Saúdos! Benvido á sétima lección do curso . Activado coñecemos perfís de seguridade como o filtrado web, o control de aplicacións e a inspección HTTPS. Nesta lección continuaremos coa nosa introdución aos perfís de seguridade. En primeiro lugar, familiarizarémonos cos aspectos teóricos do funcionamento dun sistema antivirus e de prevención de intrusos, e despois veremos como funcionan estes perfís de seguridade na práctica.
Imos comezar co antivirus. Primeiro, imos discutir as tecnoloxías que usa FortiGate para detectar virus:
A exploración antivirus é o método máis sinxelo e rápido para detectar virus. Detecta virus que coinciden completamente coas sinaturas contidas na base de datos antivirus.
Exploración de grayware ou dixitalización de programas non desexados: esta tecnoloxía detecta programas non desexados que se instalan sen o coñecemento ou o consentimento do usuario. Tecnicamente, estes programas non son virus. Normalmente veñen acompañados doutros programas, pero cando se instalan afectan negativamente ao sistema, polo que se clasifican como malware. Moitas veces, estes programas pódense detectar mediante sinaturas simples de grayware da base de investigación FortiGuard.
Exploración heurística: esta tecnoloxía baséase en probabilidades, polo que o seu uso pode causar falsos efectos positivos, pero tamén pode detectar virus de día cero. Os virus de día cero son virus novos que aínda non foron estudados e non hai sinaturas que poidan detectalos. A exploración heurística non está activada por defecto e debe estar activada na liña de comandos.
Se todas as capacidades antivirus están activadas, FortiGate aplícaas na seguinte orde: dixitalización antivirus, dixitalización de grayware, dixitalización heurística.
FortiGate pode utilizar varias bases de datos antivirus, dependendo das tarefas:
- Base de datos antivirus normal (Normal) - contida en todos os modelos FortiGate. Inclúe sinaturas de virus que se descubriron nos últimos meses. Esta é a base de datos antivirus máis pequena, polo que analiza o máis rápido cando se usa. Non obstante, esta base de datos non pode detectar todos os virus coñecidos.
- Estendido: esta base é compatible coa maioría dos modelos FortiGate. Pódese usar para detectar virus que xa non están activos. Moitas plataformas aínda son vulnerables a estes virus. Ademais, estes virus poden causar problemas no futuro.
- E a última base extrema (Extreme) úsase en infraestruturas onde se require un alto nivel de seguridade. Coa súa axuda, pode detectar todos os virus coñecidos, incluídos os virus dirixidos a sistemas operativos obsoletos, que non están moi distribuídos polo momento. Este tipo de base de datos de sinaturas tampouco é compatible con todos os modelos FortiGate.
Tamén hai unha base de datos de sinaturas compacta deseñada para a dixitalización rápida. Falarémolo un pouco máis tarde.
Podes actualizar as bases de datos antivirus usando diferentes métodos.
O primeiro método é Push Update, que permite que as bases de datos se actualicen tan pronto como a base de datos de investigación FortiGuard publique unha actualización. Isto é útil para infraestruturas que requiren un alto nivel de seguridade, xa que FortiGate recibirá actualizacións urxentes en canto estean dispoñibles.
O segundo método é establecer un horario. Deste xeito, pode comprobar se hai actualizacións cada hora, día ou semana. É dicir, aquí o intervalo de tempo establécese ao seu criterio.
Estes métodos pódense usar xuntos.
Pero cómpre ter en conta que para que se realicen actualizacións, debes activar o perfil antivirus para polo menos unha política de firewall. En caso contrario, non se realizarán actualizacións.
Tamén pode descargar actualizacións desde o sitio de asistencia de Fortinet e cargalas manualmente en FortiGate.
Vexamos os modos de dixitalización. Só hai tres deles: o modo completo no modo baseado en fluxo, o modo rápido no modo baseado en fluxo e o modo completo no modo proxy. Comecemos co modo completo no modo fluxo.
Digamos que un usuario quere descargar un ficheiro. Envía unha solicitude. O servidor comeza a enviarlle paquetes que compoñen o ficheiro. O usuario recibe inmediatamente estes paquetes. Pero antes de entregar estes paquetes ao usuario, FortiGate almacena en caché. Despois de que FortiGate reciba o último paquete, comeza a escanear o ficheiro. Neste momento, o último paquete está en cola e non se transmite ao usuario. Se o ficheiro non contén virus, envíase o último paquete ao usuario. Se se detecta un virus, FortiGate rompe a conexión co usuario.
O segundo modo de dixitalización dispoñible en baseado en fluxo é o modo rápido. Usa unha base de datos de sinaturas compacta, que contén menos sinaturas que unha base de datos normal. Tamén ten algunhas limitacións en comparación co modo completo:
- Non pode enviar ficheiros ao sandbox
- Non pode utilizar a análise heurística
- Tampouco pode usar paquetes relacionados con malware móbil
- Algúns modelos de nivel básico non admiten este modo.
O modo rápido tamén comproba o tráfico de virus, vermes, troianos e malware, pero sen almacenar en búfer. Isto proporciona un mellor rendemento, pero ao mesmo tempo redúcese a probabilidade de detectar un virus.
No modo proxy, o único modo de dixitalización dispoñible é o modo completo. Con tal dixitalización, FortiGate almacena primeiro todo o ficheiro sobre si mesmo (a menos que, por suposto, se exceda o tamaño de ficheiro permitido para a dixitalización). O cliente debe esperar a que se complete a exploración. Se se detecta un virus durante a dixitalización, o usuario será notificado inmediatamente. Como FortiGate garda primeiro todo o ficheiro e despois escanea, isto pode levar moito tempo. Debido a isto, é posible que o cliente finalice a conexión antes de recibir o ficheiro debido a un longo atraso.
A seguinte figura mostra unha táboa comparativa dos modos de dixitalización: axudarache a determinar que tipo de dixitalización é axeitado para as túas tarefas. A configuración e a comprobación da funcionalidade do antivirus descríbese na práctica no vídeo ao final do artigo.
Pasemos á segunda parte da lección: o sistema de prevención de intrusos. Pero para comezar a estudar IPS, cómpre comprender a diferenza entre exploits e anomalías, e tamén comprender que mecanismos usa FortiGate para protexerse contra eles.
Os exploits son ataques coñecidos con patróns específicos que se poden detectar mediante IPS, WAF ou sinaturas antivirus.
As anomalías son comportamentos pouco habituais nunha rede, como unha cantidade inusualmente grande de tráfico ou un consumo de CPU superior ao normal. As anomalías cómpre supervisar porque poden ser signos dun novo ataque inexplorado. As anomalías adoitan detectarse mediante a análise do comportamento: as chamadas sinaturas baseadas en tarifas e políticas de DoS.
Como resultado, IPS en FortiGate usa bases de sinaturas para detectar ataques coñecidos, e sinaturas baseadas en taxas e políticas de DoS para detectar varias anomalías.
Por defecto, inclúese un conxunto inicial de sinaturas IPS con cada versión do sistema operativo FortiGate. Con actualizacións, FortiGate recibe novas sinaturas. Deste xeito, IPS segue sendo eficaz contra novos exploits. FortiGuard actualiza as sinaturas IPS con bastante frecuencia.
Un punto importante que se aplica tanto ao IPS como ao antivirus é que se as súas licenzas caducaron, aínda pode usar as últimas sinaturas recibidas. Pero non poderás obter outros novos sen licenzas. Polo tanto, a ausencia de licenzas é moi indesexable: se aparecen novos ataques, non poderás protexerte con sinaturas antigas.
As bases de datos de sinaturas IPS divídense en regulares e estendidas. Unha base de datos típica contén sinaturas para ataques comúns que raramente ou nunca causan falsos positivos. A acción preconfigurada para a maioría destas sinaturas é o bloqueo.
A base de datos estendida contén sinaturas de ataque adicionais que teñen un impacto significativo no rendemento do sistema ou que non se poden bloquear debido á súa natureza especial. Debido ao tamaño desta base de datos, non está dispoñible nos modelos FortiGate con disco pequeno ou RAM. Pero para ambientes altamente seguros, é posible que necesites usar unha base estendida.
A configuración e a comprobación da funcionalidade de IPS tamén se comenta no seguinte vídeo.
Na seguinte lección veremos como traballar cos usuarios. Para non perdelo, segue as actualizacións nas seguintes canles:
Fonte: www.habr.com