7. フォーティネット スタートガイド v6.0。 ウイルス対策と IPS

こんにちは！ コースの XNUMX 番目のレッスンへようこそ フォーティネット入門。 上の 最後の授業 Web フィルタリング、アプリケーション コントロール、HTTPS インスペクションなどのセキュリティ プロファイルについて学びました。 このレッスンでは、セキュリティ プロファイルの紹介を続けます。 まず、ウイルス対策および侵入防御システムの動作の理論的側面を理解してから、これらのセキュリティ プロファイルが実際にどのように機能するかを見ていきます。

ウイルス対策から始めましょう。 まず、FortiGate がウイルスを検出するために使用するテクノロジーについて説明します。
ウイルス対策スキャンは、ウイルスを検出する最も簡単かつ迅速な方法です。 ウイルス対策データベースに含まれるシグネチャと完全に一致するウイルスを検出します。

グレーウェア スキャンまたは不要なプログラム スキャン - このテクノロジーは、ユーザーの知識や同意なしにインストールされた不要なプログラムを検出します。 技術的には、これらのプログラムはウイルスではありません。 通常、これらは他のプログラムにバンドルされていますが、インストールされるとシステムに悪影響を与えるため、マルウェアとして分類されます。 多くの場合、そのようなプログラムは、FortiGuard 研究ベースの単純なグレーウェア シグネチャを使用して検出できます。

ヒューリスティック スキャン - このテクノロジーは確率に基づいているため、その使用により誤検知の影響が生じる可能性がありますが、ゼロデイ ウイルスも検出できます。 ゼロデイ ウイルスはまだ研究されていない新しいウイルスであり、それらを検出できるシグネチャはありません。 ヒューリスティック スキャンはデフォルトでは有効になっていないため、コマンド ラインで有効にする必要があります。

すべてのウイルス対策機能が有効になっている場合、FortiGate はウイルス対策スキャン、グレーウェア スキャン、ヒューリスティック スキャンの順序でそれらを適用します。

FortiGate は、タスクに応じて複数のウイルス対策データベースを使用できます。

• 通常のウイルス対策データベース (通常) - すべての FortiGate モデルに含まれています。 これには、ここ数カ月間に発見されたウイルスのシグネチャが含まれています。 これは最小のウイルス対策データベースであるため、使用すると最も高速にスキャンされます。 ただし、このデータベースは既知のウイルスをすべて検出できるわけではありません。
• 拡張 - このベースは、ほとんどの FortiGate モデルでサポートされています。 活動を停止したウイルスを検出するために使用できます。 多くのプラットフォームは依然としてこれらのウイルスに対して脆弱です。 また、これらのウイルスは将来的に問題を引き起こす可能性があります。
• 最後のエクストリーム ベース (Extreme) は、高レベルのセキュリティが必要なインフラストラクチャで使用されます。 このツールを利用すると、現在広く配布されていない古いオペレーティング システムを対象としたウイルスを含む、すべての既知のウイルスを検出できます。 このタイプの署名データベースも、すべての FortiGate モデルでサポートされているわけではありません。

迅速なスキャンのために設計されたコンパクトな署名データベースもあります。 それについては少し後で話します。

さまざまな方法を使用してウイルス対策データベースを更新できます。

XNUMX つ目の方法はプッシュ更新です。これにより、FortiGuard 研究データベースが更新をリリースするとすぐにデータベースを更新できます。 FortiGate は緊急アップデートが入手可能になるとすぐに受信するため、これは高レベルのセキュリティを必要とするインフラストラクチャに役立ちます。

XNUMX つ目の方法は、スケジュールを設定することです。 こうすることで、時間ごと、日ごと、または週ごとに更新を確認できます。 つまり、ここでは時間範囲はあなたの裁量で設定されます。
これらの方法は組み合わせて使用​​できます。

ただし、更新を行うには、少なくとも XNUMX つのファイアウォール ポリシーに対してウイルス対策プロファイルを有効にする必要があることに注意してください。 そうしないと、更新は行われません。

Fortinet サポート サイトからアップデートをダウンロードして、手動で FortiGate にアップロードすることもできます。

スキャンモードを見てみましょう。 それらは、フロー ベース モードのフル モード、フロー ベース モードのクイック モード、プロキシ モードのフル モードの XNUMX つだけです。 フローモードのフルモードから始めましょう。

ユーザーがファイルをダウンロードしたいとします。 彼はリクエストを送信します。 サーバーはファイルを構成するパケットの送信を開始します。 ユーザーはこれらのパッケージをすぐに受け取ります。 ただし、これらのパケットをユーザーに配信する前に、FortiGate はパケットをキャッシュします。 FortiGate は最後のパケットを受信した後、ファイルのスキャンを開始します。 このとき、最後のパケットはキューイングされ、ユーザーには送信されません。 ファイルにウイルスが含まれていない場合、最新のパケットがユーザーに送信されます。 ウイルスが検出された場合、FortiGate はユーザーとの接続を切断します。

フローベースで使用できる XNUMX 番目のスキャン モードはクイック モードです。 通常のデータベースよりも署名の数が少ない、コンパクトな署名データベースを使用します。 また、フル モードと比較していくつかの制限があります。

• ファイルをサンドボックスに送信できません
• ヒューリスティック分析は使用できません
• また、モバイルマルウェアに関連するパッケージも使用できません
• 一部のエントリー レベル モデルはこのモードをサポートしていません。

クイック モードでは、トラフィックのウイルス、ワーム、トロイの木馬、マルウェアもチェックされますが、バッファリングは行われません。 これによりパフォーマンスが向上しますが、同時にウイルスが検出される可能性が低くなります。

プロキシ モードでは、使用できるスキャン モードはフル モードのみです。 このようなスキャンでは、FortiGate は最初にファイル全体をそれ自体に保存します (もちろん、スキャンに許容されるファイル サイズを超えない限り)。 クライアントはスキャンが完了するまで待つ必要があります。 スキャン中にウイルスが検出された場合は、ユーザーにすぐに通知されます。 FortiGate は最初にファイル全体を保存してからスキャンするため、これには非常に長い時間がかかることがあります。 このため、長時間の遅延により、クライアントがファイルを受信する前に接続を終了する可能性があります。

以下の図はスキャン モードの比較表を示しています。これは、タスクにどのタイプのスキャンが適しているかを判断するのに役立ちます。 ウイルス対策の設定と機能の確認については、この記事の最後にあるビデオで実際に説明しています。

レッスンの XNUMX 番目の部分である侵入防止システムに進みましょう。 しかし、IPS の研究を始めるには、エクスプロイトと異常の違いを理解し、FortiGate がエクスプロイトから保護するためにどのようなメカニズムを使用しているかを理解する必要があります。

エクスプロイトは、IPS、WAF、またはウイルス対策シグネチャを使用して検出できる特定のパターンを持つ既知の攻撃です。

異常とは、異常に大量のトラフィックや通常よりも高い CPU 消費量など、ネットワーク上の異常な動作のことです。異常は、新たな未調査の攻撃の兆候である可能性があるため、監視する必要があります。 異常は通常、動作分析、いわゆるレートベースのシグネチャと DoS ポリシーを使用して検出されます。

その結果、FortiGate 上の IPS は、シグネチャ ベースを使用して既知の攻撃を検出し、レートベースのシグネチャと DoS ポリシーを使用してさまざまな異常を検出します。

デフォルトでは、IPS シグネチャの初期セットが FortiGate オペレーティング システムの各バージョンに含まれています。 アップデートにより、FortiGate は新しい署名を受け取ります。 このようにして、IPS は新たなエクスプロイトに対して効果を維持します。 FortiGuard は IPS シグネチャを非常に頻繁に更新します。

IPS とウイルス対策の両方に当てはまる重要な点は、ライセンスの有効期限が切れた場合でも、受け取った最新の署名を引き続き使用できるということです。 ただし、ライセンスがなければ新しいものを入手することはできません。 したがって、ライセンスがないことは非常に望ましくありません。新しい攻撃が発生した場合、古い署名では身を守ることができなくなります。

IPS シグネチャ データベースは、通常と拡張に分かれています。 一般的なデータベースには、誤検知をほとんどまたはまったく引き起こさない一般的な攻撃のシグネチャが含まれています。 これらの署名のほとんどに対して事前に設定されているアクションはブロックです。

拡張データベースには、システムのパフォーマンスに重大な影響を与える追加の攻撃シグネチャ、またはその特殊な性質によりブロックできない追加の攻撃シグネチャが含まれています。 このデータベースのサイズが大きいため、小さなディスクまたは RAM を搭載した FortiGate モデルでは利用できません。 ただし、安全性の高い環境では、拡張ベースの使用が必要になる場合があります。

IPS のセットアップと機能の確認については、以下のビデオでも説明しています。

次のレッスンでは、ユーザーとの連携について見ていきます。 見逃さないように、次のチャンネルで最新情報をフォローしてください。

• Youtube
• Facebookのグループ
• Yandex Zen
• 当サイト
• Телеграмканал

出所： habr.com