¡Saludos! Bienvenidos a la séptima lección del curso. . En nos familiarizamos con perfiles de seguridad como filtrado web, control de aplicaciones e inspección HTTPS. En esta lección, continuaremos conociendo los perfiles de seguridad. Primero, nos familiarizaremos con los aspectos teóricos del funcionamiento del sistema antivirus y de prevención de intrusiones, y luego consideraremos el trabajo de estos perfiles de seguridad en la práctica.
Comencemos con el antivirus. Primero, analicemos las tecnologías que utiliza FortiGate para detectar virus:
El análisis antivirus es el método más simple y rápido para detectar virus. Detecta virus que coinciden completamente con las firmas contenidas en la base de datos antivirus.
Exploración de Grayware o Exploración de programas no deseados: esta tecnología detecta programas no deseados que se instalan sin el conocimiento o consentimiento del usuario. Técnicamente, estos programas no son virus. Por lo general, vienen incluidos con otros programas, pero cuando se instalan afectan negativamente al sistema, por lo que se clasifican como malware. A menudo, estos programas se pueden detectar utilizando firmas de grayware simples de la base de investigación de FortiGuard.
Escaneo heurístico: esta tecnología se basa en probabilidades, por lo que su uso puede causar efectos de falsos positivos, pero también puede detectar virus de día cero. Los virus de día cero son virus nuevos que aún no se han investigado y aún no hay firmas que puedan detectarlos. El análisis heurístico no está habilitado de forma predeterminada, debe habilitarse en la línea de comandos.
Si todas las funciones antivirus están habilitadas, FortiGate las aplica en el siguiente orden: análisis antivirus, análisis de grayware, análisis heurístico.
FortiGate puede usar varias bases de datos antivirus, según las tareas:
- Base de datos antivirus regular (Normal): está incluida en todos los modelos de FortiGate'ov. Incluye firmas de virus que se han descubierto en los últimos meses. Esta es la base de datos antivirus más pequeña, por lo que al usarla, el escaneo es el más rápido. Sin embargo, esta base de datos no puede detectar todos los virus conocidos.
- Extendido (Extend) - esta base es compatible con la mayoría de los modelos de FortiGate. Se puede utilizar para detectar virus que ya no están activos. Muchas plataformas siguen siendo vulnerables a estos virus. Además, estos virus pueden traer problemas en el futuro.
- Y la última, base extrema (Extreme) - se utiliza en infraestructuras donde se requiere un alto nivel de seguridad. Puede detectar todos los virus conocidos, incluidos los que se dirigen a sistemas operativos heredados que actualmente no están ampliamente distribuidos. Este tipo de base de datos de firmas tampoco es compatible con todos los modelos de FortiGate.
También hay una base de datos de firmas compacta diseñada para un escaneo rápido. Hablaremos de ello un poco más tarde.
Puede actualizar las bases de datos antivirus utilizando diferentes métodos.
El primer método es Push Update: le permite actualizar las bases de datos tan pronto como la base de investigación de FortiGuard publique una actualización. Esto es útil para infraestructuras que requieren un alto nivel de seguridad, ya que FortiGate recibirá actualizaciones urgentes tan pronto como estén disponibles.
El segundo método es establecer un horario. De esta manera, puede buscar actualizaciones cada hora, día o semana. Es decir, aquí el rango de tiempo se establece a tu criterio.
Estos métodos se pueden utilizar juntos.
Pero debe tener en cuenta que para que se realicen las actualizaciones, debe habilitar el perfil antivirus para al menos una política de firewall. De lo contrario, no se realizarán actualizaciones.
También puede descargar actualizaciones desde el sitio de soporte de Fortinet y luego cargarlas manualmente en FortiGate.
Considere los modos de escaneo. Solo hay tres de ellos: modo completo en modo basado en flujo, modo rápido en modo basado en flujo y modo completo en modo proxy. Comencemos con el modo completo en el modo de flujo.
Digamos que el usuario quiere descargar un archivo. Él envía una solicitud. El servidor comienza a enviarle los paquetes que componen el archivo. El usuario recibe inmediatamente estos paquetes. Pero antes de pasar estos paquetes al usuario, FortiGate los almacena en caché. Después de que FortiGate recibe el último paquete, comienza a escanear el archivo. En este momento, el último paquete se pone en cola y no se transmite al usuario. Si el archivo no contiene virus, se envía el último paquete al usuario. Si se detecta un virus, FortiGate rompe la conexión con el usuario.
El segundo modo de escaneo disponible en Basado en flujo es el Modo rápido. Utiliza una base de datos de firmas compacta que contiene menos firmas que una base de datos de firmas normal. También tiene algunas limitaciones en comparación con el modo completo:
- No puede enviar archivos a la caja de arena.
- No puede usar análisis heurístico.
- Tampoco puede usar paquetes relacionados con malware móvil.
- Algunos modelos de nivel de entrada no admiten este modo.
El modo rápido también verifica el tráfico en busca de virus, gusanos, troyanos y malware, pero sin almacenamiento en búfer. Esto proporciona un mejor rendimiento, pero al mismo tiempo, se reduce la probabilidad de detectar un virus.
En el modo Proxy, el único modo de escaneo disponible es el Modo completo. Con tal escaneo, FortiGate primero almacena todo el archivo por sí solo (a menos, por supuesto, que se exceda el tamaño de archivo permitido para el escaneo). El cliente debe esperar a que se complete el escaneo. Si se detecta un virus durante el análisis, el usuario será notificado inmediatamente. Dado que FortiGate primero guarda todo el archivo y luego lo escanea, esto puede llevar bastante tiempo. debido a esto, es posible que el cliente finalice la conexión antes de recibir el archivo debido a una gran demora.
La siguiente figura proporciona una tabla de comparación para los modos de escaneo: lo ayudará a determinar qué tipo de escaneo es el adecuado para sus tareas. La configuración y la verificación del rendimiento del antivirus se consideran en la práctica en el video al final del artículo.
Pasemos a la segunda parte de la lección: el sistema de prevención de intrusiones. Pero para comenzar a estudiar IPS, debe comprender la diferencia entre exploits y anomalías, así como comprender qué mecanismos utiliza FortiGate para protegerse contra ellos.
Los exploits son ataques conocidos, con patrones específicos, que se pueden detectar mediante firmas IPS, WAF o antivirus.
Las anomalías son un comportamiento inusual en la red, como una cantidad inusualmente alta de tráfico o un consumo de CPU superior al normal. Las anomalías deben monitorearse porque pueden ser signos de un nuevo ataque aún no explorado. Las anomalías generalmente se detectan mediante análisis de comportamiento, las llamadas firmas basadas en tasas y políticas DoS.
Como resultado, IPS en FortiGate utiliza bases de firmas para detectar ataques conocidos y firmas basadas en tasas y políticas DoS para detectar diversas anomalías.
De manera predeterminada, se incluye un conjunto inicial de firmas IPS con cada versión del sistema operativo FortiGate. Con actualizaciones, FortiGate recibe nuevas firmas. Por lo tanto, IPS sigue siendo efectivo contra nuevos exploits. El servicio FortiGuard actualiza las firmas IPS con bastante frecuencia.
Un punto importante que se aplica tanto a IPS como a antivirus es que si sus licencias han caducado, aún puede usar las últimas firmas que recibió. Pero obtener nuevos sin licencias no funcionará. Por lo tanto, la ausencia de licencias es altamente indeseable: cuando aparezcan nuevos ataques, no podrá protegerse con firmas antiguas.
Las bases de datos de firmas de IPS se dividen en regulares y extendidas. La base de datos regular contiene firmas para ataques comunes que rara vez o nunca causan falsos positivos. La acción predeterminada para la mayoría de estas firmas es un bloqueo.
La base ampliada contiene firmas de ataques adicionales que tienen un impacto significativo en el rendimiento del sistema o que no se pueden bloquear debido a su naturaleza especial. Debido al tamaño de esta base, no está disponible para modelos de FortiGate con disco o RAM pequeños. Pero para entornos altamente seguros, es posible que necesite usar una base extendida.
La configuración y verificación de IPS también se trata en el siguiente video.
En la siguiente lección, veremos cómo trabajar con usuarios. Para no perdérselo, esté atento a las actualizaciones en los siguientes canales:
Fuente: habr.com