Salutations! Bienvenue à la septième leçon du cours . sur nous nous sommes familiarisés avec des profils de sécurité tels que le filtrage Web, le contrôle des applications et l'inspection HTTPS. Dans cette leçon, nous poursuivrons notre connaissance des profils de sécurité. Tout d'abord, nous nous familiariserons avec les aspects théoriques du fonctionnement du système antivirus et de prévention des intrusions, puis nous examinerons le travail de ces profils de sécurité dans la pratique.
Commençons par l'antivirus. Parlons d'abord des technologies utilisées par FortiGate pour détecter les virus :
L'analyse antivirus est la méthode la plus simple et la plus rapide pour détecter les virus. Il détecte les virus qui correspondent parfaitement aux signatures contenues dans la base antivirus.
Analyse des graywares ou analyse des programmes indésirables - Cette technologie détecte les programmes indésirables qui sont installés à l'insu ou sans le consentement de l'utilisateur. Techniquement, ces programmes ne sont pas des virus. Habituellement, ils sont livrés avec d'autres programmes, mais lorsqu'ils sont installés, ils affectent négativement le système, c'est pourquoi ils sont classés comme logiciels malveillants. Souvent, ces programmes peuvent être détectés à l'aide de simples signatures de graywares issues de la base de recherche FortiGuard.
Analyse heuristique - cette technologie est basée sur des probabilités, son utilisation peut donc provoquer des effets de faux positifs, mais elle peut également détecter les virus du jour zéro. Les virus Zero Day sont de nouveaux virus qui n'ont pas encore été étudiés et il n'y a pas encore de signatures qui pourraient les détecter. L'analyse heuristique n'est pas activée par défaut, elle doit être activée sur la ligne de commande.
Si toutes les fonctionnalités antivirus sont activées, FortiGate les applique dans l'ordre suivant : analyse antivirus, analyse des graywares, analyse heuristique.
FortiGate peut utiliser plusieurs bases antivirus, selon les tâches :
- Base de données antivirus régulière (Normal) - est contenue dans tous les modèles de FortiGate'ov. Il comprend les signatures des virus qui ont été découverts ces derniers mois. Il s'agit de la plus petite base de données antivirus, donc lors de son utilisation, l'analyse est la plus rapide. Cependant, cette base de données ne peut pas détecter tous les virus connus.
- Extended (Extend) - cette base est prise en charge par la plupart des modèles FortiGate. Il peut être utilisé pour détecter les virus qui ne sont plus actifs. De nombreuses plateformes sont encore vulnérables à ces virus. En outre, ces virus peuvent entraîner des problèmes à l'avenir.
- Et la dernière base extrême (Extreme) - est utilisée dans les infrastructures où un haut niveau de sécurité est requis. Il peut détecter tous les virus connus, y compris les virus qui ciblent les systèmes d'exploitation hérités qui ne sont actuellement pas largement distribués. Ce type de base de données de signatures n'est pas non plus pris en charge par tous les modèles FortiGate.
Il existe également une base de données de signatures compacte conçue pour une analyse rapide. Nous en reparlerons un peu plus tard.
Vous pouvez mettre à jour les bases de données antivirus à l'aide de différentes méthodes.
La première méthode est Push Update - elle vous permet de mettre à jour les bases de données dès que la base de recherche FortiGuard publie une mise à jour. Ceci est utile pour les infrastructures qui nécessitent un haut niveau de sécurité, car FortiGate recevra des mises à jour urgentes dès qu'elles seront disponibles.
La deuxième méthode consiste à établir un calendrier. De cette façon, vous pouvez vérifier les mises à jour toutes les heures, tous les jours ou toutes les semaines. Autrement dit, ici, la plage de temps est définie à votre discrétion.
Ces méthodes peuvent être utilisées ensemble.
Mais vous devez garder à l'esprit que pour que les mises à jour soient effectuées, vous devez activer le profil antivirus pour au moins une politique de pare-feu. Sinon, les mises à jour ne seront pas effectuées.
Vous pouvez également télécharger les mises à jour à partir du site d'assistance Fortinet, puis les télécharger manuellement sur FortiGate.
Considérez les modes de numérisation. Il n'y en a que trois - le mode complet en mode basé sur le flux, le mode rapide en mode basé sur le flux et le mode complet en mode proxy. Commençons par le mode Full en mode Flow.
Supposons que l'utilisateur souhaite télécharger un fichier. Il envoie une demande. Le serveur commence à lui envoyer les paquets qui composent le fichier. L'utilisateur reçoit immédiatement ces paquets. Mais avant de transmettre ces paquets à l'utilisateur, FortiGate les met en cache. Une fois que FortiGate a reçu le dernier paquet, il commence à analyser le fichier. A ce moment, le dernier paquet est mis en file d'attente et n'est pas transmis à l'utilisateur. Si le fichier ne contient pas de virus, le dernier paquet est envoyé à l'utilisateur. Si un virus est détecté, FortiGate rompt la connexion avec l'utilisateur.
Le deuxième mode de numérisation disponible dans Flow Based est le mode rapide. Il utilise une base de données de signatures compacte qui contient moins de signatures qu'une base de données de signatures normale. Il présente également certaines limitations par rapport au mode complet :
- Il ne peut pas envoyer de fichiers au bac à sable
- Il ne peut pas utiliser l'analyse heuristique
- Il ne peut pas non plus utiliser de packages liés à des logiciels malveillants mobiles.
- Certains modèles d'entrée de gamme ne prennent pas en charge ce mode.
Le mode rapide vérifie également le trafic à la recherche de virus, de vers, de chevaux de Troie et de logiciels malveillants, mais sans mise en mémoire tampon. Cela offre de meilleures performances, mais en même temps, la probabilité de détecter un virus est réduite.
En mode proxy, le seul mode d'analyse disponible est le mode complet. Avec une telle analyse, FortiGate stocke d'abord l'intégralité du fichier par lui-même (à moins, bien sûr, que la taille de fichier autorisée pour l'analyse ne soit dépassée). Le client doit attendre la fin de l'analyse. Si un virus est détecté lors de l'analyse, l'utilisateur en sera immédiatement averti. Étant donné que FortiGate enregistre d'abord l'intégralité du fichier, puis l'analyse, cela peut prendre beaucoup de temps. de ce fait, il est possible que le client mette fin à la connexion avant de recevoir le fichier en raison d'un long délai.
La figure ci-dessous fournit un tableau de comparaison des modes de numérisation - il vous aidera à déterminer quel type de numérisation convient à vos tâches. La configuration et la vérification des performances de l'antivirus sont abordées en pratique dans la vidéo en fin d'article.
Passons à la deuxième partie de la leçon - le système de prévention des intrusions. Mais pour commencer à étudier IPS, vous devez comprendre la différence entre les exploits et les anomalies, ainsi que comprendre quels mécanismes FortiGate utilise pour se protéger contre eux.
Les exploits sont des attaques connues, avec des modèles spécifiques, qui peuvent être détectées à l'aide de signatures IPS, WAF ou antivirus.
Les anomalies sont des comportements inhabituels sur le réseau, tels qu'un volume de trafic inhabituellement élevé ou une consommation CPU supérieure à la normale. Les anomalies doivent être surveillées car elles peuvent être le signe d'une nouvelle attaque encore inexplorée. Les anomalies sont généralement détectées à l'aide d'une analyse comportementale - les signatures dites basées sur le débit et les politiques DoS.
En conséquence, IPS sur FortiGate utilise des bases de signatures pour détecter les attaques connues, ainsi que des signatures basées sur le taux et des politiques DoS pour détecter diverses anomalies.
Par défaut, un ensemble initial de signatures IPS est inclus avec chaque version du système d'exploitation FortiGate. Avec les mises à jour, FortiGate reçoit de nouvelles signatures. Ainsi, IPS reste efficace contre les nouveaux exploits. Le service FortiGuard met à jour les signatures IPS assez fréquemment.
Un point important qui s'applique à la fois à l'IPS et à l'antivirus est que si vos licences ont expiré, vous pouvez toujours utiliser les dernières signatures que vous avez reçues. Mais en obtenir de nouveaux sans licence ne fonctionnera pas. Par conséquent, l'absence de licences est hautement indésirable - lorsque de nouvelles attaques apparaissent, vous ne pourrez pas vous protéger avec d'anciennes signatures.
Les bases de données de signatures IPS sont divisées en bases de données régulières et étendues. La base de données régulière contient des signatures pour des attaques courantes qui provoquent très rarement ou jamais de faux positifs. L'action par défaut pour la plupart de ces signatures est un blocage.
La base de données étendue contient des signatures d'attaque supplémentaires qui ont un impact significatif sur les performances du système ou qui ne peuvent pas être bloquées en raison de leur nature particulière. En raison de la taille de cette base, elle n'est pas disponible pour les modèles FortiGate avec petit disque ou RAM. Mais pour les environnements hautement sécurisés, vous devrez peut-être utiliser une base étendue.
La configuration et la vérification IPS sont également couvertes dans la vidéo ci-dessous.
Dans la prochaine leçon, nous verrons comment travailler avec les utilisateurs. Pour ne rien manquer, restez à l'écoute des mises à jour sur les chaînes suivantes :
Source: habr.com