Saluti! Benvenuti alla settima lezione del corso . su abbiamo conosciuto profili di sicurezza come il filtraggio web, il controllo delle applicazioni e l'ispezione HTTPS. In questa lezione continueremo la nostra introduzione ai profili di sicurezza. Innanzitutto conosceremo gli aspetti teorici del funzionamento di un sistema antivirus e di prevenzione delle intrusioni, quindi vedremo come funzionano nella pratica questi profili di sicurezza.
Cominciamo con l'antivirus. Innanzitutto, discutiamo delle tecnologie utilizzate da FortiGate per rilevare i virus:
La scansione antivirus è il metodo più semplice e veloce per rilevare i virus. Rileva i virus che corrispondono completamente alle firme contenute nel database antivirus.
Grayware Scan o scansione di programmi indesiderati: questa tecnologia rileva i programmi indesiderati installati all'insaputa o al consenso dell'utente. Tecnicamente, questi programmi non sono virus. Di solito vengono forniti in bundle con altri programmi, ma una volta installati influiscono negativamente sul sistema, motivo per cui sono classificati come malware. Spesso tali programmi possono essere rilevati utilizzando semplici firme greyware della base di ricerca FortiGuard.
Scansione euristica: questa tecnologia si basa sulle probabilità, quindi il suo utilizzo può causare effetti falsi positivi, ma può anche rilevare virus zero-day. I virus zero day sono virus nuovi che non sono ancora stati studiati e non esistono firme in grado di rilevarli. La scansione euristica non è abilitata per impostazione predefinita e deve essere abilitata sulla riga di comando.
Se tutte le funzionalità antivirus sono abilitate, FortiGate le applica nel seguente ordine: scansione antivirus, scansione greyware, scansione euristica.
FortiGate può utilizzare diversi database antivirus, a seconda delle attività:
- Database antivirus normale (Normale): contenuto in tutti i modelli FortiGate. Include le firme dei virus scoperti negli ultimi mesi. Questo è il database antivirus più piccolo, quindi esegue la scansione più velocemente quando viene utilizzato. Tuttavia, questo database non è in grado di rilevare tutti i virus conosciuti.
- Esteso: questa base è supportata dalla maggior parte dei modelli FortiGate. Può essere utilizzato per rilevare virus che non sono più attivi. Molte piattaforme sono ancora vulnerabili a questi virus. Inoltre, questi virus possono causare problemi in futuro.
- E l'ultima base estrema (Extreme) viene utilizzata nelle infrastrutture dove è richiesto un elevato livello di sicurezza. Con il suo aiuto è possibile rilevare tutti i virus conosciuti, compresi i virus destinati a sistemi operativi obsoleti che al momento non sono ampiamente diffusi. Anche questo tipo di database delle firme non è supportato da tutti i modelli FortiGate.
È inoltre disponibile un database di firme compatto progettato per la scansione rapida. Ne parleremo un po' più tardi.
È possibile aggiornare i database antivirus utilizzando metodi diversi.
Il primo metodo è Push Update, che consente l'aggiornamento dei database non appena il database di ricerca FortiGuard rilascia un aggiornamento. Ciò è utile per le infrastrutture che richiedono un elevato livello di sicurezza, poiché FortiGate riceverà aggiornamenti urgenti non appena saranno disponibili.
Il secondo metodo è impostare un programma. In questo modo puoi controllare gli aggiornamenti ogni ora, giorno o settimana. Cioè, qui l'intervallo di tempo è impostato a tua discrezione.
Questi metodi possono essere utilizzati insieme.
Bisogna però tenere presente che per poter effettuare gli aggiornamenti è necessario abilitare il profilo antivirus per almeno una policy firewall. In caso contrario non verranno effettuati aggiornamenti.
È inoltre possibile scaricare gli aggiornamenti dal sito di supporto Fortinet e quindi caricarli manualmente su FortiGate.
Diamo un'occhiata alle modalità di scansione. Ce ne sono solo tre: modalità completa in modalità basata sul flusso, modalità rapida in modalità basata sul flusso e modalità completa in modalità proxy. Iniziamo con la modalità completa in modalità flusso.
Supponiamo che un utente desideri scaricare un file. Invia una richiesta. Il server inizia a inviargli i pacchetti che compongono il file. L'utente riceve immediatamente questi pacchetti. Ma prima di consegnare questi pacchetti all'utente, FortiGate li memorizza nella cache. Dopo che FortiGate ha ricevuto l'ultimo pacchetto, inizia la scansione del file. In questo momento, l'ultimo pacchetto viene messo in coda e non viene trasmesso all'utente. Se il file non contiene virus, all'utente viene inviato il pacchetto più recente. Se viene rilevato un virus, FortiGate interrompe la connessione con l'utente.
La seconda modalità di scansione disponibile in Flow Based è la modalità rapida. Utilizza un database di firme compatto, che contiene meno firme rispetto a un database normale. Presenta anche alcune limitazioni rispetto alla modalità completa:
- Non può inviare file alla sandbox
- Non può utilizzare l'analisi euristica
- Inoltre non può utilizzare pacchetti relativi al malware mobile
- Alcuni modelli entry level non supportano questa modalità.
La modalità rapida controlla anche il traffico alla ricerca di virus, worm, trojan e malware, ma senza buffering. Ciò fornisce prestazioni migliori, ma allo stesso tempo riduce la probabilità di rilevare un virus.
In modalità proxy, l'unica modalità di scansione disponibile è la modalità completa. Con tale scansione, FortiGate memorizza prima l'intero file su se stesso (a meno che, ovviamente, non venga superata la dimensione del file consentita per la scansione). Il client deve attendere il completamento della scansione. Se viene rilevato un virus durante la scansione, l'utente verrà immediatamente avvisato. Poiché FortiGate salva prima l'intero file e poi lo esegue la scansione, l'operazione può richiedere molto tempo. Per questo motivo, è possibile che il client interrompa la connessione prima di ricevere il file a causa di un lungo ritardo.
La figura seguente mostra una tabella comparativa per le modalità di scansione: ti aiuterà a determinare quale tipo di scansione è adatto alle tue attività. L'impostazione e il controllo della funzionalità dell'antivirus vengono discussi in pratica nel video alla fine dell'articolo.
Passiamo alla seconda parte della lezione: il sistema di prevenzione delle intrusioni. Ma per iniziare a studiare l'IPS, è necessario comprendere la differenza tra exploit e anomalie e anche capire quali meccanismi utilizza FortiGate per proteggersi da essi.
Gli exploit sono attacchi noti con modelli specifici che possono essere rilevati utilizzando firme IPS, WAF o antivirus.
Le anomalie sono comportamenti insoliti su una rete, ad esempio una quantità insolitamente elevata di traffico o un consumo di CPU superiore al normale. Le anomalie devono essere monitorate perché potrebbero essere segnali di un nuovo attacco inesplorato. Le anomalie vengono solitamente rilevate utilizzando l'analisi comportamentale, le cosiddette firme basate sulla tariffa e le politiche DoS.
Di conseguenza, IPS su FortiGate utilizza basi di firme per rilevare attacchi noti e firme basate su velocità e policy DoS per rilevare varie anomalie.
Per impostazione predefinita, in ogni versione del sistema operativo FortiGate è incluso un set iniziale di firme IPS. Con gli aggiornamenti, FortiGate riceve nuove firme. In questo modo, l’IPS rimane efficace contro nuovi exploit. FortiGuard aggiorna le firme IPS abbastanza frequentemente.
Un punto importante che vale sia per IPS che per antivirus è che se le tue licenze sono scadute, puoi comunque utilizzare le ultime firme ricevute. Ma non sarai in grado di ottenerne di nuovi senza licenze. Pertanto, l'assenza di licenze è estremamente indesiderabile: se compaiono nuovi attacchi, non sarai in grado di proteggerti con le vecchie firme.
I database delle firme IPS sono divisi in regolari ed estesi. Un tipico database contiene firme per attacchi comuni che raramente o mai causano falsi positivi. L'azione preconfigurata per la maggior parte di queste firme è il blocco.
Il database esteso contiene ulteriori firme di attacco che hanno un impatto significativo sulle prestazioni del sistema o che non possono essere bloccate a causa della loro natura speciale. A causa delle dimensioni di questo database, non è disponibile sui modelli FortiGate con disco o RAM di piccole dimensioni. Ma per ambienti altamente sicuri, potrebbe essere necessario utilizzare una base estesa.
L'impostazione e il controllo della funzionalità dell'IPS vengono discussi anche nel video seguente.
Nella prossima lezione vedremo come lavorare con gli utenti. Per non perderlo seguite gli aggiornamenti sui seguenti canali:
Fonte: habr.com