Sveikinimai! Sveiki atvykę į septintąją kurso pamoką . Apie susipažinome su tokiais saugumo profiliais kaip Web Filtering, Application Control ir HTTPS patikra. Šioje pamokoje tęsime įvadą į saugos profilius. Pirmiausia susipažinsime su teoriniais antivirusinės ir įsibrovimų prevencijos sistemos veikimo aspektais, o vėliau – kaip šie saugos profiliai veikia praktiškai.
Pradėkime nuo antivirusinės programos. Pirmiausia aptarkime technologijas, kurias „FortiGate“ naudoja virusams aptikti:
Antivirusinis nuskaitymas yra lengviausias ir greičiausias virusų aptikimo būdas. Jis aptinka virusus, kurie visiškai atitinka antivirusinėje duomenų bazėje esančius parašus.
Grayware Scan arba nepageidaujamų programų nuskaitymas – ši technologija aptinka nepageidaujamas programas, kurios įdiegiamos be vartotojo žinios ar sutikimo. Techniškai šios programos nėra virusai. Paprastai jie pateikiami kartu su kitomis programomis, tačiau įdiegę jie neigiamai veikia sistemą, todėl yra klasifikuojami kaip kenkėjiškos programos. Dažnai tokias programas galima aptikti naudojant paprastus pilkųjų programų parašus iš FortiGuard tyrimų bazės.
Euristinis nuskaitymas – ši technologija pagrįsta tikimybėmis, todėl jos naudojimas gali sukelti klaidingą teigiamą poveikį, tačiau ji taip pat gali aptikti nulinės dienos virusus. Nulinės dienos virusai yra nauji virusai, kurie dar nebuvo ištirti, ir nėra jokių parašų, kurie galėtų juos aptikti. Euristinis nuskaitymas neįjungtas pagal numatytuosius nustatymus ir turi būti įjungtas komandinėje eilutėje.
Jei įjungtos visos antivirusinės galimybės, FortiGate taiko jas tokia tvarka: antivirusinis nuskaitymas, pilkųjų programų nuskaitymas, euristinis nuskaitymas.
„FortiGate“ gali naudoti kelias antivirusines duomenų bazes, priklausomai nuo užduočių:
- Įprasta antivirusinė duomenų bazė (Normal) – yra visuose FortiGate modeliuose. Jame yra virusų, kurie buvo aptikti pastaraisiais mėnesiais, parašai. Tai yra mažiausia antivirusinė duomenų bazė, todėl naudojant ji nuskaitoma greičiausiai. Tačiau ši duomenų bazė negali aptikti visų žinomų virusų.
- Išplėstinė – šią bazę palaiko dauguma FortiGate modelių. Jis gali būti naudojamas aptikti nebeaktyvius virusus. Daugelis platformų vis dar yra pažeidžiamos šių virusų. Be to, šie virusai gali sukelti problemų ateityje.
- Ir paskutinė, ekstremali bazė (Extreme) – naudojama infrastruktūrose, kur reikalingas aukštas saugumo lygis. Su jo pagalba galite aptikti visus žinomus virusus, įskaitant virusus, nukreiptus į pasenusias operacines sistemas, kurie šiuo metu nėra plačiai paplitę. Šio tipo parašų duomenų bazės taip pat nepalaiko visi FortiGate modeliai.
Taip pat yra kompaktiška parašų duomenų bazė, skirta greitam nuskaitymui. Apie tai pakalbėsime šiek tiek vėliau.
Antivirusines duomenų bazes galite atnaujinti įvairiais būdais.
Pirmasis metodas yra Push Update, kuris leidžia atnaujinti duomenų bazes, kai tik FortiGuard tyrimų duomenų bazė išleidžia naujinimą. Tai naudinga infrastruktūroms, kurioms reikalingas aukštas saugumo lygis, nes FortiGate gaus skubius atnaujinimus, kai tik jie bus pasiekiami.
Antrasis būdas yra sudaryti tvarkaraštį. Tokiu būdu galite tikrinti, ar yra atnaujinimų kas valandą, dieną ar savaitę. Tai yra, čia laiko intervalas nustatomas jūsų nuožiūra.
Šie metodai gali būti naudojami kartu.
Tačiau reikia nepamiršti, kad norėdami atnaujinti, turite įjungti antivirusinį profilį bent vienai ugniasienės strategijai. Priešingu atveju atnaujinimai nebus atlikti.
Taip pat galite atsisiųsti naujinimus iš Fortinet palaikymo svetainės ir rankiniu būdu įkelti juos į FortiGate.
Pažvelkime į nuskaitymo režimus. Jų yra tik trys – visas režimas srauto pagrindu, greitasis režimas srauto pagrindu ir visas tarpinio serverio režimas. Pradėkime nuo viso režimo srauto režimu.
Tarkime, kad vartotojas nori atsisiųsti failą. Jis siunčia prašymą. Serveris pradeda siųsti jam paketus, kurie sudaro failą. Vartotojas iš karto gauna šiuos paketus. Tačiau prieš pristatydama šiuos paketus vartotojui, „FortiGate“ juos išsaugo talpykloje. Kai FortiGate gauna paskutinį paketą, jis pradeda nuskaityti failą. Šiuo metu paskutinis paketas yra eilėje ir neperduodamas vartotojui. Jei faile nėra virusų, vartotojui siunčiamas naujausias paketas. Jei aptinkamas virusas, „FortiGate“ nutraukia ryšį su vartotoju.
Antrasis srautu pagrįstas nuskaitymo režimas yra greitasis režimas. Ji naudoja kompaktišką parašų duomenų bazę, kurioje yra mažiau parašų nei įprastoje duomenų bazėje. Jis taip pat turi tam tikrų apribojimų, palyginti su visu režimu:
- Jis negali siųsti failų į smėlio dėžę
- Ji negali naudoti euristinės analizės
- Taip pat negali naudoti paketų, susijusių su mobiliąja kenkėjiška programa
- Kai kurie pradinio lygio modeliai nepalaiko šio režimo.
Greitasis režimas taip pat tikrina srautą, ar nėra virusų, kirminų, Trojos arklių ir kenkėjiškų programų, tačiau be buferio. Taip užtikrinamas geresnis veikimas, tačiau tuo pačiu sumažėja viruso aptikimo tikimybė.
Tarpinio serverio režimu vienintelis galimas nuskaitymo režimas yra Visas režimas. Tokiu nuskaitymu FortiGate pirmiausia išsaugo visą failą savyje (žinoma, nebent viršijamas leistinas nuskaitymo failo dydis). Klientas turi palaukti, kol bus baigtas nuskaitymas. Jei nuskaitymo metu aptinkamas virusas, vartotojas bus nedelsiant informuotas. Kadangi „FortiGate“ pirmiausia išsaugo visą failą, o paskui nuskaito, tai gali užtrukti gana ilgai. Dėl šios priežasties klientas gali nutraukti ryšį prieš gaudamas failą dėl ilgo vėlavimo.
Žemiau esančiame paveikslėlyje parodyta nuskaitymo režimų palyginimo lentelė – ji padės nustatyti, koks nuskaitymo tipas tinka jūsų užduotims. Antivirusinės programos nustatymas ir funkcionalumo patikrinimas praktiškai aptariamas straipsnio pabaigoje esančiame vaizdo įraše.
Pereikime prie antros pamokos dalies – įsibrovimų prevencijos sistemos. Tačiau norėdami pradėti studijuoti IPS, turite suprasti skirtumą tarp išnaudojimų ir anomalijų, taip pat suprasti, kokius mechanizmus „FortiGate“ naudoja, kad apsaugotų nuo jų.
Išnaudojimai yra žinomos atakos su specifiniais modeliais, kurias galima aptikti naudojant IPS, WAF arba antivirusinius parašus.
Anomalijos yra neįprastas elgesys tinkle, pvz., neįprastai didelis srautas arba didesnis nei įprastas procesoriaus suvartojimas. Anomalijas reikia stebėti, nes tai gali būti naujos, neištirtos atakos požymiai. Anomalijos dažniausiai aptinkamos naudojant elgesio analizę – vadinamuosius sparta pagrįstus parašus ir DoS politiką.
Todėl „FortiGate“ IPS naudoja parašų bazes žinomoms atakoms aptikti, o sparta pagrįstus parašus ir DoS politiką – įvairioms anomalijoms aptikti.
Pagal numatytuosius nustatymus pradinis IPS parašų rinkinys yra įtrauktas į kiekvieną FortiGate operacinės sistemos versiją. Su atnaujinimais FortiGate gauna naujų parašų. Tokiu būdu IPS išlieka veiksmingas prieš naujus išnaudojimus. „FortiGuard“ gana dažnai atnaujina IPS parašus.
Svarbus dalykas, taikomas tiek IPS, tiek antivirusinei programai, yra tai, kad pasibaigus licencijų galiojimui, vis tiek galite naudoti naujausius gautus parašus. Bet jūs negalėsite gauti naujų be licencijų. Todėl licencijų nebuvimas yra labai nepageidautinas - jei atsiras naujų atakų, negalėsite apsisaugoti senais parašais.
IPS parašų duomenų bazės skirstomos į įprastas ir išplėstines. Įprastoje duomenų bazėje yra parašai įprastoms atakoms, kurios retai arba niekada nesukelia klaidingų teigiamų rezultatų. Daugumos šių parašų iš anksto sukonfigūruotas veiksmas yra blokavimas.
Išplėstoje duomenų bazėje yra papildomų atakų parašų, kurie turi didelę įtaką sistemos veikimui arba kurių negalima užblokuoti dėl jų ypatingo pobūdžio. Dėl šios duomenų bazės dydžio ji nepasiekiama FortiGate modeliuose su mažu disku arba RAM. Tačiau labai saugiai aplinkai gali tekti naudoti išplėstą bazę.
IPS nustatymas ir funkcionalumo patikrinimas taip pat aptariamas toliau pateiktame vaizdo įraše.
Kitoje pamokoje apžvelgsime darbą su vartotojais. Kad nepraleistumėte, sekite naujienas šiuose kanaluose:
Šaltinis: www.habr.com