Kveðja! Velkomin í sjöundu kennslustund námskeiðsins . Á við kynntumst öryggissniðum eins og vefsíun, forritastýringu og HTTPS skoðun. Í þessari lexíu munum við halda áfram kynningu okkar á öryggissniðum. Fyrst munum við kynna okkur fræðilega þætti í rekstri vírusvarnar- og innbrotsvarnakerfis og síðan verður skoðað hvernig þessi öryggissnið virka í reynd.
Byrjum á vírusvörninni. Fyrst skulum við ræða tæknina sem FortiGate notar til að greina vírusa:
Vírusvarnarskönnun er auðveldasta og fljótlegasta aðferðin til að greina vírusa. Það greinir vírusa sem passa algjörlega við undirskriftirnar sem eru í vírusvarnargagnagrunninum.
Greyware Scan eða óæskileg forritaskönnun - þessi tækni greinir óæskileg forrit sem eru sett upp án vitundar eða samþykkis notandans. Tæknilega séð eru þessi forrit ekki vírusar. Þeir koma venjulega með öðrum forritum, en þegar þeir eru settir upp hafa þeir neikvæð áhrif á kerfið, þess vegna eru þeir flokkaðir sem spilliforrit. Oft er hægt að greina slík forrit með einföldum grávara undirskriftum frá FortiGuard rannsóknargrunninum.
Heuristic skönnun - þessi tækni er byggð á líkum, þannig að notkun hennar getur valdið fölskum jákvæðum áhrifum, en hún getur einnig greint núlldagsvírusa. Zero day vírusar eru nýjar vírusar sem ekki hafa enn verið rannsakaðar og það eru engar undirskriftir sem gætu greint þær. Heuristic skönnun er ekki virkjuð sjálfgefið og verður að vera virkt á skipanalínunni.
Ef allir vírusvörnarmöguleikar eru virkir, beitir FortiGate þeim í eftirfarandi röð: vírusvarnarskönnun, gráhugbúnaðarskönnun, heuristic skönnun.
FortiGate getur notað nokkra vírusvarnargagnagrunna, allt eftir verkefnum:
- Venjulegur vírusvarnargagnagrunnur (venjulegur) - er í öllum FortiGate gerðum. Það felur í sér undirskriftir fyrir vírusa sem hafa fundist undanfarna mánuði. Þetta er minnsti vírusvarnargagnagrunnurinn, svo hann skannar hraðast þegar hann er notaður. Hins vegar getur þessi gagnagrunnur ekki greint alla þekkta vírusa.
- Framlengdur - þessi grunnur er studdur af flestum FortiGate gerðum. Það er hægt að nota til að greina vírusa sem eru ekki lengur virkir. Margir pallar eru enn viðkvæmir fyrir þessum vírusum. Einnig geta þessir vírusar valdið vandamálum í framtíðinni.
- Og síðasti, öfgafulli grunnurinn (Extreme) - er notaður í innviðum þar sem mikils öryggis er krafist. Með hjálp þess geturðu greint alla þekkta vírusa, þar á meðal vírusa sem beinast að úreltum stýrikerfum, sem eru ekki útbreidd í augnablikinu. Þessi tegund af undirskriftargagnagrunni er heldur ekki studd af öllum FortiGate gerðum.
Það er líka fyrirferðarlítill undirskriftargagnagrunnur sem er hannaður fyrir skjóta skönnun. Við tölum um það aðeins síðar.
Þú getur uppfært vírusvarnargagnagrunna með mismunandi aðferðum.
Fyrsta aðferðin er Push Update, sem gerir kleift að uppfæra gagnagrunna um leið og FortiGuard rannsóknargagnagrunnurinn gefur út uppfærslu. Þetta er gagnlegt fyrir innviði sem krefjast mikils öryggis, þar sem FortiGate mun fá brýnar uppfærslur um leið og þær eru tiltækar.
Önnur aðferðin er að setja tímaáætlun. Þannig geturðu leitað að uppfærslum á klukkutíma fresti, dag eða viku. Það er að segja, hér er tímabilið stillt að eigin vali.
Þessar aðferðir er hægt að nota saman.
En þú þarft að hafa í huga að til þess að hægt sé að gera uppfærslur verður þú að virkja vírusvarnarsniðið fyrir að minnsta kosti eina eldveggsstefnu. Að öðrum kosti verða uppfærslur ekki gerðar.
Þú getur líka halað niður uppfærslum frá Fortinet stuðningssíðunni og síðan hlaðið þeim upp handvirkt á FortiGate.
Við skulum líta á skönnunarstillingarnar. Það eru aðeins þrír af þeim - Full Mode í Flow Based ham, Quick Mode í Flow Based ham og Full Mode í proxy ham. Byrjum á Full Mode í Flow ham.
Segjum að notandi vilji hlaða niður skrá. Hann sendir beiðni. Miðlarinn byrjar að senda honum pakka sem mynda skrána. Notandinn fær þessa pakka strax. En áður en þessir pakkar eru afhentir notanda, vistar FortiGate þá. Eftir að FortiGate hefur fengið síðasta pakkann byrjar það að skanna skrána. Á þessum tíma er síðasti pakkinn í biðröð og ekki sendur til notandans. Ef skráin inniheldur ekki vírusa er nýjasti pakkinn sendur til notandans. Ef vírus greinist, slítur FortiGate tenginguna við notandann.
Önnur skönnunarstillingin í boði í Flow Based er Quick Mode. Það notar þéttan undirskriftagagnagrunn, sem inniheldur færri undirskriftir en venjulegur gagnagrunnur. Það hefur einnig nokkrar takmarkanir miðað við fullan hátt:
- Það getur ekki sent skrár í sandkassann
- Það getur ekki notað heuristic greiningu
- Einnig getur það ekki notað pakka sem tengjast spilliforritum fyrir farsíma
- Sumar upphafsgerðir styðja ekki þessa stillingu.
Hraðstilling athugar einnig umferð fyrir vírusum, ormum, tróverjum og spilliforritum, en án biðminni. Þetta veitir betri afköst, en á sama tíma minnka líkurnar á því að greina vírus.
Í Proxy-stillingu er eina skönnunarstillingin sem er í boði Full Mode. Með slíkri skönnun geymir FortiGate fyrst alla skrána á sjálfu sér (nema að sjálfsögðu sé farið yfir leyfilega skráarstærð fyrir skönnun). Viðskiptavinurinn verður að bíða eftir að skönnuninni ljúki. Ef vírus greinist við skönnun verður notandinn látinn vita strax. Þar sem FortiGate vistar fyrst alla skrána og skannar hana síðan getur þetta tekið töluverðan tíma. Vegna þessa er mögulegt fyrir viðskiptavininn að slíta tengingunni áður en hann fær skrána vegna mikillar tafar.
Myndin hér að neðan sýnir samanburðartöflu fyrir skönnunarstillingar - hún mun hjálpa þér að ákvarða hvaða tegund skönnunar hentar þínum verkefnum. Fjallað er um uppsetningu og athugun á virkni vírusvarnarsins í reynd í myndbandinu í lok greinarinnar.
Höldum yfir í seinni hluta kennslustundarinnar - innbrotsvarnakerfið. En til að byrja að læra IPS þarftu að skilja muninn á hetjudáð og frávikum og einnig skilja hvaða kerfi FortiGate notar til að verjast þeim.
Notkun eru þekktar árásir með sérstöku mynstri sem hægt er að greina með IPS, WAF eða vírusvarnar undirskriftum.
Frávik eru óvenjuleg hegðun á neti, svo sem óvenju mikil umferð eða meiri en venjuleg örgjörvanotkun. Fylgjast þarf með frávikum vegna þess að þau geta verið merki um nýja, órannsakaða árás. Frávik eru venjulega greind með atferlisgreiningu - svokölluðum gengisbundnum undirskriftum og DoS stefnum.
Fyrir vikið notar IPS á FortiGate undirskriftargrunna til að greina þekktar árásir og gengisbundnar undirskriftir og DoS stefnur til að greina ýmis frávik.
Sjálfgefið er að upphafssett af IPS undirskriftum fylgir hverri útgáfu af FortiGate stýrikerfinu. Með uppfærslum fær FortiGate nýjar undirskriftir. Þannig er IPS áfram virkt gegn nýjum hetjudáðum. FortiGuard uppfærir IPS undirskriftir nokkuð oft.
Mikilvægur punktur sem á við um bæði IPS og vírusvörn er að ef leyfin þín eru útrunnið geturðu samt notað nýjustu undirskriftirnar sem berast. En þú munt ekki geta fengið nýja án leyfis. Þess vegna er skortur á leyfum afar óæskilegur - ef nýjar árásir birtast geturðu ekki varið þig með gömlum undirskriftum.
IPS undirskriftagagnagrunna er skipt í venjulega og útbreidda. Dæmigerður gagnagrunnur inniheldur undirskriftir fyrir algengar árásir sem valda sjaldan eða aldrei rangar jákvæðar niðurstöður. Forstillta aðgerðin fyrir flestar þessar undirskriftir er blokk.
Útvíkkaði gagnagrunnurinn inniheldur viðbótarárásarundirskriftir sem hafa veruleg áhrif á afköst kerfisins eða sem ekki er hægt að loka vegna sérstaks eðlis. Vegna stærðar þessa gagnagrunns er hann ekki fáanlegur á FortiGate gerðum með litlum diski eða vinnsluminni. En fyrir mjög öruggt umhverfi gætirðu þurft að nota útbreiddan grunn.
Einnig er fjallað um uppsetningu og athugun á virkni IPS í myndbandinu hér að neðan.
Í næstu kennslustund munum við skoða vinnu með notendum. Til að missa ekki af því skaltu fylgjast með uppfærslunum á eftirfarandi rásum:
Heimild: www.habr.com