Terveisiä! Tervetuloa kurssin seitsemännelle tunnille . päälle tutustuimme sellaisiin suojausprofiileihin kuin Web Filtering, Application Control ja HTTPS-tarkastus. Tällä oppitunnilla jatkamme tietoturvaprofiilien esittelyä. Ensin tutustutaan virustentorjunta- ja tunkeutumisenestojärjestelmän toiminnan teoreettisiin puoliin ja sitten tarkastellaan, miten nämä suojausprofiilit toimivat käytännössä.
Aloitetaan virustorjunnasta. Keskustellaan ensin tekniikoista, joita FortiGate käyttää virusten havaitsemiseen:
Virustorjunta on helpoin ja nopein tapa havaita viruksia. Se havaitsee virukset, jotka vastaavat täysin virustorjuntatietokannan sisältämiä allekirjoituksia.
Grayware Scan tai ei-toivottujen ohjelmien tarkistus – tämä tekniikka havaitsee ei-toivotut ohjelmat, jotka asennetaan ilman käyttäjän tietämättä tai suostumusta. Teknisesti nämä ohjelmat eivät ole viruksia. Ne toimitetaan yleensä muiden ohjelmien mukana, mutta asennettuna ne vaikuttavat negatiivisesti järjestelmään, minkä vuoksi ne luokitellaan haittaohjelmiksi. Usein tällaiset ohjelmat voidaan havaita käyttämällä yksinkertaisia harmaaohjelma-allekirjoituksia FortiGuard-tutkimuskannasta.
Heuristinen skannaus – tämä tekniikka perustuu todennäköisyyksiin, joten sen käyttö voi aiheuttaa vääriä positiivisia vaikutuksia, mutta se voi myös havaita nollapäivän viruksia. Nollapäivävirukset ovat uusia viruksia, joita ei ole vielä tutkittu, eikä ole olemassa allekirjoituksia, jotka voisivat havaita niitä. Heuristinen tarkistus ei ole oletusarvoisesti käytössä, ja se on otettava käyttöön komentoriviltä.
Jos kaikki virustentorjuntaominaisuudet ovat käytössä, FortiGate käyttää niitä seuraavassa järjestyksessä: virustentorjunta, harmaasävyiden tarkistus, heuristinen tarkistus.
FortiGate voi käyttää useita virustorjuntatietokantoja tehtävistä riippuen:
- Normaali virustentorjuntatietokanta (Normal) - sisältyy kaikkiin FortiGate-malleihin. Se sisältää allekirjoituksia viruksille, jotka on löydetty viime kuukausina. Tämä on pienin virustentorjuntatietokanta, joten se skannaa nopeimmin käytettäessä. Tämä tietokanta ei kuitenkaan pysty havaitsemaan kaikkia tunnettuja viruksia.
- Laajennettu - tätä alustaa tukevat useimmat FortiGate-mallit. Sitä voidaan käyttää sellaisten virusten havaitsemiseen, jotka eivät ole enää aktiivisia. Monet alustat ovat edelleen haavoittuvia näille viruksille. Myös nämä virukset voivat aiheuttaa ongelmia tulevaisuudessa.
- Ja viimeinen, äärimmäinen tukikohta (Extreme) - käytetään infrastruktuureissa, joissa vaaditaan korkeaa turvallisuustasoa. Sen avulla voit havaita kaikki tunnetut virukset, mukaan lukien vanhentuneisiin käyttöjärjestelmiin suunnatut virukset, joita ei tällä hetkellä ole laajalti levitetty. Kaikki FortiGate-mallit eivät myöskään tue tämän tyyppistä allekirjoitustietokantaa.
Siellä on myös kompakti allekirjoitustietokanta, joka on suunniteltu nopeaan skannaukseen. Puhumme siitä hieman myöhemmin.
Voit päivittää virustorjuntatietokantoja eri tavoilla.
Ensimmäinen menetelmä on Push Update, jonka avulla tietokannat voidaan päivittää heti, kun FortiGuard-tutkimustietokanta julkaisee päivityksen. Tämä on hyödyllistä infrastruktuureissa, jotka vaativat korkeaa suojaustasoa, koska FortiGate saa kiireellisiä päivityksiä heti, kun ne ovat saatavilla.
Toinen tapa on asettaa aikataulu. Näin voit tarkistaa päivitykset tunnin, päivän tai viikon välein. Eli tässä aikaväli on asetettu harkintasi mukaan.
Näitä menetelmiä voidaan käyttää yhdessä.
Mutta sinun on pidettävä mielessä, että päivitysten tekeminen edellyttää, että virustorjuntaprofiili on otettava käyttöön vähintään yhdelle palomuurikäytännölle. Muuten päivityksiä ei tehdä.
Voit myös ladata päivitykset Fortinet-tukisivustolta ja ladata ne sitten manuaalisesti FortiGateen.
Katsotaanpa skannaustiloja. Niitä on vain kolme - Full Mode Flow Based -tilassa, Quick Mode Flow Based -tilassa ja Full Mode välityspalvelintilassa. Aloitetaan Full Mode -tilasta Flow-tilassa.
Oletetaan, että käyttäjä haluaa ladata tiedoston. Hän lähettää pyynnön. Palvelin alkaa lähettää hänelle paketteja, jotka muodostavat tiedoston. Käyttäjä saa nämä paketit välittömästi. Mutta ennen kuin nämä paketit toimitetaan käyttäjälle, FortiGate tallentaa ne välimuistiin. Kun FortiGate on vastaanottanut viimeisen paketin, se alkaa skannata tiedostoa. Tällä hetkellä viimeinen paketti on jonossa eikä sitä lähetetä käyttäjälle. Jos tiedosto ei sisällä viruksia, viimeisin paketti lähetetään käyttäjälle. Jos virus havaitaan, FortiGate katkaisee yhteyden käyttäjään.
Toinen virtauspohjaisessa käytössä oleva skannaustila on Quick Mode. Se käyttää kompaktia allekirjoitustietokantaa, joka sisältää vähemmän allekirjoituksia kuin tavallinen tietokanta. Sillä on myös joitain rajoituksia Full Modeen verrattuna:
- Se ei voi lähettää tiedostoja hiekkalaatikkoon
- Se ei voi käyttää heuristista analyysiä
- Se ei myöskään voi käyttää mobiilihaittaohjelmiin liittyviä paketteja
- Jotkut lähtötason mallit eivät tue tätä tilaa.
Pikatila tarkistaa myös liikenteestä virusten, matojen, troijalaisten ja haittaohjelmien varalta, mutta ilman puskurointia. Tämä parantaa suorituskykyä, mutta samalla viruksen havaitsemisen todennäköisyys pienenee.
Välityspalvelintilassa ainoa käytettävissä oleva skannaustila on Full Mode. Tällaisella tarkistuksella FortiGate tallentaa ensin koko tiedoston itseensä (ellei tietenkään skannauksen sallittua tiedostokokoa ylitetä). Asiakkaan on odotettava skannauksen valmistumista. Jos virus havaitaan tarkistuksen aikana, käyttäjälle ilmoitetaan siitä välittömästi. Koska FortiGate ensin tallentaa koko tiedoston ja sitten tarkistaa sen, tämä voi kestää melko kauan. Tämän vuoksi asiakas voi katkaista yhteyden ennen tiedoston vastaanottamista pitkän viiveen vuoksi.
Alla olevassa kuvassa on vertailutaulukko skannaustiloista - se auttaa sinua määrittämään, mikä skannaustyyppi sopii tehtäviisi. Viruksentorjuntaohjelman käyttöönottoa ja toiminnan tarkistamista käsitellään käytännössä artikkelin lopussa olevassa videossa.
Siirrytään oppitunnin toiseen osaan - tunkeutumisen estojärjestelmään. Mutta jotta voit aloittaa IPS:n opiskelun, sinun on ymmärrettävä ero hyväksikäyttöjen ja poikkeavuuksien välillä ja myös ymmärrettävä, mitä mekanismeja FortiGate käyttää suojatakseen niitä vastaan.
Hyökkäykset ovat tunnettuja hyökkäyksiä, joilla on tietyt mallit ja jotka voidaan havaita käyttämällä IPS-, WAF- tai virustorjuntatunnisteita.
Poikkeamat ovat epätavallista toimintaa verkossa, kuten epätavallisen suuri liikennemäärä tai normaalia korkeampi prosessorin kulutus.Poikkeavuuksia on tarkkailtava, koska ne voivat olla merkkejä uudesta, tutkimattomasta hyökkäyksestä. Poikkeamat havaitaan yleensä käyttäytymisanalyysillä - ns. nopeuspohjaisilla allekirjoituksilla ja DoS-käytännöillä.
Tämän seurauksena FortiGaten IPS käyttää allekirjoituspohjaa tunnettujen hyökkäysten havaitsemiseen ja nopeuspohjaisia allekirjoituksia ja DoS-käytäntöjä erilaisten poikkeamien havaitsemiseen.
Oletusarvon mukaan jokaiseen FortiGate-käyttöjärjestelmän versioon sisältyy ensimmäinen sarja IPS-allekirjoituksia. Päivitysten myötä FortiGate saa uusia allekirjoituksia. Näin IPS pysyy tehokkaana uusia hyväksikäyttöjä vastaan. FortiGuard päivittää IPS-allekirjoituksia melko usein.
Tärkeä seikka, joka koskee sekä IPS:ää että virustorjuntaa, on, että jos lisenssisi ovat vanhentuneet, voit silti käyttää uusimpia vastaanotettuja allekirjoituksia. Mutta et voi hankkia uusia ilman lisenssejä. Siksi lisenssien puuttuminen on erittäin epätoivottavaa - jos uusia hyökkäyksiä ilmaantuu, et voi suojata itseäsi vanhoilla allekirjoituksilla.
IPS-allekirjoitustietokannat on jaettu tavallisiin ja laajennettuihin. Tyypillinen tietokanta sisältää allekirjoituksia yleisille hyökkäyksille, jotka harvoin tai eivät koskaan aiheuttavat vääriä positiivisia tuloksia. Useimpien allekirjoitusten ennalta määritetty toiminto on esto.
Laajennettu tietokanta sisältää ylimääräisiä hyökkäystunnisteita, joilla on merkittävä vaikutus järjestelmän suorituskykyyn tai joita ei voida estää niiden erityisluonteen vuoksi. Tietokannan koosta johtuen se ei ole käytettävissä FortiGate-malleissa, joissa on pieni levy tai RAM. Mutta erittäin turvallisissa ympäristöissä saatat joutua käyttämään laajennettua alustaa.
Alla olevassa videossa käsitellään myös IPS:n asetuksia ja toiminnan tarkistamista.
Seuraavalla oppitunnilla tarkastelemme käyttäjien kanssa työskentelyä. Seuraa seuraavien kanavien päivityksiä, jotta et missaa sitä:
Lähde: will.com