Üdvözlet! Üdvözöljük a tanfolyam hetedik leckében
Kezdjük a vírusirtóval. Először beszéljük meg azokat a technológiákat, amelyeket a FortiGate használ a vírusok észlelésére:
A víruskereső a legegyszerűbb és leggyorsabb módszer a vírusok észlelésére. Olyan vírusokat észlel, amelyek teljesen megegyeznek a víruskereső adatbázisban található aláírásokkal.
Grayware Scan vagy nem kívánt programellenőrzés – ez a technológia észleli a nem kívánt programokat, amelyek a felhasználó tudta vagy beleegyezése nélkül lettek telepítve. Technikailag ezek a programok nem vírusok. Általában más programokkal együtt érkeznek, de telepítve negatívan befolyásolják a rendszert, ezért rosszindulatú programoknak minősülnek. Az ilyen programok gyakran észlelhetők a FortiGuard kutatási bázisából származó egyszerű szürkeprogram-aláírások segítségével.
Heurisztikus szkennelés - ez a technológia valószínűségeken alapul, így használata téves pozitív hatásokat válthat ki, de a nulladik napi vírusokat is képes kimutatni. A nulladik napi vírusok olyan új vírusok, amelyeket még nem vizsgáltak, és nincsenek olyan aláírások, amelyek kimutathatnák őket. A heurisztikus vizsgálat alapértelmezés szerint nincs engedélyezve, és engedélyezni kell a parancssorban.
Ha az összes víruskereső funkció engedélyezve van, a FortiGate a következő sorrendben alkalmazza azokat: víruskereső, szürkeprogram-ellenőrzés, heurisztikus vizsgálat.
A FortiGate a feladatoktól függően több víruskereső adatbázist is használhat:
- Normál víruskereső adatbázis (Normál) - minden FortiGate modell tartalmazza. Az elmúlt hónapokban felfedezett vírusok aláírásait tartalmazza. Ez a legkisebb víruskereső adatbázis, így használatkor a leggyorsabban szkennel. Ez az adatbázis azonban nem képes felismerni az összes ismert vírust.
- Kiterjesztett – ezt az alapot a legtöbb FortiGate modell támogatja. Használható olyan vírusok kimutatására, amelyek már nem aktívak. Sok platform még mindig sebezhető ezekkel a vírusokkal szemben. Ezenkívül ezek a vírusok problémákat okozhatnak a jövőben.
- És az utolsó, extrém alap (Extreme) - olyan infrastruktúrákban használatos, ahol magas szintű biztonságra van szükség. Segítségével minden ismert vírust észlelhet, beleértve az elavult operációs rendszereket célzó vírusokat is, amelyek jelenleg nem terjedtek el széles körben. Ezt a típusú aláírási adatbázist szintén nem támogatja minden FortiGate modell.
A gyors szkenneléshez egy kompakt aláírási adatbázis is található. Kicsit később beszélünk róla.
A víruskereső adatbázisokat különböző módszerekkel frissítheti.
Az első módszer a Push Update, amely lehetővé teszi az adatbázisok frissítését, amint a FortiGuard kutatási adatbázis frissítést ad ki. Ez a magas szintű biztonságot igénylő infrastruktúrák esetében hasznos, mivel a FortiGate sürgős frissítéseket kap, amint azok elérhetővé válnak.
A második módszer az ütemezés beállítása. Így óránként, naponta vagy hetente ellenőrizheti a frissítéseket. Vagyis itt az időtartományt az Ön belátása szerint állíthatja be.
Ezek a módszerek együtt is használhatók.
De ne feledje, hogy a frissítések végrehajtásához engedélyeznie kell a víruskereső profilt legalább egy tűzfalszabályzathoz. Ellenkező esetben a frissítés nem történik meg.
A frissítéseket a Fortinet támogatási webhelyéről is letöltheti, majd manuálisan feltöltheti a FortiGate-be.
Nézzük a szkennelési módokat. Csak három van belőlük - Teljes mód áramlás alapú módban, Gyors mód áramlás alapú módban és Teljes mód proxy módban. Kezdjük a Teljes móddal Flow módban.
Tegyük fel, hogy egy felhasználó szeretne letölteni egy fájlt. Kérést küld. A szerver elkezdi küldeni neki a fájlt alkotó csomagokat. A felhasználó azonnal megkapja ezeket a csomagokat. Mielőtt azonban eljuttatná ezeket a csomagokat a felhasználóhoz, a FortiGate gyorsítótárba helyezi őket. Miután a FortiGate megkapta az utolsó csomagot, megkezdi a fájl vizsgálatát. Ekkor az utolsó csomag sorban áll, és nem kerül továbbításra a felhasználóhoz. Ha a fájl nem tartalmaz vírusokat, a rendszer a legfrissebb csomagot küldi el a felhasználónak. Ha vírust észlel, a FortiGate megszakítja a kapcsolatot a felhasználóval.
Az Flow Based funkcióban elérhető második szkennelési mód a Gyors mód. Kompakt aláírási adatbázist használ, amely kevesebb aláírást tartalmaz, mint egy hagyományos adatbázis. A teljes módhoz képest bizonyos korlátozásokkal is rendelkezik:
- Nem tud fájlokat küldeni a homokozóba
- Nem használhat heurisztikus elemzést
- Ezenkívül nem használhat mobil rosszindulatú programokkal kapcsolatos csomagokat
- Egyes belépő szintű modellek nem támogatják ezt a módot.
A Gyors mód emellett ellenőrzi a forgalmat vírusok, férgek, trójaiak és rosszindulatú programok szempontjából, de pufferelés nélkül. Ez jobb teljesítményt biztosít, ugyanakkor csökken a vírus észlelésének valószínűsége.
Proxy módban az egyetlen elérhető szkennelési mód a Teljes mód. Egy ilyen vizsgálatnál a FortiGate először a teljes fájlt magán tárolja (kivéve persze, ha túllépi a vizsgálathoz megengedett fájlméretet). Az ügyfélnek meg kell várnia a vizsgálat befejezését. Ha az ellenőrzés során vírust észlel, a felhasználó azonnal értesítést kap. Mivel a FortiGate először elmenti a teljes fájlt, majd beolvassa, ez meglehetősen hosszú ideig tarthat. Emiatt lehetőség van arra, hogy a kliens megszakítsa a kapcsolatot a fájl kézhezvétele előtt a hosszú késés miatt.
Az alábbi ábra a szkennelési módok összehasonlító táblázatát mutatja – ez segít meghatározni, hogy melyik szkennelési típus felel meg az Ön feladatainak. A víruskereső beállítását és működésének ellenőrzését a gyakorlatban a cikk végén található videó tárgyalja.
Térjünk át a lecke második részére - a behatolásgátló rendszerre. De ahhoz, hogy elkezdje tanulmányozni az IPS-t, meg kell értenie a különbséget a kihasználások és az anomáliák között, és meg kell értenie, hogy a FortiGate milyen mechanizmusokat használ az ellenük való védekezésre.
A kihasználások olyan ismert támadások, amelyek meghatározott mintázatúak, és amelyek IPS, WAF vagy víruskereső szignatúrák segítségével észlelhetők.
Az anomáliák olyan szokatlan viselkedést jelentenek a hálózaton, mint például a szokatlanul nagy forgalom vagy a normálnál magasabb CPU-fogyasztás. Az anomáliákat figyelni kell, mert egy új, feltáratlan támadás jelei lehetnek. Az anomáliákat általában viselkedéselemzéssel – úgynevezett sebesség-alapú aláírásokkal és DoS-házirendekkel – észlelik.
Ennek eredményeként a FortiGate-en az IPS aláírásbázisokat használ az ismert támadások észlelésére, a sebesség-alapú aláírásokat és a DoS-házirendeket pedig a különféle rendellenességek észlelésére.
Alapértelmezés szerint a FortiGate operációs rendszer minden verziója tartalmaz egy kezdeti IPS-aláírást. A frissítésekkel a FortiGate új aláírásokat kap. Így az IPS hatékony marad az új kizsákmányolásokkal szemben. A FortiGuard meglehetősen gyakran frissíti az IPS aláírásokat.
Az IPS-re és a víruskeresőre egyaránt érvényes fontos szempont, hogy ha lejártak a licencei, továbbra is használhatja a legfrissebb aláírásokat. De engedélyek nélkül nem fog tudni újat szerezni. Ezért a licencek hiánya rendkívül nemkívánatos - ha új támadások jelennek meg, nem tudja megvédeni magát a régi aláírásokkal.
Az IPS aláírási adatbázisok normál és kiterjesztett részekre oszthatók. Egy tipikus adatbázis aláírásokat tartalmaz olyan gyakori támadásokhoz, amelyek ritkán vagy soha nem okoznak hamis pozitív eredményt. A legtöbb ilyen aláíráshoz előre beállított művelet a blokkolás.
A kibővített adatbázis további támadási szignatúrákat tartalmaz, amelyek jelentős hatással vannak a rendszer teljesítményére, vagy speciális jellegük miatt nem blokkolhatók. Az adatbázis mérete miatt nem érhető el kis lemezzel vagy RAM-mal rendelkező FortiGate modelleken. A rendkívül biztonságos környezetek esetében azonban előfordulhat, hogy kiterjesztett bázist kell használnia.
Az IPS beállítását és működésének ellenőrzését az alábbi videó is tárgyalja.
A következő leckében a felhasználókkal való együttműködésről fogunk beszélni. Hogy ne maradj le róla, kövesd a frissítéseket az alábbi csatornákon:
Forrás: will.com