салам! Курстун жетинчи сабагына кош келиңиздер . боюнча Биз Web Filtering, Application Control жана HTTPS текшерүү сыяктуу коопсуздук профилдери менен тааныштык. Бул сабакта биз коопсуздук профилдери менен таанышууну улантабыз. Биринчиден, биз антивирустун жана интрузиянын алдын алуу тутумунун иштөөсүнүн теориялык аспектилери менен таанышабыз, андан кийин бул коопсуздук профилдери иш жүзүндө кандай иштээрин карап чыгабыз.
Антивирустан баштайлы. Биринчиден, келгиле, FortiGate вирустарды аныктоо үчүн колдонгон технологияларды талкуулайлы:
Антивирустук сканерлөө - бул вирустарды аныктоонун эң оңой жана тез ыкмасы. Ал антивирус базасында камтылган кол тамгаларга толугу менен дал келген вирустарды аныктайт.
Grayware Scan же керексиз программаларды сканерлөө - бул технология колдонуучунун билими же макулдугусуз орнотулган керексиз программаларды аныктайт. Техникалык жактан бул программалар вирус эмес. Алар адатта башка программалар менен коштолот, бирок орнотулганда алар системага терс таасирин тийгизет, ошондуктан алар зыяндуу программа катары классификацияланат. Көбүнчө мындай программаларды FortiGuard изилдөө базасынан жөнөкөй гри-программалык кол тамгаларды колдонуу менен табууга болот.
Эвристикалык сканерлөө - бул технология ыктымалдуулуктарга негизделген, ошондуктан аны колдонуу жалган оң эффекттерди жаратышы мүмкүн, бирок нөл күндүк вирустарды да аныктай алат. Нөл күндүк вирустар - бул али изилдене элек жаңы вирустар жана аларды аныктай турган кол тамгалар жок. Эвристикалык сканерлөө демейки боюнча иштетилбейт жана буйрук сабында иштетилиши керек.
Эгерде бардык антивирус мүмкүнчүлүктөрү иштетилген болсо, FortiGate аларды төмөнкү тартипте колдонот: антивирустук сканерлөө, боз программалык сканерлөө, эвристикалык сканерлөө.
FortiGate милдеттерине жараша бир нече антивирус маалымат базасын колдоно алат:
- Кадимки антивирус базасы (Нормал) - бардык FortiGate моделдеринде камтылган. Ал акыркы айларда табылган вирустар үчүн кол тамгаларды камтыйт. Бул эң кичинекей антивирус базасы, ошондуктан аны колдонгондо эң ылдам сканерлейт. Бирок, бул маалымат базасы бардык белгилүү вирустарды аныктай албайт.
- Кеңейтилген - бул базаны көпчүлүк FortiGate моделдери колдойт. Аны активдүү болбой калган вирустарды аныктоо үчүн колдонсо болот. Көптөгөн платформалар дагы эле бул вирустарга алсыз. Ошондой эле, бул вирустар келечекте көйгөйлөрдү жаратышы мүмкүн.
- Ал эми акыркы, экстремалдык база (Extreme) - коопсуздуктун жогорку деңгээли талап кылынган инфраструктураларда колдонулат. Анын жардамы менен сиз бардык белгилүү вирустарды, анын ичинде эскирген операциялык системаларга багытталган, учурда кеңири таралбаган вирустарды таба аласыз. Кол тамгалар базасынын бул түрү бардык FortiGate моделдеринде колдоого алынбайт.
Ошондой эле тез сканерлөө үчүн иштелип чыккан компакт кол базасы бар. Бул тууралуу бир аздан кийин сүйлөшөбүз.
Сиз антивирустук маалымат базаларын ар кандай ыкмалар менен жаңырта аласыз.
Биринчи ыкма - бул Push Update, ал маалымат базаларын FortiGuard изилдөө базасы жаңыртууну чыгарар замат жаңыртууга мүмкүндүк берет. Бул коопсуздуктун жогорку деңгээлин талап кылган инфраструктуралар үчүн пайдалуу, анткени FortiGate алар жеткиликтүү болгондон кийин шашылыш жаңыртууларды алат.
Экинчи ыкма - графикти түзүү. Ушундай жол менен сиз жаңыртууларды саат сайын, күн сайын же жума сайын текшере аласыз. Башкача айтканда, бул жерде убакыт диапазону сиздин каалооңуз боюнча белгиленет.
Бул ыкмаларды чогуу колдонсо болот.
Бирок жаңыртуулар жасалышы үчүн, жок дегенде бир брандмауэр саясаты үчүн антивирус профилин иштетишиңиз керек экенин эстен чыгарбашыңыз керек. Болбосо, жаңыртуулар жасалбайт.
Сиз ошондой эле Fortinet колдоо сайтынан жаңыртууларды жүктөп алып, аларды FortiGate'ке кол менен жүктөсөңүз болот.
Келгиле, сканерлөө режимдерин карап көрөлү. Алардын үчөө гана бар - агымга негизделген режимде толук режим, агымга негизделген режимде тез режим жана прокси режиминде толук режим. Агым режиминде Толук режимден баштайлы.
Колдонуучу файлды жүктөп алгысы келет дейли. Ал өтүнүч жөнөтөт. Сервер ага файлды түзгөн пакеттерди жөнөтө баштайт. Колдонуучу бул пакеттерди дароо алат. Бирок бул пакеттерди колдонуучуга жеткирүүдөн мурун, FortiGate аларды кэштейт. FortiGate акыркы пакетти алгандан кийин, файлды сканерлей баштайт. Бул учурда, акыркы пакет кезекте турат жана колдонуучуга берилбейт. Эгерде файлда вирустар жок болсо, колдонуучуга акыркы пакет жөнөтүлөт. Эгерде вирус аныкталса, FortiGate колдонуучу менен байланышты үзөт.
Flow негизинде жеткиликтүү болгон экинчи сканерлөө режими - Ыкчам режим. Ал кадимки маалымат базасына караганда азыраак колдорду камтыган компакт кол тамгалар базасын колдонот. Ошондой эле Full Mode менен салыштырганда кээ бир чектөөлөр бар:
- Ал кумкоргонго файлдарды жөнөтө албайт
- Ал эвристикалык анализди колдоно албайт
- Ошондой эле мобилдик зыяндуу программаларга байланыштуу пакеттерди колдоно албайт
- Кээ бир кириш деңгээлиндеги моделдер бул режимди колдобойт.
Ыкчам режим ошондой эле трафикти вирустарды, курттарды, трояндарды жана зыяндуу программаларды текшерет, бирок буферлөөсүз. Бул жакшыраак иштөөнү камсыз кылат, бирок ошол эле учурда вирусту аныктоо ыктымалдыгы азаят.
Прокси режиминде жалгыз сканерлөө режими Толук режим болуп саналат. Мындай сканерлөө менен FortiGate биринчиден бүт файлды өзүнө сактайт (албетте, сканерлөө үчүн файлдын уруксат берилген өлчөмү ашпаса). Кардар сканерлөө аяктаганга чейин күтүшү керек. Скандоодо вирус аныкталса, колдонуучу дароо кабарланат. Анткени FortiGate адегенде бүт файлды сактап, анан аны сканерлейт, бул бир топ убакытты талап кылышы мүмкүн. Ушундан улам, кардар узак кечигүүдөн улам файлды алганга чейин байланышты токтотушу мүмкүн.
Төмөнкү сүрөттө сканерлөө режимдери үчүн салыштыруу таблицасы көрсөтүлгөн - бул сканерлөөнүн кайсы түрү сиздин тапшырмаларыңызга ылайыктуу экенин аныктоого жардам берет. Антивирустун иштешин орнотуу жана текшерүү иш жүзүндө макаланын аягындагы видеодо талкууланат.
Келгиле, сабактын экинчи бөлүгүнө – интрузиянын алдын алуу системасына өтөбүз. Бирок IPSти изилдөөнү баштоо үчүн, эксплуатациялар менен аномалиялардын ортосундагы айырманы түшүнүү керек, ошондой эле алардан коргоо үчүн FortiGate кандай механизмдерди колдоноорун түшүнүү керек.
Эксплоиттер - бул IPS, WAF же антивирус кол тамгалары аркылуу аныктоого мүмкүн болгон белгилүү үлгүдөгү чабуулдар.
Аномалиялар – тармактагы адаттан тыш жүрүм-турум, мисалы, трафиктин адаттан тыш чоң көлөмү же процессордун кадимки керектөөсүнөн жогору. Аномалияларды көзөмөлдөө керек, анткени алар жаңы, изилденбеген чабуулдун белгилери болушу мүмкүн. Аномалиялар адатта жүрүм-турум анализинин жардамы менен аныкталат - ченге негизделген кол тамгалар жана DoS саясаттары.
Натыйжада, FortiGate боюнча IPS белгилүү кол салууларды аныктоо үчүн кол тамга негиздерин, ал эми ар кандай аномалияларды аныктоо үчүн Rate-Based кол тамгаларын жана DoS саясаттарын колдонот.
Демейки боюнча, IPS кол тамгаларынын баштапкы топтому FortiGate операциялык тутумунун ар бир версиясында камтылган. Жаңыртуулар менен FortiGate жаңы кол тамгаларды алат. Ошентип, IPS жаңы эксплуатацияларга каршы натыйжалуу бойдон кала берет. FortiGuard IPS колдорун тез-тез жаңыртып турат.
IPSке да, антивируска да тиешелүү маанилүү жагдай, эгерде сиздин лицензияңыздын мөөнөтү бүтсө, сиз дагы эле эң акыркы алынган кол тамгаларды колдоно аласыз. Бирок лицензиясыз жаңыларын ала албайсыз. Ошондуктан, лицензиянын жоктугу өтө жагымсыз - жаңы чабуулдар пайда болсо, сиз эски кол тамгалар менен өзүңүздү коргой албай каласыз.
IPS колтамга базалары кадимки жана кеңейтилген болуп бөлүнөт. Кадимки маалымат базасы сейрек же эч качан жалган позитивдерди пайда кылган жалпы чабуулдар үчүн колдорду камтыйт. Бул кол коюулардын көбү үчүн алдын ала конфигурацияланган иш-аракет блок болуп саналат.
Кеңейтилген маалымат базасында системанын иштешине олуттуу таасир этүүчү же өзгөчө мүнөзүнөн улам бөгөт коюуга мүмкүн болбогон кошумча чабуул кол тамгалары бар. Бул маалымат базасынын өлчөмүнө байланыштуу, ал кичинекей диск же RAM менен FortiGate моделдеринде жеткиликтүү эмес. Бирок өтө коопсуз чөйрөлөр үчүн сиз кеңейтилген базаны колдонушуңуз керек болушу мүмкүн.
IPSтин иштешин орнотуу жана текшерүү да төмөндөгү видеодо талкууланат.
Кийинки сабакта биз колдонуучулар менен иштөөнү карайбыз. Аны өткөрүп жибербөө үчүн төмөнкү каналдардагы жаңылыктарга көз салыңыз:
Source: www.habr.com