Сәлем! Курстың жетінші сабағына қош келдіңіздер . туралы Біз веб-сүзгілеу, қолданбаларды басқару және HTTPS тексеру сияқты қауіпсіздік профильдерімен таныстық. Бұл сабақта біз қауіпсіздік профильдерімен таныстыруды жалғастырамыз. Алдымен біз антивирустық және интрузиядан қорғау жүйесінің жұмысының теориялық аспектілерімен танысамыз, содан кейін осы қауіпсіздік профильдерінің іс жүзінде қалай жұмыс істейтінін қарастырамыз.
Антивирустан бастайық. Алдымен, FortiGate вирустарды анықтау үшін қолданатын технологияларды талқылайық:
Вирусқа қарсы сканерлеу - вирустарды анықтаудың ең оңай және жылдам әдісі. Ол антивирустық дерекқордағы қолтаңбаларға толығымен сәйкес келетін вирустарды анықтайды.
Grayware Scan немесе қажетсіз бағдарламаларды сканерлеу - бұл технология пайдаланушының хабарынсыз немесе келісімінсіз орнатылған қажетсіз бағдарламаларды анықтайды. Техникалық тұрғыдан бұл бағдарламалар вирус емес. Олар әдетте басқа бағдарламалармен бірге жеткізіледі, бірақ орнатылған кезде олар жүйеге теріс әсер етеді, сондықтан олар зиянды бағдарлама ретінде жіктеледі. Көбінесе мұндай бағдарламаларды FortiGuard зерттеу базасындағы қарапайым сұр бағдарлама қолтаңбалары арқылы анықтауға болады.
Эвристикалық сканерлеу - бұл технология ықтималдықтарға негізделген, сондықтан оны пайдалану жалған оң әсерлерді тудыруы мүмкін, бірақ ол нөлдік күндік вирустарды да анықтай алады. Нөлдік күндік вирустар - бұл әлі зерттелмеген жаңа вирустар және оларды анықтай алатын қолтаңбалар жоқ. Эвристикалық сканерлеу әдепкі бойынша қосылмаған және пәрмен жолында қосылуы керек.
Егер барлық антивирус мүмкіндіктері қосылса, FortiGate оларды келесі ретпен қолданады: антивирустық сканерлеу, сұр бағдарламалық құралды сканерлеу, эвристикалық сканерлеу.
FortiGate тапсырмаларға байланысты бірнеше антивирустық дерекқорды пайдалана алады:
- Қалыпты антивирустық дерекқор (Қалыпты) - барлық FortiGate үлгілерінде бар. Ол соңғы айларда табылған вирустарға арналған қолтаңбаларды қамтиды. Бұл ең кішкентай антивирустық дерекқор, сондықтан ол пайдаланылған кезде ең жылдам сканерлейді. Дегенмен, бұл дерекқор барлық белгілі вирустарды анықтай алмайды.
- Кеңейтілген - бұл негізді FortiGate үлгілерінің көпшілігі қолдайды. Оны белсенді емес вирустарды анықтау үшін пайдалануға болады. Көптеген платформалар әлі де осы вирустарға осал. Сондай-ақ, бұл вирустар болашақта қиындықтар тудыруы мүмкін.
- Ал соңғы, экстремалды база (Extreme) – қауіпсіздіктің жоғары деңгейі талап етілетін инфрақұрылымдарда қолданылады. Оның көмегімен сіз барлық белгілі вирустарды, соның ішінде қазіргі уақытта кең таралмаған ескірген операциялық жүйелерге бағытталған вирустарды анықтай аласыз. Қолтаңба дерекқорының бұл түріне барлық FortiGate үлгілері де қолдау көрсетпейді.
Сондай-ақ жылдам сканерлеуге арналған ықшам қолтаңба дерекқоры бар. Бұл туралы сәл кейінірек айтамыз.
Вирусқа қарсы дерекқорларды әртүрлі әдістермен жаңартуға болады.
Бірінші әдіс FortiGuard зерттеу дерекқоры жаңартуды шығарған бойда дерекқорларды жаңартуға мүмкіндік беретін Push Update болып табылады. Бұл қауіпсіздіктің жоғары деңгейін талап ететін инфрақұрылымдар үшін пайдалы, өйткені FortiGate олар қол жетімді болған кезде шұғыл жаңартуларды алады.
Екінші әдіс - кестені орнату. Осылайша сіз сағат, күн немесе апта сайын жаңартуларды тексере аласыз. Яғни, мұнда уақыт диапазоны сіздің қалауыңыз бойынша белгіленеді.
Бұл әдістерді бірге қолдануға болады.
Бірақ жаңартулар жасалуы үшін кем дегенде бір брандмауэр саясаты үшін антивирус профилін қосу керек екенін есте ұстаған жөн. Әйтпесе, жаңартулар жасалмайды.
Сондай-ақ жаңартуларды Fortinet қолдау сайтынан жүктеп алып, содан кейін оларды FortiGate қолданбасына қолмен жүктеп салуға болады.
Сканерлеу режимдерін қарастырайық. Олардың тек үшеуі бар - ағынға негізделген режимде толық режим, ағынға негізделген режимде жылдам режим және прокси режимінде толық режим. Ағын режиміндегі Толық режимнен бастайық.
Пайдаланушы файлды жүктеп алғысы келеді делік. Өтініш жібереді. Сервер оған файлды құрайтын пакеттерді жібере бастайды. Пайдаланушы бұл пакеттерді бірден алады. Бірақ бұл пакеттерді пайдаланушыға жеткізбес бұрын, FortiGate оларды кэштейді. FortiGate соңғы пакетті алғаннан кейін файлды сканерлеуді бастайды. Бұл уақытта соңғы пакет кезекте тұрады және пайдаланушыға берілмейді. Егер файлда вирустар болмаса, пайдаланушыға соңғы пакет жіберіледі. Вирус анықталса, FortiGate пайдаланушымен байланысты үзеді.
Ағынға негізделген екінші сканерлеу режимі - Жылдам режим. Ол қарапайым дерекқорға қарағанда аз қолтаңбаларды қамтитын ықшам қолтаңба дерекқорын пайдаланады. Толық режиммен салыстырғанда оның кейбір шектеулері бар:
- Ол файлдарды құм жәшігіне жібере алмайды
- Ол эвристикалық талдауды пайдалана алмайды
- Сондай-ақ ол мобильді зиянды бағдарламаға қатысты пакеттерді пайдалана алмайды
- Кейбір бастапқы деңгейдегі үлгілер бұл режимді қолдамайды.
Жылдам режим сонымен қатар трафикті вирустардың, құрттардың, трояндардың және зиянды бағдарламалардың бар-жоғын тексереді, бірақ буферлеусіз. Бұл жақсы өнімділікті қамтамасыз етеді, бірақ сонымен бірге вирусты анықтау ықтималдығы төмендейді.
Прокси режимінде қол жетімді жалғыз сканерлеу режимі Толық режим болып табылады. Мұндай сканерлеу кезінде FortiGate алдымен бүкіл файлды өзінде сақтайды (әрине, сканерлеуге рұқсат етілген файл өлшемінен асып кетпесе). Клиент сканерлеудің аяқталуын күтуі керек. Сканерлеу кезінде вирус анықталса, пайдаланушыға дереу хабарланады. FortiGate алдымен бүкіл файлды сақтап, содан кейін сканерлейтіндіктен, бұл өте ұзақ уақыт алуы мүмкін. Осыған байланысты клиент ұзақ кешігуге байланысты файлды алғанға дейін қосылымды тоқтатуы мүмкін.
Төмендегі суретте сканерлеу режимдерінің салыстыру кестесі көрсетілген - ол сканерлеудің қай түрі тапсырмаларыңызға сәйкес келетінін анықтауға көмектеседі. Антивирустың функционалдығын орнату және тексеру мақаланың соңындағы бейнеде іс жүзінде талқыланады.
Сабақтың екінші бөліміне – интрузияның алдын алу жүйесіне көшейік. Бірақ IPS-ті зерттеуді бастау үшін эксплойт пен аномалия арасындағы айырмашылықты түсіну керек, сонымен қатар олардан қорғау үшін FortiGate қандай механизмдерді қолданатынын түсіну керек.
Эксплоиттер - бұл IPS, WAF немесе антивирустық қолтаңбалар арқылы анықтауға болатын арнайы үлгілері бар белгілі шабуылдар.
Аномалиялар – желідегі әдеттен тыс әрекет, мысалы, трафиктің әдеттен тыс үлкен көлемі немесе қалыпты CPU тұтынуынан жоғары. Аномалияларды бақылау қажет, себебі олар жаңа, зерттелмеген шабуылдың белгілері болуы мүмкін. Аномалиялар әдетте мінез-құлық талдауы арқылы анықталады - жылдамдыққа негізделген қолтаңбалар және DoS саясаттары.
Нәтижесінде FortiGate жүйесіндегі IPS белгілі шабуылдарды анықтау үшін қолтаңба негіздерін және әртүрлі ауытқуларды анықтау үшін Rate-Based Signatures және DoS саясаттарын пайдаланады.
Әдепкі бойынша, IPS қолтаңбаларының бастапқы жинағы FortiGate операциялық жүйесінің әрбір нұсқасына қосылады. Жаңартулармен FortiGate жаңа қолтаңбаларды алады. Осылайша, IPS жаңа эксплойттарға қарсы тиімді болып қалады. FortiGuard IPS қолтаңбаларын жиі жаңартады.
IPS-ке де, антивирусқа да қатысты маңызды мәселе, егер лицензияларыңыздың мерзімі өтіп кетсе, алынған соңғы қолтаңбаларды әлі де пайдалана аласыз. Бірақ лицензиясыз жаңаларын ала алмайсыз. Сондықтан лицензиялардың болмауы өте қажет емес - егер жаңа шабуылдар пайда болса, сіз өзіңізді ескі қолтаңбалармен қорғай алмайсыз.
IPS қолтаңбасының дерекқорлары кәдімгі және кеңейтілген болып бөлінеді. Әдеттегі дерекқор сирек немесе ешқашан жалған позитивтерді тудырмайтын жалпы шабуылдарға арналған қолтаңбаларды қамтиды. Бұл қолтаңбалардың көпшілігі үшін алдын ала конфигурацияланған әрекет блоктау болып табылады.
Кеңейтілген дерекқорда жүйенің жұмысына айтарлықтай әсер ететін немесе олардың ерекше сипатына байланысты блоктауға болмайтын қосымша шабуыл қолтаңбалары бар. Бұл дерекқордың көлеміне байланысты ол шағын дискі немесе жедел жады бар FortiGate үлгілерінде қол жетімді емес. Бірақ жоғары қауіпсіз орталар үшін кеңейтілген базаны пайдалану қажет болуы мүмкін.
IPS функционалдығын орнату және тексеру төмендегі бейнеде де талқыланады.
Келесі сабақта біз пайдаланушылармен жұмыс істеуді қарастырамыз. Оны жіберіп алмау үшін келесі арналардағы жаңартуларды қадағалаңыз:
Ақпарат көзі: www.habr.com