7. Fortinet Getting Started نسخه 6.0. آنتی ویروس و IPS

با درود! به درس هفتم دوره خوش آمدید Fortinet شروع به کار. بر درس آخر ما با پروفایل های امنیتی مانند Web Filtering، Application Control و بازرسی HTTPS آشنا شدیم. در این درس به معرفی پروفایل های امنیتی ادامه خواهیم داد. ابتدا با جنبه های نظری عملکرد یک آنتی ویروس و سیستم جلوگیری از نفوذ آشنا می شویم و سپس به نحوه عملی این پروفایل های امنیتی می پردازیم.

بیایید با آنتی ویروس شروع کنیم. ابتدا اجازه دهید در مورد فناوری هایی که FortiGate برای شناسایی ویروس ها استفاده می کند صحبت کنیم:
اسکن آنتی ویروس ساده ترین و سریع ترین روش برای شناسایی ویروس ها است. ویروس هایی را شناسایی می کند که کاملاً با امضاهای موجود در پایگاه داده آنتی ویروس مطابقت دارند.

Grayware Scan یا اسکن برنامه های ناخواسته - این فناوری برنامه های ناخواسته ای را که بدون اطلاع یا رضایت کاربر نصب شده اند را شناسایی می کند. از نظر فنی، این برنامه ها ویروس نیستند. آنها معمولاً همراه با سایر برنامه‌ها ارائه می‌شوند، اما وقتی نصب می‌شوند روی سیستم تأثیر منفی می‌گذارند، به همین دلیل به عنوان بدافزار طبقه‌بندی می‌شوند. اغلب چنین برنامه هایی را می توان با استفاده از امضاهای ساده خاکستری از پایگاه تحقیقاتی FortiGuard شناسایی کرد.

اسکن اکتشافی - این فناوری بر اساس احتمالات است، بنابراین استفاده از آن می تواند اثرات مثبت کاذب ایجاد کند، اما می تواند ویروس های روز صفر را نیز شناسایی کند. ویروس‌های روز صفر ویروس‌های جدیدی هستند که هنوز مورد مطالعه قرار نگرفته‌اند و هیچ امضایی وجود ندارد که بتواند آنها را شناسایی کند. اسکن اکتشافی به طور پیش فرض فعال نیست و باید در خط فرمان فعال شود.

اگر همه قابلیت های آنتی ویروس فعال باشد، فورتی گیت آنها را به ترتیب زیر اعمال می کند: اسکن آنتی ویروس، اسکن خاکستری، اسکن اکتشافی.

FortiGate می تواند از چندین پایگاه داده آنتی ویروس استفاده کند، بسته به وظایف:

• پایگاه داده آنتی ویروس معمولی (Normal) - موجود در تمام مدل های FortiGate. این شامل امضاهایی برای ویروس هایی است که در ماه های اخیر کشف شده اند. این کوچکترین پایگاه داده آنتی ویروس است، بنابراین هنگام استفاده سریعترین اسکن را انجام می دهد. با این حال، این پایگاه داده نمی تواند همه ویروس های شناخته شده را شناسایی کند.
• Extended - این پایه توسط اکثر مدل های FortiGate پشتیبانی می شود. می توان از آن برای شناسایی ویروس هایی که دیگر فعال نیستند استفاده کرد. بسیاری از پلتفرم ها هنوز در برابر این ویروس ها آسیب پذیر هستند. همچنین این ویروس ها می توانند در آینده مشکلاتی ایجاد کنند.
• و آخرین پایه افراطی (Extreme) - در زیرساخت هایی استفاده می شود که سطح بالایی از امنیت مورد نیاز است. با کمک آن می توانید تمام ویروس های شناخته شده را شناسایی کنید، از جمله ویروس هایی که سیستم عامل های قدیمی را هدف قرار می دهند، که در حال حاضر به طور گسترده توزیع نشده اند. این نوع پایگاه داده امضا نیز توسط همه مدل های فورتی گیت پشتیبانی نمی شود.

همچنین یک پایگاه داده امضای فشرده برای اسکن سریع طراحی شده است. کمی بعد در مورد آن صحبت خواهیم کرد.

می توانید پایگاه داده های آنتی ویروس را با استفاده از روش های مختلف به روز کنید.

روش اول Push Update است که به محض انتشار یک به روز رسانی پایگاه تحقیقاتی FortiGuard به پایگاه داده ها اجازه می دهد تا به روز شوند. این برای زیرساخت هایی که به سطح بالایی از امنیت نیاز دارند مفید است، زیرا فورتی گیت به محض در دسترس بودن به روز رسانی های فوری را دریافت می کند.

روش دوم تنظیم زمانبندی است. به این ترتیب می توانید هر ساعت، روز یا هفته به روز رسانی را بررسی کنید. یعنی در اینجا محدوده زمانی به اختیار شما تنظیم می شود.
این روش ها را می توان با هم استفاده کرد.

اما باید در نظر داشته باشید که برای به روز رسانی، باید مشخصات آنتی ویروس را برای حداقل یک خط مشی فایروال فعال کنید. در غیر این صورت به روز رسانی انجام نخواهد شد.

همچنین می توانید به روز رسانی ها را از سایت پشتیبانی فورتی نت دانلود کرده و سپس به صورت دستی در فورتی گیت آپلود کنید.

بیایید به حالت های اسکن نگاه کنیم. تنها سه مورد از آنها وجود دارد - حالت کامل در حالت مبتنی بر جریان، حالت سریع در حالت مبتنی بر جریان و حالت کامل در حالت پروکسی. بیایید با Full Mode در حالت Flow شروع کنیم.

فرض کنید کاربری می خواهد فایلی را دانلود کند. درخواستی می فرستد. سرور شروع به ارسال بسته هایی می کند که فایل را تشکیل می دهند. کاربر بلافاصله این بسته ها را دریافت می کند. اما قبل از تحویل این بسته ها به کاربر، فورتی گیت آنها را کش می کند. پس از اینکه FortiGate آخرین بسته را دریافت کرد، شروع به اسکن فایل می کند. در این زمان آخرین بسته در صف قرار می گیرد و به کاربر منتقل نمی شود. اگر فایل حاوی ویروس نباشد، آخرین بسته برای کاربر ارسال می شود. اگر ویروسی شناسایی شود، فورتی گیت ارتباط با کاربر را قطع می کند.

دومین حالت اسکن موجود در Flow Based، حالت سریع است. از یک پایگاه داده امضای فشرده استفاده می کند که دارای امضاهای کمتری نسبت به یک پایگاه داده معمولی است. همچنین در مقایسه با حالت کامل محدودیت هایی دارد:

• نمی تواند فایل ها را به sandbox ارسال کند
• نمی تواند از تحلیل اکتشافی استفاده کند
• همچنین نمی تواند از بسته های مربوط به بدافزار موبایل استفاده کند
• برخی از مدل های سطح ورودی از این حالت پشتیبانی نمی کنند.

حالت سریع همچنین ترافیک را برای ویروس ها، کرم ها، تروجان ها و بدافزارها بررسی می کند، اما بدون بافر. این کار عملکرد بهتری را ارائه می دهد، اما در عین حال احتمال شناسایی ویروس کاهش می یابد.

در حالت پروکسی، تنها حالت اسکن موجود، حالت کامل است. با چنین اسکنی، فورتی گیت ابتدا کل فایل را روی خود ذخیره می کند (مگر اینکه، البته، اندازه فایل مجاز برای اسکن بیش از حد مجاز باشد). مشتری باید منتظر بماند تا اسکن کامل شود. در صورت شناسایی ویروس در حین اسکن، بلافاصله به کاربر اطلاع داده می شود. از آنجایی که FortiGate ابتدا کل فایل را ذخیره می کند و سپس آن را اسکن می کند، این کار می تواند زمان زیادی طول بکشد. به همین دلیل این امکان برای مشتری وجود دارد که قبل از دریافت فایل به دلیل تاخیر زیاد، اتصال را قطع کند.

شکل زیر جدول مقایسه حالت های اسکن را نشان می دهد - به شما کمک می کند تا تعیین کنید کدام نوع اسکن برای وظایف شما مناسب است. راه اندازی و بررسی عملکرد آنتی ویروس به طور عملی در ویدیوی انتهای مقاله مورد بحث قرار گرفته است.

بیایید به قسمت دوم درس برویم - سیستم جلوگیری از نفوذ. اما برای شروع مطالعه IPS، باید تفاوت بین اکسپلویت ها و ناهنجاری ها را درک کنید و همچنین بدانید که FortiGate از چه مکانیسم هایی برای محافظت در برابر آنها استفاده می کند.

اکسپلویت ها حملات شناخته شده ای با الگوهای خاص هستند که می توانند با استفاده از امضاهای IPS، WAF یا آنتی ویروس شناسایی شوند.

ناهنجاری ها رفتاری غیرعادی در شبکه هستند، مانند حجم غیرمعمول ترافیک زیاد یا مصرف بالاتر از حد معمول CPU. ناهنجاری ها باید نظارت شوند زیرا ممکن است نشانه هایی از یک حمله جدید و ناشناخته باشند. ناهنجاری ها معمولاً با استفاده از تجزیه و تحلیل رفتاری شناسایی می شوند - به اصطلاح امضاهای مبتنی بر نرخ و سیاست های DoS.

در نتیجه، IPS در FortiGate از پایه های امضا برای شناسایی حملات شناخته شده و از امضاهای مبتنی بر نرخ و سیاست های DoS برای شناسایی ناهنجاری های مختلف استفاده می کند.

به طور پیش فرض، یک مجموعه اولیه از امضاهای IPS با هر نسخه از سیستم عامل فورتی گیت گنجانده شده است. با به روز رسانی ها، فورتی گیت امضاهای جدیدی دریافت می کند. به این ترتیب، IPS در برابر اکسپلویت های جدید موثر باقی می ماند. FortiGuard امضاهای IPS را اغلب به روز می کند.

نکته مهمی که در مورد IPS و آنتی ویروس صدق می کند این است که اگر مجوزهای شما منقضی شده باشد، همچنان می توانید از آخرین امضاهای دریافت شده استفاده کنید. اما بدون مجوز نمی توانید موارد جدید دریافت کنید. بنابراین، عدم وجود مجوز بسیار نامطلوب است - اگر حملات جدید ظاهر شوند، نمی توانید با امضاهای قدیمی از خود محافظت کنید.

پایگاه های داده امضای IPS به دو دسته معمولی و گسترده تقسیم می شوند. یک پایگاه داده معمولی حاوی امضاهایی برای حملات متداول است که به ندرت یا هرگز باعث مثبت کاذب می شوند. عمل از پیش پیکربندی شده برای اکثر این امضاها بلوک است.

پایگاه داده توسعه یافته حاوی امضاهای حمله اضافی است که تأثیر قابل توجهی بر عملکرد سیستم دارند یا به دلیل ماهیت خاص آنها نمی توان آنها را مسدود کرد. با توجه به حجم این پایگاه داده، در مدل های فورتی گیت با دیسک کوچک یا رم در دسترس نیست. اما برای محیط های بسیار امن، ممکن است نیاز به استفاده از یک پایه توسعه یافته داشته باشید.

راه اندازی و بررسی عملکرد IPS نیز در ویدیوی زیر مورد بحث قرار گرفته است.

در درس بعدی کار با کاربران را بررسی خواهیم کرد. برای اینکه آن را از دست ندهید، به روز رسانی ها را در کانال های زیر دنبال کنید:

• یوتیوب
• انجمن Vkontakte
• یندکس زین
• سایت ما
• کانال تلگرام

منبع: www.habr.com