Gréiss! Wëllkomm op der siwenter Lektioun vum Cours . Op der Mir hunn esou Sécherheetsprofile wéi Webfiltering, Applikatiounskontroll an HTTPS Inspektioun vertraut. An dëser Lektioun wäerte mir eis Bekanntschaft mat Sécherheetsprofile weiderféieren. Als éischt wäerte mir mat den theoreteschen Aspekter vun der Operatioun vum Antivirus an Intrusion Prevention System kennen léieren, an dann wäerte mir d'Aarbecht vun dëse Sécherheetsprofiler an der Praxis betruechten.
Loosst eis mam Antivirus ufänken. Als éischt, loosst eis d'Technologien diskutéieren déi FortiGate benotzt fir Virussen z'entdecken:
Antivirus Scannen ass déi einfachst a séierst Method fir Virussen z'entdecken. Et erkennt Viren déi voll mat den Ënnerschrëften an der Anti-Virus Datebank enthale passen.
Grayware Scan oder Onerwënscht Programm Scan - Dës Technologie erkennt ongewollt Programmer déi ouni d'Wëssen oder d'Zoustëmmung vum Benotzer installéiert sinn. Technesch sinn dës Programmer keng Viren. Normalerweis kommen se mat anere Programmer gebündelt, awer wann se installéiert sinn, beaflossen se de System negativ, dofir si se als Malware klasséiert. Dacks kënnen esou Programmer erkannt ginn mat einfache Grayware Ënnerschrëften vun der FortiGuard Fuerschungsbasis.
Heuristesch Scannen - dës Technologie baséiert op Wahrscheinlechkeeten, sou datt seng Notzung falsch Positiv Effekter verursaache kann, awer et kann och Null Dag Viren entdecken. Null Dag Viren sinn nei Viren déi nach net ënnersicht goufen, an et gi keng Ënnerschrëften nach déi se z'entdecken kéint. Heuristesch Scannen ass net als Standard aktivéiert, et muss op der Kommandozeil aktivéiert ginn.
Wann all Antivirus Feature aktivéiert sinn, applizéiert FortiGate se an der folgender Uerdnung: Antivirus Scan, Grayware Scan, Heuristesch Scan.
FortiGate kann verschidden Anti-Virus Datenbanken benotzen, ofhängeg vun den Aufgaben:
- Regelméisseg Anti-Virus Datebank (Normal) - ass an all Modeller vun FortiGate'ov enthale. Et enthält Ënnerschrëfte fir Virussen déi an de leschte Méint entdeckt goufen. Dëst ass déi klengst Anti-Virus Datebank, also wann Dir se benotzt, ass de Scannen am schnellsten. Wéi och ëmmer, dës Datebank kann net all bekannte Viren entdecken.
- Verlängert (Verlängeren) - dës Basis gëtt vun de meeschte FortiGate Modeller ënnerstëtzt. Et kann benotzt ginn fir Viren z'entdecken déi net méi aktiv sinn. Vill Plattforme sinn nach ëmmer vulnérabel fir dës Virussen. Och dës Viren kënne Problemer an Zukunft bréngen.
- An déi lescht, extrem Basis (Extreme) - gëtt an Infrastrukturen benotzt wou en héije Sécherheetsniveau erfuerderlech ass. Et kann all bekannte Virussen entdecken, och Virussen déi legacy Betribssystemer zielen déi momentan net wäit verdeelt sinn. Dës Zort Ënnerschrëft Datebank gëtt och net vun all FortiGate Modeller ënnerstëtzt.
Et gëtt och eng kompakt Ënnerschrëft Datebank fir séier Scannen entwéckelt. Mir wäerten doriwwer e bësse méi spéit schwätzen.
Dir kënnt Anti-Virus Datenbanken mat verschiddene Methoden aktualiséieren.
Déi éischt Method ass Push Update - et erlaabt Iech d'Datenbanken ze aktualiséieren soubal d'FortiGuard Fuerschungsbasis en Update verëffentlecht. Dëst ass nëtzlech fir Infrastrukturen déi en héije Sécherheetsniveau erfuerderen, well FortiGate wäert dréngend Updates kréien soubal se verfügbar sinn.
Déi zweet Method ass e Zäitplang ze setzen. Op dës Manéier kënnt Dir all Stonn, Dag oder Woch no Updates kucken. Dat ass, hei ass d'Zäitbereich no Ärem Diskretioun festgeluegt.
Dës Methode kënnen zesummen benotzt ginn.
Awer Dir musst am Kapp behalen datt fir Updates ze maachen, musst Dir den Antivirus Profil fir op d'mannst eng Firewall Politik aktivéieren. Soss ginn Updates net gemaach.
Dir kënnt och Updates vum Fortinet Support Site eroflueden an se dann manuell op FortiGate eroplueden.
Betruecht Scannen Modi. Et ginn nëmmen dräi vun hinnen - Voll Modus am Flow Based Modus, Quick Modus am Flow Based Modus, a Voll Modus am Proxy Modus. Loosst eis mam Vollmodus am Flowmodus ufänken.
Loosst eis soen datt de Benotzer eng Datei eroflueden wëllt. Hie schéckt eng Demande. De Server fänkt un him d'Päckchen ze schécken, déi d'Datei ausmaachen. De Benotzer kritt dës Päck direkt. Awer ier Dir dës Päckchen un de Benotzer weiderginn, Cache FortiGate se. Nodeems FortiGate de leschte Paket kritt, fänkt se un d'Datei ze scannen. Zu dëser Zäit gëtt de leschte Paket an der Schlaang gesat an net un de Benotzer iwwerginn. Wann d'Datei keng Viren enthält, gëtt de leschte Paket un de Benotzer geschéckt. Wann e Virus festgestallt gëtt, brécht FortiGate d'Verbindung mam Benotzer.
Den zweete Scan Modus verfügbar am Flow Based ass Quick Mode. Et benotzt eng kompakt Ënnerschrëft Datebank déi manner Ënnerschrëften enthält wéi eng regulär Ënnerschrëft Datebank. Et huet och e puer Aschränkungen am Verglach zum Vollmodus:
- Et kann net Dateien an d'Sandbox schécken
- Et kann net heuristesch Analyse benotzen
- Et kann och net Packagen am Zesummenhang mat mobilen Malware benotzen.
- E puer Modeller vun der Entrée ënnerstëtzen dëse Modus net.
Schnellmodus iwwerpréift och den Traffic fir Viren, Wuerm, Trojaner a Malware, awer ouni Puffer. Dëst bitt besser Leeschtung, awer gläichzäiteg ass d'Wahrscheinlechkeet fir e Virus z'entdecken reduzéiert.
Am Proxy Modus ass deen eenzegen verfügbare Scannen Modus Voll Modus. Mat esou engem Scan späichert FortiGate fir d'éischt de ganze Fichier eleng (ausser natierlech ass déi zulässlech Dateigréisst fir d'Scannen iwwerschratt). De Client muss waarden bis de Scan fäerdeg ass. Wann e Virus während dem Scan entdeckt gëtt, gëtt de Benotzer direkt matgedeelt. Well FortiGate déi ganz Datei als éischt späichert an se dann scannt, kann dat zimlech laang daueren. Dofir ass et méiglech fir de Client d'Verbindung ofzeschléissen ier hien de Fichier kritt wéinst enger laanger Verspéidung.
D'Figur hei drënner liwwert e Vergläichstabelle fir Scannen Modi - et hëlleft Iech ze bestëmmen wéi eng Zort Scanner richteg ass fir Är Aufgaben. D'Konfiguratioun an d'Performance vum Antivirus iwwerpréift ginn an der Praxis am Video um Enn vum Artikel berücksichtegt.
Loosst eis op den zweeten Deel vun der Lektioun goen - den Intrusiounspréventiounssystem. Awer fir IPS ze studéieren, musst Dir den Ënnerscheed tëscht Ausnotzen an Anomalien verstoen, wéi och verstoen wéi eng Mechanismen FortiGate benotzt fir géint si ze schützen.
Exploits si bekannt Attacke, mat spezifesche Mustere, déi mat IPS, WAF oder Antivirus Ënnerschrëfte festgestallt kënne ginn.
Anomalien sinn ongewéinlech Verhalen am Netz, wéi en ongewéinlech héije Betrag vum Traffic oder méi héich wéi normal CPU-Verbrauch. Anomalien sollten iwwerwaacht ginn, well se Zeeche vun engem neien, nach onerfuerenen Attack kënne sinn. Anomalien ginn normalerweis mat Verhalensanalyse festgestallt - déi sougenannten Taux-baséiert Ënnerschrëften an DoS Politiken.
Als Resultat benotzt IPS op FortiGate Ënnerschrëftbasen fir bekannt Attacken z'entdecken, a Rate-Baséiert Ënnerschrëften an DoS Politiken fir verschidde Anomalien z'entdecken.
Par défaut ass en initial Set vun IPS Ënnerschrëften mat all Versioun vum FortiGate Betribssystem abegraff. Mat Updates kritt FortiGate nei Ënnerschrëften. Sou bleift IPS effektiv géint nei Ausnotzen. De FortiGuard Service aktualiséiert d'IPS Ënnerschrëften zimlech dacks.
E wichtege Punkt dee fir IPS an Antivirus gëllt ass datt wann Är Lizenzen ofgelaf sinn, Dir nach ëmmer déi lescht Ënnerschrëfte benotze kënnt déi Dir kritt hutt. Awer nei ouni Lizenzen ze kréien funktionnéiert net. Dofir ass d'Feele vu Lizenzen héich ongewollt - wann nei Attacke erschéngen, kënnt Dir Iech net mat alen Ënnerschrëften schützen.
IPS Ënnerschrëft Datenbanken sinn opgedeelt a regelméisseg an erweidert. Déi regulär Datebank enthält Ënnerschrëfte fir allgemeng Attacken déi ganz selten oder ni falsch Positiver verursaachen. D'Standardaktioun fir déi meescht vun dësen Ënnerschrëften ass e Block.
Déi erweidert Basis enthält zousätzlech Attack Ënnerschrëften déi e wesentlechen Impakt op d'Systemleistung hunn oder déi net wéinst hirer spezieller Natur blockéiert kënne ginn. Wéinst der Gréisst vun dëser Basis ass et net fir FortiGate Modeller mat klenge Scheif oder RAM verfügbar. Awer fir héich sécher Ëmfeld, musst Dir vläicht eng verlängert Basis benotzen.
IPS-Setup a Verifizéierung ass och am Video hei ënnen ofgedeckt.
An der nächster Lektioun wäerte mir d'Aarbecht mat de Benotzer kucken. Fir et net ze verpassen, bleift ofgeschloss fir Updates op de folgende Kanäl:
Source: will.com