Saluton! Bonvenon al la sepa leciono de la kurso . On ni konatiĝis kun tiaj sekurecaj profiloj kiel Reta Filtrado, Aplika Kontrolo kaj HTTPS-inspektado. En ĉi tiu leciono ni daŭrigos nian enkondukon al sekurecaj profiloj. Unue, ni konatiĝos kun la teoriaj aspektoj de funkciado de sistemo de kontraŭvirusa kaj entrudiĝa prevento, kaj poste ni rigardos kiel ĉi tiuj sekurecaj profiloj funkcias praktike.
Ni komencu per la antiviruso. Unue, ni diskutu la teknologiojn, kiujn FortiGate uzas por detekti virusojn:
Antivirusa skanado estas la plej facila kaj rapida metodo por detekti virusojn. Ĝi detektas virusojn kiuj tute kongruas kun la subskriboj enhavitaj en la kontraŭvirusa datumbazo.
Grayware Scan aŭ nedeziratan programskanadon - ĉi tiu teknologio detektas nedeziratajn programojn instalitajn sen la scio aŭ konsento de la uzanto. Teknike, ĉi tiuj programoj ne estas virusoj. Ili kutime venas kunigitaj kun aliaj programoj, sed kiam instalitaj ili negative influas la sistemon, tial ili estas klasifikitaj kiel malware. Ofte tiaj programoj povas esti detektitaj per simplaj grizaj subskriboj de la esplorbazo FortiGuard.
Heŭristika skanado - ĉi tiu teknologio baziĝas sur probabloj, do ĝia uzo povas kaŭzi falsajn pozitivajn efikojn, sed ĝi ankaŭ povas detekti nultagajn virusojn. Nul-tagaj virusoj estas novaj virusoj, kiuj ankoraŭ ne estis studitaj, kaj ne ekzistas subskriboj kiuj povus detekti ilin. Heŭristika skanado ne estas ebligita defaŭlte kaj devas esti ebligita sur la komandlinio.
Se ĉiuj antivirusaj kapabloj estas ebligitaj, FortiGate aplikas ilin en la jena sinsekvo: kontraŭvirusa skanado, grayware-skanado, heŭristika skanado.
FortiGate povas uzi plurajn kontraŭvirusajn datumbazojn, depende de la taskoj:
- Normala antivirusa datumbazo (Normala) - enhavita en ĉiuj FortiGate-modeloj. Ĝi inkluzivas subskribojn por virusoj kiuj estis malkovritaj en la lastaj monatoj. Ĉi tiu estas la plej malgranda kontraŭvirusa datumbazo, do ĝi skanas la plej rapide kiam ĝi estas uzata. Tamen, ĉi tiu datumbazo ne povas detekti ĉiujn konatajn virusojn.
- Etendita - ĉi tiu bazo estas subtenata de plej multaj modeloj de FortiGate. Ĝi povas esti uzata por detekti virusojn kiuj ne plu estas aktivaj. Multaj platformoj ankoraŭ estas vundeblaj al ĉi tiuj virusoj. Ankaŭ ĉi tiuj virusoj povas kaŭzi problemojn en la estonteco.
- Kaj la lasta, ekstrema bazo (Ekstrema) - estas uzata en infrastrukturoj kie alta nivelo de sekureco estas postulata. Kun ĝia helpo, vi povas detekti ĉiujn konatajn virusojn, inkluzive de virusoj celantaj malmodernajn operaciumojn, kiuj ne estas vaste distribuitaj nuntempe. Ĉi tiu speco de subskriba datumbazo ankaŭ ne estas subtenata de ĉiuj FortiGate-modeloj.
Ekzistas ankaŭ kompakta subskriba datumbazo dizajnita por rapida skanado. Ni parolos pri ĝi iom poste.
Vi povas ĝisdatigi kontraŭvirusajn datumbazojn per malsamaj metodoj.
La unua metodo estas Push Update, kiu permesas al datumbazoj esti ĝisdatigitaj tuj kiam la esplordatumbazo FortiGuard publikigas ĝisdatigon. Ĉi tio utilas por infrastrukturoj, kiuj postulas altan sekurecon, ĉar FortiGate ricevos urĝajn ĝisdatigojn tuj kiam ili estos disponeblaj.
La dua metodo estas agordi horaron. Tiel vi povas kontroli ĝisdatigojn ĉiun horon, tagon aŭ semajnon. Tio estas, ĉi tie la tempointervalo estas agordita laŭ via bontrovo.
Ĉi tiuj metodoj povas esti uzataj kune.
Sed vi devas memori, ke por ke ĝisdatigoj estu faritaj, vi devas ebligi la kontraŭvirusan profilon por almenaŭ unu firewall-politiko. Alie, ĝisdatigoj ne estos faritaj.
Vi ankaŭ povas elŝuti ĝisdatigojn de la Fortinet-subtenejo kaj poste mane alŝuti ilin al FortiGate.
Ni rigardu la skanajn reĝimojn. Estas nur tri el ili - Plena Reĝimo en Flua reĝimo, Rapida en Flua reĝimo kaj Plena en prokura reĝimo. Ni komencu per Plena Reĝimo en Flua reĝimo.
Ni diru, ke uzanto volas elŝuti dosieron. Li sendas peton. La servilo komencas sendi al li pakaĵetojn kiuj konsistigas la dosieron. La uzanto tuj ricevas ĉi tiujn pakaĵojn. Sed antaŭ liveri ĉi tiujn pakaĵojn al la uzanto, FortiGate konservas ilin. Post kiam FortiGate ricevas la lastan pakaĵon, ĝi komencas skani la dosieron. Ĉi-momente, la lasta pakaĵo estas vicigita kaj ne transdonita al la uzanto. Se la dosiero ne enhavas virusojn, la plej nova pako estas sendita al la uzanto. Se viruso estas detektita, FortiGate rompas la ligon kun la uzanto.
La dua skana reĝimo disponebla en Fluo Bazita estas Rapida Reĝimo. Ĝi uzas kompaktan subskriban datumbazon, kiu enhavas malpli da subskriboj ol regula datumbazo. Ĝi ankaŭ havas kelkajn limigojn kompare kun Plena Reĝimo:
- Ĝi ne povas sendi dosierojn al la sablokesto
- Ĝi ne povas uzi heŭristikan analizon
- Ankaŭ ĝi ne povas uzi pakaĵojn rilatajn al moveblaj malware
- Iuj enirnivelaj modeloj ne subtenas ĉi tiun reĝimon.
Rapida reĝimo ankaŭ kontrolas trafikon por virusoj, vermoj, trojanoj kaj malware, sed sen bufro. Ĉi tio provizas pli bonan rendimenton, sed samtempe la verŝajneco de detektado de viruso estas reduktita.
En Prokura reĝimo, la nura skana reĝimo disponebla estas Plena Reĝimo. Kun tia skanado, FortiGate unue konservas la tutan dosieron sur si mem (krom se, kompreneble, la permesebla dosiergrandeco por skanado estas superita). La kliento devas atendi ke la skanado finiĝos. Se viruso estas detektita dum skanado, la uzanto tuj estos sciigita. Ĉar FortiGate unue konservas la tutan dosieron kaj poste skanas ĝin, tio povas daŭri sufiĉe da tempo. Pro tio, estas eble por la kliento ĉesigi la konekton antaŭ ricevi la dosieron pro longa prokrasto.
La malsupra figuro montras komparan tabelon por skanado-reĝimoj - ĝi helpos vin determini, kiu tipo de skanado taŭgas por viaj taskoj. Agordo kaj kontrolado de la funkcieco de la antiviruso estas praktike diskutita en la video ĉe la fino de la artikolo.
Ni transiru al la dua parto de la leciono - la sistemo de prevento de entrudiĝoj. Sed por komenci studi IPS, vi devas kompreni la diferencon inter ekspluatoj kaj anomalioj, kaj ankaŭ kompreni kiajn mekanismojn FortiGate uzas por protekti kontraŭ ili.
Eksplotoj estas konataj atakoj kun specifaj ŝablonoj, kiuj povas esti detektitaj per IPS, WAF aŭ kontraŭvirusaj subskriboj.
Anomalioj estas nekutima konduto en reto, kiel nekutime granda kvanto da trafiko aŭ pli alta ol normala CPU-konsumo.Anomalioj devas esti monitoritaj ĉar ili povas esti signoj de nova, neesplorita atako. Anomalioj estas kutime detektitaj uzante kondutisman analizon - tielnomitaj tarif-bazitaj subskriboj kaj DoS-politikoj.
Kiel rezulto, IPS sur FortiGate uzas subskribajn bazojn por detekti konatajn atakojn, kaj Rate-Based signaturojn kaj DoS-politikojn por detekti diversajn anomaliojn.
Defaŭlte, komenca aro de IPS-subskriboj estas inkluzivita kun ĉiu versio de la operaciumo FortiGate. Kun ĝisdatigoj, FortiGate ricevas novajn subskribojn. Tiel, IPS restas efika kontraŭ novaj ekspluatoj. FortiGuard ĝisdatigas IPS-subskribojn sufiĉe ofte.
Grava punkto, kiu validas por kaj IPS kaj kontraŭviruso, estas, ke se viaj licencoj eksvalidiĝis, vi ankoraŭ povas uzi la lastajn subskribojn ricevitajn. Sed vi ne povos akiri novajn sen permesiloj. Tial la foresto de licencoj estas ege nedezirinda - se aperas novaj atakoj, vi ne povos protekti vin per malnovaj subskriboj.
IPS-signaturdatumbazoj estas dividitaj en regulajn kaj plilongigitajn. Tipa datumbazo enhavas signaturojn por oftaj atakoj kiuj malofte aŭ neniam kaŭzas falsajn pozitivojn. La antaŭkonfigurita ago por la plej multaj el ĉi tiuj subskriboj estas bloko.
La etendita datumbazo enhavas kromajn ataksignaturojn kiuj havas signifan efikon al sistema efikeco, aŭ kiuj ne povas esti blokitaj pro sia speciala naturo. Pro la grandeco de ĉi tiu datumbazo, ĝi ne estas havebla sur FortiGate-modeloj kun malgranda disko aŭ RAM. Sed por tre sekuraj medioj, vi eble bezonos uzi plilongigitan bazon.
Agordo kaj kontrolado de la funkcieco de IPS ankaŭ estas diskutita en la suba video.
En la sekva leciono ni rigardos labori kun uzantoj. Por ne maltrafi ĝin, sekvu la ĝisdatigojn ĉe la sekvaj kanaloj:
fonto: www.habr.com