Groetnis! Wolkom by de sânde les fan de kursus . Op de wy makken kunde mei sokke befeiligingsprofilen as webfiltering, applikaasjekontrôle en HTTPS-ynspeksje. Yn dizze les sille wy trochgean mei ús ynlieding oer feiligensprofilen. Earst sille wy yn 'e kunde komme mei de teoretyske aspekten fan' e operaasje fan in anty-firus- en ynbraakprevinsjesysteem, en dan sille wy sjen hoe't dizze feiligensprofilen yn 'e praktyk wurkje.
Litte wy begjinne mei it antivirus. Litte wy earst de technologyen besprekke dy't FortiGate brûkt om firussen te detectearjen:
Antivirus skennen is de maklikste en rapste metoade foar it opspoaren fan firussen. It detektearret firussen dy't folslein oerienkomme mei de hantekeningen yn 'e anty-firus databank.
Grayware Scan of net winske programma skennen - dizze technology detektearret net winske programma's dy't binne ynstallearre sûnder de brûker syn kennis of tastimming. Technysk binne dizze programma's gjin firussen. Se komme meastentiids bondele mei oare programma's, mar as se ynstalleare binne se negatyf beynfloedzje it systeem, dat is wêrom se wurde klassifisearre as malware. Faak kinne sokke programma's ûntdutsen wurde mei ienfâldige greyware-hantekeningen fan 'e FortiGuard-ûndersyksbasis.
Heuristyske skennen - dizze technology is basearre op kânsen, sadat it gebrûk dêrfan falske positive effekten kin feroarsaakje, mar it kin ek nul-dei-firussen ûntdekke. Zero day firussen binne nije firussen dy't noch net ûndersocht binne, en d'r binne gjin hantekeningen dy't se kinne ûntdekke. Heuristyske skennen is net standert ynskeakele en moat ynskeakele wurde op de kommandorigel.
As alle antyvirusmooglikheden ynskeakele binne, tapast FortiGate se yn 'e folgjende folchoarder: antyvirus skennen, greyware skennen, heuristyske skennen.
FortiGate kin ferskate anty-firus databases brûke, ôfhinklik fan de taken:
- Normaal antivirus databank (normaal) - befette yn alle FortiGate modellen. It omfettet hantekeningen foar firussen dy't yn 'e ôfrûne moannen binne ûntdutsen. Dit is de lytste antivirus databank, dus it scant it rapste as it wurdt brûkt. Dizze databank kin lykwols net alle bekende firussen detectearje.
- Utwreide - dizze basis wurdt stipe troch de measte FortiGate-modellen. It kin brûkt wurde om firussen te ûntdekken dy't net mear aktyf binne. In protte platfoarms binne noch kwetsber foar dizze firussen. Ek kinne dizze firussen yn 'e takomst problemen feroarsaakje.
- En de lêste, ekstreme basis (Extreme) - wurdt brûkt yn ynfrastruktuer dêr't in heech nivo fan feiligens is fereaske. Mei har help kinne jo alle bekende firussen ûntdekke, ynklusyf firussen dy't rjochte binne op ferâldere bestjoeringssystemen, dy't op it stuit net wiid ferspraat binne. Dit soarte fan hântekening databank wurdt ek net stipe troch alle FortiGate modellen.
D'r is ek in kompakte hântekeningdatabase ûntworpen foar fluch skennen. Wy prate der noch efkes oer.
Jo kinne anty-firus databases bywurkje mei ferskate metoaden.
De earste metoade is Push Update, wêrtroch databases bywurke wurde kinne sa gau as de FortiGuard-ûndersyksdatabase in update útbringt. Dit is nuttich foar ynfrastruktueren dy't in heech nivo fan feiligens fereaskje, om't FortiGate driuwende updates sil ûntfange sa gau as se beskikber binne.
De twadde metoade is om in skema yn te stellen. Op dizze manier kinne jo elke oere, dei of wike op updates kontrolearje. Dat is, hjir wurdt it tiidbereik ynsteld nei jo goedtinken.
Dizze metoaden kinne tegearre brûkt wurde.
Mar jo moatte yn gedachten hâlde dat om updates te meitsjen moatte jo it antyvirusprofyl ynskeakelje foar op syn minst ien firewall-belied. Oars wurde updates net makke.
Jo kinne ek updates downloade fan 'e Fortinet-stipeside en se dan manuell uploade nei FortiGate.
Litte wy nei de scanmodi sjen. D'r binne mar trije fan har - Folsleine modus yn Flow-basearre modus, Fluchmodus yn Flow-basearre modus, en Folsleine modus yn proxy-modus. Litte wy begjinne mei Folsleine modus yn Flow-modus.
Litte wy sizze dat in brûker in bestân downloade wol. Hy stjoert in fersyk. De tsjinner begjint him pakketten te stjoeren dy't it bestân útmeitsje. De brûker krijt dizze pakketten fuortendaliks. Mar foardat dizze pakketten oan de brûker levere wurde, cache FortiGate se. Nei't FortiGate it lêste pakket ûntfangt, begjint it it bestân te scannen. Op dit stuit is it lêste pakket yn 'e wachtrige en net oerdroegen oan de brûker. As it bestân gjin firussen befettet, wurdt it lêste pakket nei de brûker stjoerd. As in firus ûntdutsen wurdt, brekt FortiGate de ferbining mei de brûker.
De twadde skennenmodus beskikber yn Flow Based is Quick Mode. It brûkt in kompakte hântekeningdatabase, dy't minder hantekeningen befettet as in gewoane databank. It hat ek wat beheiningen yn ferliking mei Full Mode:
- It kin gjin triemmen stjoere nei de sânbak
- It kin gjin heuristyske analyze brûke
- Ek kin it pakketten net brûke relatearre oan mobile malware
- Guon yngongsnivo modellen stypje dizze modus net.
Fluchmodus kontrolearret ek ferkear op firussen, wjirms, trojans en malware, mar sûnder buffering. Dit soarget foar bettere prestaasjes, mar tagelyk wurdt de kâns op it opspoaren fan in firus fermindere.
Yn Proxy-modus is de ienige beskikbere skennenmodus Folsleine modus. By sa'n scan bewarret FortiGate earst it hiele bestân op himsels (útsein as fansels de tastiene triemgrutte foar skennen wurdt oerskreden). De kliïnt moat wachtsje oant de scan foltôge is. As in firus wurdt ûntdutsen by it scannen, wurdt de brûker fuortendaliks op 'e hichte brocht. Om't FortiGate earst it hiele bestân opslacht en dêrnei scant, kin dit nochal lang duorje. Hjirtroch is it mooglik foar de kliïnt om de ferbining te beëinigjen foardat hy it bestân ûntfangt troch in lange fertraging.
De figuer hjirûnder toant in fergelikingstabel foar skennenmodi - it sil jo helpe om te bepalen hokker type skennen geskikt is foar jo taken. It ynstellen en kontrolearjen fan de funksjonaliteit fan it antyvirus wurdt yn 'e praktyk besprutsen yn' e fideo oan 'e ein fan it artikel.
Litte wy nei it twadde diel fan 'e les gean - it systeem foar ynbraakprevinsje. Mar om te begjinnen mei it studearjen fan IPS, moatte jo it ferskil begripe tusken eksploaten en anomalies, en ek begripe hokker meganismen FortiGate brûkt om har te beskermjen.
Exploits binne bekende oanfallen mei spesifike patroanen dy't kinne wurde ûntdutsen mei IPS, WAF, of antyvirus-hantekeningen.
Anomalies binne ûngewoan gedrach op in netwurk, lykas in ûngewoan grutte hoemannichte ferkear of heger as normaal CPU-konsumpsje. Anomalies moatte kontrolearre wurde, om't se tekens wêze kinne fan in nije, net ûndersochte oanfal. Anomalies wurde meastentiids ûntdutsen mei gedrachsanalyse - saneamde rate-basearre hantekeningen en DoS-belied.
As gefolch, IPS op FortiGate brûkt hantekeningsbasen om bekende oanfallen te detektearjen, en Rate-Basearre hantekeningen en DoS-belied om ferskate anomalies te detektearjen.
Standert is in earste set fan IPS-hantekeningen opnommen mei elke ferzje fan it FortiGate-bestjoeringssysteem. Mei updates ûntfangt FortiGate nije hantekeningen. Op dizze manier bliuwt IPS effektyf tsjin nije eksploaten. FortiGuard fernijt IPS-hantekeningen frij faak.
In wichtich punt dat jildt foar sawol IPS as antivirus is dat as jo lisinsjes binne ferrûn, kinne jo noch brûke de lêste hântekeningen ûntfongen. Mar jo sille gjin nije kinne krije sûnder lisinsjes. Dêrom is it ûntbrekken fan lisinsjes ekstreem net winsklik - as nije oanfallen ferskine, kinne jo josels net beskermje mei âlde hantekeningen.
IPS hântekening databases wurde ferdield yn reguliere en útwreide. In typyske databank befettet hantekeningen foar mienskiplike oanfallen dy't selden of nea falske positiven feroarsaakje. De foarôf ynstelde aksje foar de measte fan dizze hantekeningen is blok.
De útwreide databank befettet ekstra oanfalshântekeningen dy't in wichtige ynfloed hawwe op systeemprestaasjes, of dy't net kinne wurde blokkearre fanwegen har spesjale aard. Troch de grutte fan dizze databank is it net beskikber op FortiGate-modellen mei lytse skiif of RAM. Mar foar heul feilige omjouwings moatte jo miskien in útwreide basis brûke.
It ynstellen en kontrolearjen fan de funksjonaliteit fan IPS wurdt ek besprutsen yn it fideo hjirûnder.
Yn 'e folgjende les sille wy sjen nei wurkjen mei brûkers. Om it net te missen, folgje de updates op 'e folgjende kanalen:
Boarne: www.habr.com