Zorionak! Ongi etorri kurtsoko zazpigarren ikasgaira . buruzko Web Iragazkia, Aplikazioen Kontrola eta HTTPS ikuskapena bezalako segurtasun-profilak ezagutu ditugu. Ikasgai honetan segurtasun-profilen sarrerarekin jarraituko dugu. Lehenik eta behin, birusen aurkako eta intrusioak prebenitzeko sistema baten funtzionamenduaren alderdi teorikoak ezagutuko ditugu, eta ondoren segurtasun-profil horiek praktikan nola funtzionatzen duten aztertuko dugu.
Has gaitezen antibirusarekin. Lehenik eta behin, eztabaida ditzagun FortiGate-k birusak detektatzeko erabiltzen dituen teknologiak:
Birusen aurkako eskaneatzea birusak detektatzeko metodorik errazena eta azkarrena da. Birusen aurkako datu-basean dauden sinadurarekin guztiz bat datozen birusak detektatzen ditu.
Grayware Scan edo nahi ez diren programen eskaneatzea - ββteknologia honek erabiltzaileak jakin gabe edo baimenik gabe instalatzen diren nahi ez diren programak detektatzen ditu. Teknikoki, programa hauek ez dira birusak. Normalean beste programa batzuekin batera etortzen dira, baina instalatuta daudenean sistemari negatiboki eragiten diote, horregatik malware gisa sailkatzen dira. Askotan, horrelako programak FortiGuard ikerketa oinarriko grayware sinadura sinpleak erabiliz detektatu daitezke.
Miaketa heuristikoa - teknologia hau probabilitateetan oinarritzen da, beraz, erabilerak efektu positibo faltsuak sor ditzake, baina zero eguneko birusak ere detektatu ditzake. Zero day birusak oraindik aztertu ez diren birus berriak dira, eta ez dago haiek antzeman ditzakeen sinadurarik. Eskaneaketa heuristikoa ez dago lehenespenez gaituta eta komando lerroan gaituta egon behar da.
Birusen aurkako gaitasun guztiak gaituta badaude, FortiGate-k ordena honetan aplikatzen ditu: birusen aurkako eskaneatzea, grayware eskaneatzea, eskaneatzea heuristikoa.
FortiGate-k hainbat birusen aurkako datu-base erabil ditzake, zereginen arabera:
- Birusen aurkako datu-base arrunta (Normala) - FortiGate modelo guztietan dago. Azken hilabeteetan aurkitu diren birusen sinadurak biltzen ditu. Hau da birusen aurkako datu-baserik txikiena, beraz, azkarrena arakatzen du erabiltzen denean. Hala ere, datu-base honek ezin ditu ezagutzen diren birus guztiak hauteman.
- Hedatua - oinarri hau FortiGate modelo gehienek onartzen dute. Jada aktibo ez dauden birusak detektatzeko erabil daiteke. Plataforma asko birus hauen aurrean zaurgarriak dira oraindik. Gainera, birus hauek arazoak sor ditzakete etorkizunean.
- Eta azken muturreko oinarria (Extreme) - segurtasun maila handia behar den azpiegituretan erabiltzen da. Haren laguntzaz, ezagutzen diren birus guztiak detekta ditzakezu, sistema eragile zaharkituei zuzendutako birusak barne, momentuz oso hedatuta ez daudenak. Sinadura datu-base mota hau ere ez da onartzen FortiGate modelo guztiek.
Sinadura datu-base trinko bat ere badago eskaneatzeko diseinatuta. Geroxeago hitz egingo dugu horretaz.
Birusen aurkako datu-baseak eguneratu ditzakezu metodo desberdinak erabiliz.
Lehenengo metodoa Push Update da, eta horri esker, datu-baseak eguneratu daitezke FortiGuard ikerketa datu-baseak eguneraketa bat kaleratu bezain laster. Segurtasun-maila handia behar duten azpiegituretarako erabilgarria da, izan ere, FortiGate-k premiazko eguneraketak jasoko ditu eskuragarri egon bezain laster.
Bigarren metodoa ordutegi bat ezartzea da. Horrela, ordu, egun edo astero eguneratzeak egiazta ditzakezu. Hau da, hemen denbora tartea zure diskrezioan ezartzen da.
Metodo hauek batera erabil daitezke.
Baina kontuan izan behar duzu eguneraketak egin ahal izateko birusen aurkako profila gaitu behar duzula gutxienez suebaki-politika baterako. Bestela, ez dira eguneraketak egingo.
Eguneraketak Fortinet laguntza-gunetik ere deskarga ditzakezu eta eskuz FortiGate-ra igo ditzakezu.
Ikus ditzagun eskaneatzeko moduak. Horietako hiru baino ez daude: Modu osoa Fluxuan oinarritutako moduan, Modu azkarra Fluxuan oinarritutako moduan eta Modu osoa proxy moduan. Has gaitezen Modu Osoarekin Flow moduan.
Demagun erabiltzaile batek fitxategi bat deskargatu nahi duela. Eskaera bidaltzen du. Zerbitzaria fitxategia osatzen duten paketeak bidaltzen hasten da. Erabiltzaileak berehala jasotzen ditu pakete hauek. Baina pakete hauek erabiltzaileari entregatu aurretik, FortiGate-k cachean gordetzen ditu. FortiGate-k azken paketea jaso ondoren, fitxategia eskaneatzen hasten da. Une honetan, azken paketea ilaran jartzen da eta ez zaio erabiltzaileari transmititzen. Fitxategiak birusik ez badu, azken paketea bidaliko zaio erabiltzaileari. Birus bat antzematen bada, FortiGate-k erabiltzailearekiko konexioa hausten du.
Fluxuan oinarritutako bigarren eskaneatzeko modua modu azkarra da. Sinadura datu-base trinko bat erabiltzen du, datu-base arrunt batek baino sinadura gutxiago dituena. Modu osoarekin alderatuta ere muga batzuk ditu:
- Ezin ditu fitxategiak bidali sandboxera
- Ezin du analisi heuristikoa erabili
- Gainera, ezin ditu erabili malware mugikorrekin lotutako paketerik
- Sarrerako eredu batzuek ez dute modu hau onartzen.
Modu azkarrak trafikoa ere egiaztatzen du birusak, harrak, troiarrak eta malwareak dauden, baina bufferik gabe. Horrek errendimendu hobea ematen du, baina, aldi berean, birusa detektatzeko probabilitatea murrizten da.
Proxy moduan, eskaneatzeko modu bakarra Modu osoa da. Eskaneatu honekin, FortiGate-k lehenik fitxategi osoa gordetzen du bere baitan (salbu, jakina, eskaneatzeko baimendutako fitxategi-tamaina gainditzen ez bada). Bezeroak eskaneatzea amaitu arte itxaron behar du. Eskaneatzean birus bat hautematen bada, berehala jakinaraziko zaio erabiltzaileari. FortiGate-k lehenik fitxategi osoa gordetzen duelako eta gero eskaneatzen duelako, honek denbora nahiko luzea izan dezake. Hori dela eta, baliteke bezeroak fitxategia jaso aurretik konexioa amaitzea atzerapen luze baten ondorioz.
Beheko irudiak eskaneatzeko moduen konparazio-taula erakusten du - zure zereginetarako zein eskaneaketa mota egokia den zehazten lagunduko dizu. Antibirusaren funtzionaltasuna konfiguratzea eta egiaztatzea praktikan eztabaidatzen da artikuluaren amaierako bideoan.
Joan gaitezen ikasgaiaren bigarren zatira: intrusismoak prebenitzeko sistema. Baina IPS aztertzen hasteko, ustiapenen eta anomalien arteko aldea ulertu behar duzu, eta FortiGate-k haietatik babesteko zer mekanismo erabiltzen dituen ere ulertu behar duzu.
Exploits IPS, WAF edo birusen aurkako sinadurak erabiliz detekta daitezkeen eredu zehatzak dituzten eraso ezagunak dira.
Anomaliak sare batean ezohiko portaera dira, hala nola trafiko-kopuru ohiz kanpokoa edo PUZaren ohiko kontsumoa baino handiagoa. Anomaliak kontrolatu behar dira, eraso berri eta esploratu gabeko baten seinale izan daitezkeelako. Anomaliak jokabidearen analisia erabiliz detektatzen dira normalean: tasatan oinarritutako sinadurak eta DoS politikak deitzen dira.
Ondorioz, FortiGate-n IPS-k sinadura-baseak erabiltzen ditu eraso ezagunak detektatzeko, eta Tasa-oinarritutako sinadurak eta DoS politikak hainbat anomalia detektatzeko.
Lehenespenez, IPS sinaduraren hasierako multzo bat sartzen da FortiGate sistema eragilearen bertsio bakoitzarekin. Eguneratzeekin, FortiGate-k sinadura berriak jasotzen ditu. Modu honetan, IPS eraginkorra izaten jarraitzen du ustiapen berrien aurka. FortiGuard-ek IPS sinadurak maiz eguneratzen ditu.
IPSri eta birusen aurkakoari aplikatzen zaion puntu garrantzitsu bat da zure lizentziak iraungi badira, jasotako azken sinadurak erabil ditzakezula. Baina ezin izango duzu berririk lortu lizentziarik gabe. Hori dela eta, lizentziarik ez egotea oso desiragarria da - eraso berriak agertzen badira, ezin izango zara babestu sinadura zaharrekin.
IPS sinadura datu-baseak ohiko eta hedatuetan banatzen dira. Datu-base tipiko batek positibo faltsu gutxitan edo inoiz ez eragiten duten eraso arrunten sinadurak ditu. Sinadura horietako gehienetarako aurrez konfiguratutako ekintza blokeatzea da.
Datu-base hedatuak sistemaren errendimenduan eragin handia duten eraso-sinadura gehigarriak ditu, edo haien izaera berezia dela-eta blokeatu ezin direnak. Datu-base honen tamaina dela eta, ez dago eskuragarri disko txikia edo RAMa duten FortiGate modeloetan. Baina ingurune oso seguruetarako, baliteke oinarri hedatua erabili behar izatea.
IPSen funtzionaltasuna konfiguratzea eta egiaztatzea beheko bideoan ere eztabaidatzen da.
Hurrengo ikasgaian erabiltzaileekin lan egitea aztertuko dugu. Hura ez galtzeko, jarraitu kanal hauetako eguneraketak:
Iturria: www.habr.com