Salam! Selamat datang di pelajaran ketujuh dari kursus ini . Pada kami berkenalan dengan profil keamanan seperti Pemfilteran Web, Kontrol Aplikasi, dan inspeksi HTTPS. Dalam pelajaran ini, kami akan melanjutkan pengenalan kami dengan profil keamanan. Pertama, kami akan berkenalan dengan aspek teoretis dari pengoperasian antivirus dan sistem pencegahan intrusi, dan kemudian kami akan mempertimbangkan pekerjaan profil keamanan ini dalam praktiknya.
Mari kita mulai dengan antivirus. Pertama, mari kita bahas teknologi yang digunakan FortiGate untuk mendeteksi virus:
Pemindaian antivirus adalah metode paling sederhana dan tercepat untuk mendeteksi virus. Ini mendeteksi virus yang sepenuhnya cocok dengan tanda tangan yang terdapat dalam basis data anti-virus.
Pemindaian Grayware atau Pemindaian Program yang Tidak Diinginkan - Teknologi ini mendeteksi program yang tidak diinginkan yang diinstal tanpa sepengetahuan atau persetujuan pengguna. Secara teknis, program ini bukanlah virus. Biasanya mereka dibundel dengan program lain, tetapi ketika diinstal mereka berdampak negatif pada sistem, itulah sebabnya mereka diklasifikasikan sebagai malware. Seringkali program semacam itu dapat dideteksi menggunakan tanda tangan abu-abu sederhana dari basis penelitian FortiGuard.
Pemindaian heuristik - teknologi ini didasarkan pada probabilitas, sehingga penggunaannya dapat menyebabkan efek positif palsu, tetapi juga dapat mendeteksi virus zero day. Virus zero day adalah virus baru yang belum diselidiki, dan belum ada tanda tangan yang dapat mendeteksinya. Pemindaian heuristik tidak diaktifkan secara default, ini harus diaktifkan pada baris perintah.
Jika semua fitur antivirus diaktifkan, FortiGate menerapkannya dalam urutan berikut: pemindaian antivirus, pemindaian grayware, pemindaian heuristik.
FortiGate dapat menggunakan beberapa database anti-virus, tergantung pada tugasnya:
- Basis data anti-virus reguler (Normal) - terdapat di semua model FortiGate'ov. Itu termasuk tanda tangan untuk virus yang telah ditemukan dalam beberapa bulan terakhir. Ini adalah basis data anti-virus terkecil, jadi saat menggunakannya, pemindaian adalah yang tercepat. Namun, database ini tidak dapat mendeteksi semua virus yang dikenal.
- Diperpanjang (Perpanjang) - basis ini didukung oleh sebagian besar model FortiGate. Dapat digunakan untuk mendeteksi virus yang sudah tidak aktif lagi. Banyak platform masih rentan terhadap virus ini. Juga, virus ini dapat membawa masalah di masa depan.
- Dan yang terakhir, basis ekstrim (Extreme) - digunakan dalam infrastruktur yang membutuhkan tingkat keamanan yang tinggi. Itu dapat mendeteksi semua virus yang dikenal, termasuk virus yang menargetkan sistem operasi lama yang saat ini tidak didistribusikan secara luas. Jenis database tanda tangan ini juga tidak didukung oleh semua model FortiGate.
Ada juga basis data tanda tangan ringkas yang dirancang untuk pemindaian cepat. Kami akan membicarakannya nanti.
Anda dapat memperbarui database anti-virus menggunakan metode yang berbeda.
Metode pertama adalah Push Update - ini memungkinkan Anda memperbarui basis data segera setelah basis penelitian FortiGuard merilis pembaruan. Ini berguna untuk infrastruktur yang memerlukan tingkat keamanan tinggi, karena FortiGate akan menerima pembaruan mendesak segera setelah tersedia.
Metode kedua adalah mengatur jadwal. Dengan cara ini Anda dapat memeriksa pembaruan setiap jam, hari, atau minggu. Artinya, di sini rentang waktu diatur sesuai kebijaksanaan Anda.
Metode ini dapat digunakan bersama.
Namun perlu diingat bahwa agar pembaruan dapat dilakukan, Anda harus mengaktifkan profil antivirus untuk setidaknya satu kebijakan firewall. Jika tidak, pembaruan tidak akan dilakukan.
Anda juga dapat mengunduh pembaruan dari situs dukungan Fortinet dan kemudian mengunggahnya secara manual ke FortiGate.
Pertimbangkan mode pemindaian. Hanya ada tiga di antaranya - Mode Penuh dalam mode Berbasis Aliran, Mode Cepat dalam mode Berbasis Aliran, dan Mode Penuh dalam mode proxy. Mari kita mulai dengan Full Mode dalam mode Flow.
Katakanlah pengguna ingin mengunduh file. Dia mengirimkan permintaan. Server mulai mengiriminya paket yang membentuk file. Pengguna segera menerima paket-paket ini. Namun sebelum meneruskan paket ini ke pengguna, FortiGate menyimpannya dalam cache. Setelah FortiGate menerima paket terakhir, ia mulai memindai file. Pada saat ini, paket terakhir diantrikan dan tidak dikirimkan ke pengguna. Jika file tidak mengandung virus, paket terakhir dikirim ke pengguna. Jika virus terdeteksi, FortiGate memutus koneksi dengan pengguna.
Mode pemindaian kedua yang tersedia dalam Berbasis Aliran adalah Mode Cepat. Itu menggunakan basis data tanda tangan kompak yang berisi lebih sedikit tanda tangan daripada basis data tanda tangan biasa. Ini juga memiliki beberapa keterbatasan dibandingkan dengan Full Mode:
- Itu tidak dapat mengirim file ke kotak pasir
- Itu tidak bisa menggunakan analisis heuristik
- Itu juga tidak dapat menggunakan paket yang terkait dengan malware seluler.
- Beberapa model level pemula tidak mendukung mode ini.
Mode cepat juga memeriksa lalu lintas untuk virus, worm, Trojan, dan malware, tetapi tanpa buffering. Ini memberikan kinerja yang lebih baik, tetapi pada saat yang sama, kemungkinan mendeteksi virus berkurang.
Dalam mode Proxy, satu-satunya mode pemindaian yang tersedia adalah Full Mode. Dengan pemindaian seperti itu, FortiGate pertama-tama menyimpan seluruh file dengan sendirinya (kecuali, tentu saja, ukuran file yang diperbolehkan untuk pemindaian terlampaui). Klien harus menunggu pemindaian selesai. Jika virus terdeteksi selama pemindaian, pengguna akan segera diberi tahu. Karena FortiGate menyimpan seluruh file terlebih dahulu dan kemudian memindainya, ini bisa memakan waktu cukup lama. karena itu, klien dapat mengakhiri koneksi sebelum menerima file karena penundaan yang lama.
Gambar di bawah menyediakan tabel perbandingan untuk mode pemindaian - ini akan membantu Anda menentukan jenis pemindaian yang tepat untuk tugas Anda. Mengonfigurasi dan memeriksa kinerja antivirus dibahas dalam praktik di video di akhir artikel.
Mari beralih ke pelajaran bagian kedua - sistem pencegahan intrusi. Tetapi untuk mulai mempelajari IPS, Anda perlu memahami perbedaan antara eksploitasi dan anomali, serta memahami mekanisme apa yang digunakan FortiGate untuk melindunginya.
Eksploitasi adalah serangan yang dikenal, dengan pola tertentu, yang dapat dideteksi menggunakan tanda tangan IPS, WAF, atau antivirus.
Anomali adalah perilaku yang tidak biasa pada jaringan, seperti jumlah lalu lintas yang sangat tinggi atau konsumsi CPU yang lebih tinggi dari biasanya. Anomali harus dipantau karena mungkin merupakan tanda serangan baru yang belum dijelajahi. Anomali biasanya terdeteksi menggunakan analisis perilaku - yang disebut tanda tangan berbasis tarif dan kebijakan DoS.
Akibatnya, IPS di FortiGate menggunakan basis tanda tangan untuk mendeteksi serangan yang diketahui, dan tanda tangan Berbasis Tarif dan kebijakan DoS untuk mendeteksi berbagai anomali.
Secara default, set awal tanda tangan IPS disertakan dengan setiap versi sistem operasi FortiGate. Dengan pembaruan, FortiGate menerima tanda tangan baru. Dengan demikian IPS tetap efektif melawan eksploitasi baru. Layanan FortiGuard cukup sering memperbarui tanda tangan IPS.
Poin penting yang berlaku untuk IPS dan antivirus adalah jika lisensi Anda telah kedaluwarsa, Anda masih dapat menggunakan tanda tangan terbaru yang Anda terima. Tetapi mendapatkan yang baru tanpa lisensi tidak akan berhasil. Oleh karena itu, tidak adanya lisensi sangat tidak diinginkan - saat serangan baru muncul, Anda tidak akan dapat melindungi diri sendiri dengan tanda tangan lama.
Basis data tanda tangan IPS dibagi menjadi yang reguler dan yang diperluas. Database reguler berisi tanda tangan untuk serangan umum yang sangat jarang atau tidak pernah menyebabkan false positive. Tindakan default untuk sebagian besar tanda tangan ini adalah blok.
Basis yang diperluas berisi tanda tangan serangan tambahan yang berdampak signifikan pada kinerja sistem atau yang tidak dapat diblokir karena sifatnya yang khusus. Karena ukuran basis ini, tidak tersedia untuk model FortiGate dengan disk atau RAM kecil. Namun untuk lingkungan yang sangat aman, Anda mungkin perlu menggunakan basis tambahan.
Penyiapan dan verifikasi IPS juga tercakup dalam video di bawah ini.
Dalam pelajaran berikutnya, kita akan membahas cara bekerja dengan pengguna. Agar tidak ketinggalan, pantau terus update di channel-channel berikut:
Sumber: www.habr.com