7. Fortinet Getting Started v6.0. Հակավիրուսային և IPS

Ողջույններ: Բարի գալուստ դասընթացի յոթերորդ դաս Fortinet Սկսել: On վերջին դաս մենք ծանոթացանք այնպիսի անվտանգության պրոֆիլների հետ, ինչպիսիք են Web Filtering, Application Control և HTTPS ստուգում: Այս դասում մենք կշարունակենք մեր ծանոթությունը անվտանգության պրոֆիլներին: Նախ կծանոթանանք հակավիրուսային և ներխուժման կանխարգելման համակարգի աշխատանքի տեսական ասպեկտներին, այնուհետև կդիտարկենք, թե ինչպես են այս անվտանգության պրոֆիլները գործնականում աշխատում։

Սկսենք հակավիրուսից: Նախ, եկեք քննարկենք այն տեխնոլոգիաները, որոնք FortiGate-ն օգտագործում է վիրուսները հայտնաբերելու համար.
Հակավիրուսային սկանավորումը վիրուսների հայտնաբերման ամենահեշտ և ամենաարագ մեթոդն է: Այն հայտնաբերում է վիրուսներ, որոնք լիովին համապատասխանում են հակավիրուսային տվյալների բազայում պարունակվող ստորագրություններին:

Grayware Scan կամ անցանկալի ծրագրերի սկանավորում. այս տեխնոլոգիան հայտնաբերում է անցանկալի ծրագրեր, որոնք տեղադրվում են առանց օգտագործողի իմացության կամ համաձայնության: Տեխնիկապես այս ծրագրերը վիրուսներ չեն: Նրանք սովորաբար գալիս են այլ ծրագրերի հետ միասին, բայց երբ տեղադրվում են, դրանք բացասաբար են ազդում համակարգի վրա, ինչի պատճառով դրանք դասակարգվում են որպես չարամիտ ծրագրեր: Հաճախ նման ծրագրերը կարելի է հայտնաբերել՝ օգտագործելով FortiGuard հետազոտական ​​բազայի պարզ գորշ ծրագրերի ստորագրությունները:

Էվրիստիկական սկանավորում. այս տեխնոլոգիան հիմնված է հավանականությունների վրա, ուստի դրա օգտագործումը կարող է կեղծ դրական էֆեկտներ առաջացնել, բայց կարող է նաև հայտնաբերել զրոյական օրվա վիրուսներ: Zero day վիրուսները նոր վիրուսներ են, որոնք դեռ չեն ուսումնասիրվել, և չկան ստորագրություններ, որոնք կարող են հայտնաբերել դրանք: Էվրիստիկական սկանավորումը լռելյայն միացված չէ և պետք է միացված լինի հրամանի տողում:

Եթե ​​հակավիրուսային բոլոր հնարավորությունները միացված են, FortiGate-ը դրանք կիրառում է հետևյալ հաջորդականությամբ՝ հակավիրուսային սկանավորում, գորշ ծրագրերի սկանավորում, էվրիստիկական սկանավորում:

FortiGate-ը կարող է օգտագործել մի քանի հակավիրուսային տվյալների բազա՝ կախված առաջադրանքներից.

• Նորմալ հակավիրուսային տվյալների բազա (Նորմալ) - պարունակվում է FortiGate-ի բոլոր մոդելներում: Այն ներառում է ստորագրություններ վիրուսների համար, որոնք հայտնաբերվել են վերջին ամիսներին: Սա ամենափոքր հակավիրուսային տվյալների բազան է, ուստի այն ամենաարագ սկանավորում է, երբ օգտագործվում է: Այնուամենայնիվ, այս տվյալների բազան չի կարող հայտնաբերել բոլոր հայտնի վիրուսները:
• Ընդլայնված - այս բազան աջակցվում է FortiGate մոդելների մեծ մասի կողմից: Այն կարող է օգտագործվել վիրուսներ հայտնաբերելու համար, որոնք այլևս ակտիվ չեն: Շատ հարթակներ դեռ խոցելի են այս վիրուսների նկատմամբ: Բացի այդ, այս վիրուսները կարող են ապագայում խնդիրներ առաջացնել:
• Իսկ վերջին, ծայրահեղ բազան (Extreme) - օգտագործվում է ենթակառուցվածքներում, որտեղ պահանջվում է անվտանգության բարձր մակարդակ: Նրա օգնությամբ դուք կարող եք հայտնաբերել բոլոր հայտնի վիրուսները, ներառյալ վիրուսները, որոնք ուղղված են հնացած օպերացիոն համակարգերին, որոնք այս պահին լայնորեն տարածված չեն: Ստորագրության տվյալների բազայի այս տեսակը նույնպես չի աջակցվում FortiGate-ի բոլոր մոդելների կողմից:

Կա նաև ստորագրության կոմպակտ տվյալների բազա, որը նախատեսված է արագ սկանավորման համար: Մենք դրա մասին կխոսենք մի փոքր ուշ:

Դուք կարող եք թարմացնել հակավիրուսային տվյալների բազաները՝ օգտագործելով տարբեր մեթոդներ:

Առաջին մեթոդը Push Update-ն է, որը թույլ է տալիս տվյալների բազաները թարմացնել հենց որ FortiGuard հետազոտական ​​տվյալների բազան թարմացում թողարկի: Սա օգտակար է ենթակառուցվածքների համար, որոնք պահանջում են անվտանգության բարձր մակարդակ, քանի որ FortiGate-ը կստանա հրատապ թարմացումներ հենց որ դրանք հասանելի լինեն:

Երկրորդ մեթոդը ժամանակացույցի սահմանումն է: Այս կերպ Դուք կարող եք ստուգել թարմացումները ամեն ժամ, օր կամ շաբաթ: Այսինքն, այստեղ ժամանակային միջակայքը սահմանվում է ձեր հայեցողությամբ:
Այս մեթոդները կարող են օգտագործվել միասին:

Բայց դուք պետք է հիշեք, որ թարմացումներ կատարելու համար դուք պետք է միացնեք հակավիրուսային պրոֆիլը առնվազն մեկ firewall քաղաքականության համար: Հակառակ դեպքում թարմացումները չեն կատարվի:

Կարող եք նաև թարմացումներ ներբեռնել Fortinet-ի աջակցման կայքից և այնուհետև դրանք ձեռքով վերբեռնել FortiGate-ում:

Եկեք նայենք սկանավորման ռեժիմներին: Դրանցից ընդամենը երեքն է՝ Full Mode Flow Based ռեժիմում, Quick Mode Flow Based ռեժիմում և Full Mode պրոքսի ռեժիմում: Սկսենք Full Mode-ից Flow ռեժիմում:

Ենթադրենք, օգտվողը ցանկանում է ներբեռնել ֆայլը: Նա հարցում է ուղարկում. Սերվերը սկսում է նրան ուղարկել փաթեթներ, որոնք կազմում են ֆայլը: Օգտագործողը անմիջապես ստանում է այդ փաթեթները: Բայց նախքան այս փաթեթները օգտատերին հանձնելը, FortiGate-ը պահում է դրանք: Այն բանից հետո, երբ FortiGate-ը ստանում է վերջին փաթեթը, այն սկսում է սկանավորել ֆայլը: Այս պահին վերջին փաթեթը հերթագրված է և չի փոխանցվում օգտագործողին: Եթե ​​ֆայլը վիրուսներ չի պարունակում, վերջին փաթեթն ուղարկվում է օգտագործողին: Եթե ​​վիրուս է հայտնաբերվել, FortiGate-ը խզում է կապը օգտատիրոջ հետ:

Երկրորդ սկանավորման ռեժիմը, որը հասանելի է Flow Based-ում, արագ ռեժիմն է: Այն օգտագործում է ստորագրության կոմպակտ տվյալների բազա, որը պարունակում է ավելի քիչ ստորագրություններ, քան սովորական տվյալների բազան: Այն նաև ունի որոշ սահմանափակումներ՝ համեմատած Full Mode-ի հետ.

• Այն չի կարող ֆայլեր ուղարկել ավազարկղ
• Այն չի կարող օգտագործել էվրիստիկ վերլուծություն
• Նաև այն չի կարող օգտագործել բջջային չարամիտ ծրագրերի հետ կապված փաթեթներ
• Մուտքի մակարդակի որոշ մոդելներ չեն աջակցում այս ռեժիմը:

Արագ ռեժիմը նաև ստուգում է տրաֆիկը վիրուսների, ճիճուների, տրոյանների և չարամիտ ծրագրերի համար, բայց առանց բուֆերացման: Սա ապահովում է ավելի լավ կատարում, բայց միևնույն ժամանակ վիրուսի հայտնաբերման հավանականությունը նվազում է:

Proxy ռեժիմում սկանավորման միակ հասանելի ռեժիմը Full Mode-ն է: Նման սկանավորման դեպքում FortiGate-ը նախ պահում է ամբողջ ֆայլը իր վրա (եթե, իհարկե, սկանավորման համար ֆայլի թույլատրելի չափը գերազանցված չէ): Հաճախորդը պետք է սպասի սկանավորման ավարտին: Եթե ​​սկանավորման ընթացքում վիրուս հայտնաբերվի, օգտատերը անմիջապես կտեղեկացվի: Քանի որ FortiGate-ը սկզբում պահպանում է ամբողջ ֆայլը, այնուհետև սկանավորում այն, դա կարող է բավականին երկար տևել: Այդ պատճառով հաճախորդը կարող է դադարեցնել կապը մինչև ֆայլը ստանալը երկար ուշացման պատճառով:

Ստորև բերված նկարը ցույց է տալիս սկանավորման ռեժիմների համեմատական ​​աղյուսակը. այն կօգնի ձեզ որոշել, թե որ տեսակի սկանավորումն է հարմար ձեր առաջադրանքների համար: Հակավիրուսային ֆունկցիոնալությունը կարգավորելը և ստուգելը գործնականում քննարկվում է հոդվածի վերջում տեսանյութում:

Անցնենք դասի երկրորդ մասին՝ ներխուժման կանխարգելման համակարգին։ Բայց որպեսզի սկսեք ուսումնասիրել IPS-ը, դուք պետք է հասկանաք շահագործումների և անոմալիաների տարբերությունը, ինչպես նաև հասկանաք, թե ինչ մեխանիզմներ է օգտագործում FortiGate-ը դրանցից պաշտպանվելու համար:

Exploit-ները հայտնի հարձակումներ են հատուկ օրինաչափություններով, որոնք կարող են հայտնաբերվել IPS, WAF կամ հակավիրուսային ստորագրությունների միջոցով:

Անոմալիաներն անսովոր պահվածք են ցանցում, օրինակ՝ անսովոր մեծ քանակությամբ երթևեկություն կամ պրոցեսորի սովորականից ավելի սպառումը: Անոմալիաները պետք է վերահսկվեն, քանի որ դրանք կարող են լինել նոր, չուսումնասիրված հարձակման նշաններ: Անոմալիաները սովորաբար հայտնաբերվում են վարքագծային վերլուծության միջոցով՝ այսպես կոչված տոկոսադրույքի վրա հիմնված ստորագրություններ և DoS քաղաքականություն:

Արդյունքում, FortiGate-ի IPS-ն օգտագործում է ստորագրության հիմքերը՝ հայտնաբերելու հայտնի հարձակումները, իսկ տոկոսադրույքի վրա հիմնված ստորագրությունները և DoS քաղաքականությունը՝ տարբեր անոմալիաներ հայտնաբերելու համար:

Լռելյայնորեն, IPS ստորագրությունների նախնական փաթեթը ներառված է FortiGate օպերացիոն համակարգի յուրաքանչյուր տարբերակի հետ: Թարմացումներով FortiGate-ը նոր ստորագրություններ է ստանում: Այսպիսով, IPS-ն արդյունավետ է մնում նոր շահագործումների դեմ: FortiGuard-ը բավականին հաճախ է թարմացնում IPS ստորագրությունները:

Կարևոր կետ, որը վերաբերում է ինչպես IPS-ին, այնպես էլ հակավիրուսին, այն է, որ եթե ձեր լիցենզիաների ժամկետը լրացել է, դուք դեռ կարող եք օգտագործել ստացված վերջին ստորագրությունները: Բայց դուք չեք կարողանա նորերը ստանալ առանց լիցենզիաների: Հետևաբար, լիցենզիաների բացակայությունը չափազանց անցանկալի է. եթե նոր հարձակումներ հայտնվեն, դուք չեք կարողանա պաշտպանվել ձեզ հին ստորագրություններով։

IPS ստորագրության տվյալների բազաները բաժանվում են կանոնավոր և ընդլայնված: Տիպիկ տվյալների բազան պարունակում է ստորագրություններ սովորական հարձակումների համար, որոնք հազվադեպ են կամ երբեք չեն առաջացնում կեղծ դրական արդյունքներ: Այս ստորագրություններից շատերի համար նախապես կազմաձևված գործողությունը բլոկ է:

Ընդլայնված տվյալների բազան պարունակում է հավելյալ հարձակման ստորագրություններ, որոնք էական ազդեցություն ունեն համակարգի աշխատանքի վրա, կամ որոնք չեն կարող արգելափակվել իրենց հատուկ բնույթի պատճառով: Այս տվյալների բազայի մեծության պատճառով այն հասանելի չէ FortiGate մոդելներում փոքր սկավառակով կամ RAM-ով: Բայց խիստ անվտանգ միջավայրերի համար, գուցե անհրաժեշտ լինի օգտագործել ընդլայնված բազա:

IPS-ի ֆունկցիոնալության կարգավորումն ու ստուգումը նույնպես քննարկվում է ստորև ներկայացված տեսանյութում:

Հաջորդ դասում մենք կանդրադառնանք օգտատերերի հետ աշխատելուն: Այն բաց չթողնելու համար հետևեք թարմացումներին հետևյալ ալիքներով.

• Youtube
• Vkontakte համայնք
• Յանդեքս Զեն
• Մեր կայքը
• Telegram ալիք

Source: www.habr.com