανομένων των ιών που στοχεύουν σε ξεπερασμένα λειτουργικά συστήματα, τα οποία δεν είναι ευρέως διαδεδομένα αυτήν τη στιγμή. Αυτός ο τύπος βάσης δεδομένων υπογραφής δεν υποστηρίζεται επίσης από όλα τα μοντέλα FortiGate.
Υπάρχει επίσης μια συμπαγής βάση δεδομένων υπογραφής σχεδιασμένη για γρήγορη σάρωση. Θα το συζητήσουμε λίγο αργότερα.
Μπορείτε να ενημερώσετε τις βάσεις δεδομένων προστασίας από ιούς χρησιμοποιώντας διαφορετικές μεθόδους.
Η πρώτη μέθοδος είναι η Push Update, η οποία επιτρέπει την ενημέρωση των βάσεων δεδομένων μόλις η ερευνητική βάση δεδομένων FortiGuard κυκλοφορήσει μια ενημέρωση. Αυτό είναι χρήσιμο για υποδομές που απαιτούν υψηλό επίπεδο ασφάλειας, καθώς το FortiGate θα λάβει επείγουσες ενημερώσεις μόλις είναι διαθέσιμες.
Η δεύτερη μέθοδος είναι να ορίσετε ένα χρονοδιάγραμμα. Με αυτόν τον τρόπο μπορείτε να ελέγχετε για ενημερώσεις κάθε ώρα, ημέρα ή εβδομάδα. Δηλαδή, εδώ το χρονικό εύρος ρυθμίζεται κατά την κρίση σας.
Αυτές οι μέθοδοι μπορούν να χρησιμοποιηθούν μαζί.
Πρέπει όμως να έχετε κατά νου ότι για να γίνουν ενημερώσεις, πρέπει να ενεργοποιήσετε το προφίλ προστασίας από ιούς για τουλάχιστον μία πολιτική τείχους προστασίας. Διαφορετικά, δεν θα γίνονται ενημερώσεις.
Μπορείτε επίσης να κάνετε λήψη ενημερώσεων από τον ιστότοπο υποστήριξης του Fortinet και, στη συνέχεια, να τις ανεβάσετε με μη αυτόματο τρόπο στο FortiGate.
Ας δούμε τις λειτουργίες σάρωσης. Υπάρχουν μόνο τρεις από αυτές - Πλήρης λειτουργία σε λειτουργία με βάση τη ροή, Γρήγορη λειτουργία σε λειτουργία βάσει ροής και πλήρης λειτουργία σε λειτουργία μεσολάβησης. Ας ξεκινήσουμε με την πλήρη λειτουργία σε λειτουργία ροής.
Ας υποθέσουμε ότι ένας χρήστης θέλει να κατεβάσει ένα αρχείο. Στέλνει ένα αίτημα. Ο διακομιστής αρχίζει να του στέλνει πακέτα που απαρτίζουν το αρχείο. Ο χρήστης λαμβάνει αμέσως αυτά τα πακέτα. Αλλά πριν παραδώσει αυτά τα πακέτα στον χρήστη, το FortiGate τα αποθηκεύει στην κρυφή μνήμη. Αφού το FortiGate λάβει το τελευταίο πακέτο, ξεκινά τη σάρωση του αρχείου. Αυτή τη στιγμή, το τελευταίο πακέτο βρίσκεται στην ουρά και δεν μεταδίδεται στον χρήστη. Εάν το αρχείο δεν περιέχει ιούς, το πιο πρόσφατο πακέτο αποστέλλεται στον χρήστη. Εάν εντοπιστεί ιός, το FortiGate διακόπτει τη σύνδεση με τον χρήστη.
Η δεύτερη λειτουργία σάρωσης που είναι διαθέσιμη στο Flow Based είναι η Γρήγορη λειτουργία. Χρησιμοποιεί μια συμπαγή βάση δεδομένων υπογραφών, η οποία περιέχει λιγότερες υπογραφές από μια κανονική βάση δεδομένων. Έχει επίσης ορισμένους περιορισμούς σε σύγκριση με την πλήρη λειτουργία:
- Δεν μπορεί να στείλει αρχεία στο sandbox
- Δεν μπορεί να χρησιμοποιήσει ευρετική ανάλυση
- Επίσης, δεν μπορεί να χρησιμοποιήσει πακέτα που σχετίζονται με κακόβουλο λογισμικό για κινητά
- Ορισμένα μοντέλα εισαγωγικού επιπέδου δεν υποστηρίζουν αυτήν τη λειτουργία.
Η γρήγορη λειτουργία ελέγχει επίσης την κυκλοφορία για ιούς, ιούς τύπου worm, trojans και κακόβουλο λογισμικό, αλλά χωρίς αποθήκευση. Αυτό παρέχει καλύτερη απόδοση, αλλά ταυτόχρονα μειώνεται η πιθανότητα ανίχνευσης ιού.
Στη λειτουργία Proxy, η μόνη διαθέσιμη λειτουργία σάρωσης είναι η πλήρης λειτουργία. Με μια τέτοια σάρωση, το FortiGate αποθηκεύει πρώτα ολόκληρο το αρχείο στον εαυτό του (εκτός, φυσικά, εάν ξεπεραστεί το επιτρεπόμενο μέγεθος αρχείου για σάρωση). Ο πελάτης πρέπει να περιμένει να ολοκληρωθεί η σάρωση. Εάν εντοπιστεί ιός κατά τη σάρωση, ο χρήστης θα ειδοποιηθεί αμέσως. Επειδή το FortiGate αποθηκεύει πρώτα ολόκληρο το αρχείο και μετά το σαρώνει, αυτό μπορεί να διαρκέσει πολύ. Εξαιτίας αυτού, είναι δυνατό για τον πελάτη να τερματίσει τη σύνδεση πριν λάβει το αρχείο λόγω μεγάλης καθυστέρησης.
Το παρακάτω σχήμα δείχνει έναν πίνακα σύγκρισης για τις λειτουργίες σάρωσης - θα σας βοηθήσει να προσδιορίσετε ποιος τύπος σάρωσης είναι κατάλληλος για τις εργασίες σας. Η ρύθμιση και ο έλεγχος της λειτουργικότητας του antivirus συζητείται στην πράξη στο βίντεο στο τέλος του άρθρου.
Ας περάσουμε στο δεύτερο μέρος του μαθήματος - το σύστημα πρόληψης εισβολής. Αλλά για να ξεκινήσετε να μελετάτε το IPS, πρέπει να κατανοήσετε τη διαφορά μεταξύ των εκμεταλλεύσεων και των ανωμαλιών και επίσης να κατανοήσετε ποιους μηχανισμούς χρησιμοποιεί το FortiGate για να προστατεύεται από αυτά.
Οι εκμεταλλεύσεις είναι γνωστές επιθέσεις με συγκεκριμένα μοτίβα που μπορούν να εντοπιστούν χρησιμοποιώντας υπογραφές IPS, WAF ή antivirus.
Οι ανωμαλίες είναι ασυνήθιστη συμπεριφορά σε ένα δίκτυο, όπως ασυνήθιστα μεγάλος όγκος επισκεψιμότητας ή υψηλότερη από την κανονική κατανάλωση CPU. Οι ανωμαλίες πρέπει να παρακολουθούνται επειδή μπορεί να αποτελούν σημάδια μιας νέας, ανεξερεύνητης επίθεσης. Οι ανωμαλίες εντοπίζονται συνήθως χρησιμοποιώντας ανάλυση συμπεριφοράς - τις λεγόμενες υπογραφές βάσει ποσοστού και πολιτικές DoS.
Ως αποτέλεσμα, το IPS στο FortiGate χρησιμοποιεί βάσεις υπογραφών για τον εντοπισμό γνωστών επιθέσεων και υπογραφές βάσει ποσοστού και πολιτικές DoS για τον εντοπισμό διαφόρων ανωμαλιών.
Από προεπιλογή, ένα αρχικό σύνολο υπογραφών IPS περιλαμβάνεται σε κάθε έκδοση του λειτουργικού συστήματος FortiGate. Με ενημερώσεις, το FortiGate λαμβάνει νέες υπογραφές. Με αυτόν τον τρόπο, το IPS παραμένει αποτελεσματικό έναντι νέων εκμεταλλεύσεων. Το FortiGuard ενημερώνει τις υπογραφές IPS αρκετά συχνά.
Ένα σημαντικό σημείο που ισχύει τόσο για το IPS όσο και για το πρόγραμμα προστασίας από ιούς είναι ότι εάν οι άδειές σας έχουν λήξει, μπορείτε να χρησιμοποιήσετε τις πιο πρόσφατες υπογραφές που έχετε λάβει. Αλλά δεν θα μπορείτε να αποκτήσετε νέα χωρίς άδειες. Επομένως, η απουσία αδειών είναι εξαιρετικά ανεπιθύμητη - εάν εμφανιστούν νέες επιθέσεις, δεν θα μπορείτε να προστατεύσετε τον εαυτό σας με παλιές υπογραφές.
Οι βάσεις δεδομένων υπογραφών IPS χωρίζονται σε κανονικές και εκτεταμένες. Μια τυπική βάση δεδομένων περιέχει υπογραφές για κοινές επιθέσεις που σπάνια ή ποτέ δεν προκαλούν ψευδώς θετικά αποτελέσματα. Η προρυθμισμένη ενέργεια για τις περισσότερες από αυτές τις υπογραφές είναι αποκλεισμός.
Η εκτεταμένη βάση δεδομένων περιέχει πρόσθετες υπογραφές επίθεσης που έχουν σημαντικό αντίκτυπο στην απόδοση του συστήματος ή που δεν μπορούν να αποκλειστούν λόγω της ειδικής φύσης τους. Λόγω του μεγέθους αυτής της βάσης δεδομένων, δεν είναι διαθέσιμη σε μοντέλα FortiGate με μικρό δίσκο ή μνήμη RAM. Αλλά για περιβάλλοντα υψηλής ασφάλειας, ίσως χρειαστεί να χρησιμοποιήσετε μια εκτεταμένη βάση.
Η ρύθμιση και ο έλεγχος της λειτουργικότητας του IPS συζητείται επίσης στο παρακάτω βίντεο.
Στο επόμενο μάθημα θα εξετάσουμε τη συνεργασία με τους χρήστες. Για να μην το χάσετε, ακολουθήστε τις ενημερώσεις στα παρακάτω κανάλια:
Πηγή: www.habr.com