Lijep pozdrav! Dobrodošli u sedmu lekciju tečaja , na upoznali smo se sa sigurnosnim profilima kao što su Web Filtering, Application Control i HTTPS inspekcija. U ovoj lekciji nastavit ćemo uvod u sigurnosne profile. Najprije ćemo se upoznati s teorijskim aspektima rada antivirusnog i protuprovalnog sustava, a zatim ćemo pogledati kako ovi sigurnosni profili funkcioniraju u praksi.
Počnimo s antivirusom. Prvo, razgovarajmo o tehnologijama koje FortiGate koristi za otkrivanje virusa:
Antivirusno skeniranje je najlakši i najbrži način otkrivanja virusa. Otkriva viruse koji u potpunosti odgovaraju potpisima sadržanim u antivirusnoj bazi podataka.
Grayware Scan ili skeniranje neželjenih programa - ova tehnologija otkriva neželjene programe koji su instalirani bez znanja ili pristanka korisnika. Tehnički, ti programi nisu virusi. Obično dolaze u paketu s drugim programima, ali kada se instaliraju negativno utječu na sustav, zbog čega se klasificiraju kao malware. Često se takvi programi mogu otkriti korištenjem jednostavnih sivih potpisa iz istraživačke baze FortiGuard.
Heurističko skeniranje – ova se tehnologija temelji na vjerojatnostima pa njezina uporaba može izazvati lažne pozitivne učinke, ali također može detektirati viruse nultog dana. Virusi nultog dana novi su virusi koji još nisu proučeni i ne postoje potpisi koji bi ih mogli otkriti. Heurističko skeniranje nije omogućeno prema zadanim postavkama i mora biti omogućeno u naredbenom retku.
Ako su sve antivirusne mogućnosti omogućene, FortiGate ih primjenjuje sljedećim redoslijedom: antivirusno skeniranje, skeniranje sivog softvera, heurističko skeniranje.
FortiGate može koristiti nekoliko antivirusnih baza podataka, ovisno o zadacima:
- Normalna antivirusna baza podataka (Normal) - sadržana u svim FortiGate modelima. Uključuje potpise za viruse koji su otkriveni posljednjih mjeseci. Ovo je najmanja antivirusna baza podataka, tako da najbrže skenira kada se koristi. Međutim, ova baza podataka ne može otkriti sve poznate viruse.
- Proširena - ovu bazu podržava većina FortiGate modela. Može se koristiti za otkrivanje virusa koji više nisu aktivni. Mnoge su platforme još uvijek ranjive na ove viruse. Također, ovi virusi mogu uzrokovati probleme u budućnosti.
- I posljednja, ekstremna baza (Extreme) - koristi se u infrastrukturama gdje je potrebna visoka razina sigurnosti. Uz njegovu pomoć možete otkriti sve poznate viruse, uključujući viruse usmjerene na zastarjele operativne sustave, koji trenutno nisu široko rasprostranjeni. Ovu vrstu baze podataka potpisa također ne podržavaju svi FortiGate modeli.
Tu je i kompaktna baza podataka potpisa dizajnirana za brzo skeniranje. O tome ćemo malo kasnije.
Antivirusne baze podataka možete ažurirati različitim metodama.
Prva metoda je Push Update, koja omogućuje ažuriranje baza podataka čim baza podataka istraživanja FortiGuard objavi ažuriranje. Ovo je korisno za infrastrukture koje zahtijevaju visoku razinu sigurnosti, budući da će FortiGate primati hitna ažuriranja čim budu dostupna.
Druga metoda je postavljanje rasporeda. Na taj način možete provjeriti ima li ažuriranja svaki sat, dan ili tjedan. Odnosno, ovdje je vremenski raspon postavljen prema vlastitom nahođenju.
Ove metode se mogu koristiti zajedno.
Ali morate imati na umu da za ažuriranje morate omogućiti antivirusni profil za barem jedno pravilo vatrozida. U suprotnom, ažuriranja se neće izvršiti.
Također možete preuzeti ažuriranja s Fortinet stranice za podršku i zatim ih ručno prenijeti na FortiGate.
Pogledajmo načine skeniranja. Postoje ih samo tri - Puni način rada u načinu rada koji se temelji na tijeku, brzi način rada u načinu rada koji se temelji na tijeku i puni način rada u načinu proxyja. Počnimo s punim načinom rada u načinu rada Flow.
Recimo da korisnik želi preuzeti datoteku. Šalje zahtjev. Poslužitelj mu počinje slati pakete koji čine datoteku. Korisnik ove pakete dobiva odmah. Ali prije isporuke ovih paketa korisniku, FortiGate ih sprema u predmemoriju. Nakon što FortiGate primi posljednji paket, počinje skenirati datoteku. U ovom trenutku, zadnji paket je u redu i ne šalje se korisniku. Ako datoteka ne sadrži viruse, korisniku se šalje najnoviji paket. Ako se otkrije virus, FortiGate prekida vezu s korisnikom.
Drugi način skeniranja dostupan u Flow Based je brzi način. Koristi kompaktnu bazu podataka potpisa, koja sadrži manje potpisa od obične baze podataka. Također ima neka ograničenja u usporedbi s punim načinom rada:
- Ne može slati datoteke u sandbox
- Ne može koristiti heurističku analizu
- Također ne može koristiti pakete koji se odnose na mobilni malware
- Neki početni modeli ne podržavaju ovaj način rada.
Brzi način rada također provjerava promet na viruse, crve, trojance i malware, ali bez međuspremnika. To omogućuje bolju izvedbu, ali je istodobno smanjena vjerojatnost otkrivanja virusa.
U proxy modu, jedini dostupan način skeniranja je Full Mode. S takvim skeniranjem, FortiGate prvo pohranjuje cijelu datoteku na sebe (osim, naravno, ako je dopuštena veličina datoteke za skeniranje prekoračena). Klijent mora pričekati da se skeniranje završi. Ako se tijekom skeniranja otkrije virus, korisnik će biti odmah obaviješten. Budući da FortiGate prvo sprema cijelu datoteku, a zatim je skenira, to može potrajati dosta dugo. Zbog toga je moguće da klijent prekine vezu prije primitka datoteke zbog dugog kašnjenja.
Donja slika prikazuje usporednu tablicu za načine skeniranja - pomoći će vam da odredite koja je vrsta skeniranja prikladna za vaše zadatke. O postavljanju i provjeri funkcionalnosti antivirusnog programa u praksi se govori u videu na kraju članka.
Prijeđimo na drugi dio lekcije – sustav za sprječavanje upada. Ali kako biste počeli proučavati IPS, morate razumjeti razliku između exploita i anomalija, te također razumjeti koje mehanizme FortiGate koristi za zaštitu od njih.
Iskorištavanja su poznati napadi s određenim obrascima koji se mogu otkriti pomoću IPS, WAF ili antivirusnih potpisa.
Anomalije su neuobičajeno ponašanje na mreži, kao što je neuobičajeno velika količina prometa ili veća potrošnja CPU-a od normalne. Anomalije treba nadzirati jer mogu biti znakovi novog, neistraženog napada. Anomalije se obično otkrivaju analizom ponašanja - takozvanim potpisima temeljenim na stopi i DoS politikama.
Kao rezultat toga, IPS na FortiGateu koristi baze potpisa za otkrivanje poznatih napada, te potpise temeljene na brzini i DoS pravila za otkrivanje raznih anomalija.
Prema zadanim postavkama, početni skup IPS potpisa uključen je u svaku verziju operativnog sustava FortiGate. S ažuriranjima FortiGate dobiva nove potpise. Na taj način IPS ostaje učinkovit protiv novih eksploatacija. FortiGuard prilično često ažurira IPS potpise.
Važna točka koja se odnosi i na IPS i na antivirus je da ako su vam licence istekle, još uvijek možete koristiti najnovije primljene potpise. Ali nećete moći dobiti nove bez licenci. Stoga je nepostojanje licenci krajnje nepoželjno - ako se pojave novi napadi, nećete se moći zaštititi starim potpisima.
IPS baze podataka potpisa dijele se na obične i proširene. Tipična baza podataka sadrži potpise za uobičajene napade koji rijetko ili nikada ne uzrokuju lažne rezultate. Unaprijed konfigurirana radnja za većinu ovih potpisa je blokiranje.
Proširena baza podataka sadrži dodatne potpise napada koji imaju značajan utjecaj na performanse sustava ili koji se ne mogu blokirati zbog svoje posebne prirode. Zbog veličine ove baze podataka, nije dostupna na FortiGate modelima s malim diskom ili RAM-om. Ali za vrlo sigurna okruženja možda ćete morati koristiti proširenu bazu.
O postavljanju i provjeri funkcionalnosti IPS-a također se raspravlja u videu u nastavku.
U sljedećoj lekciji ćemo se osvrnuti na rad s korisnicima. Kako ne biste propustili, pratite novosti na sljedećim kanalima:
Izvor: www.habr.com