Sveiciens! Laipni lūdzam kursa septītajā nodarbībā . Par iepazināmies ar tādiem drošības profiliem kā Web Filtering, Application Control un HTTPS pārbaude. Šajā nodarbībā mēs turpināsim savu ievadu drošības profilos. Vispirms iepazīsimies ar antivīrusu un ielaušanās novēršanas sistēmas darbības teorētiskajiem aspektiem, bet pēc tam aplūkosim, kā šie drošības profili darbojas praksē.
Sāksim ar antivīrusu. Vispirms apspriedīsim tehnoloģijas, kuras FortiGate izmanto vīrusu noteikšanai:
Pretvīrusu skenēšana ir vienkāršākā un ātrākā vīrusu noteikšanas metode. Tā atklāj vīrusus, kas pilnībā atbilst antivīrusu datubāzē esošajiem parakstiem.
Grayware Scan jeb nevēlamo programmu skenēšana – šī tehnoloģija atklāj nevēlamas programmas, kas tiek instalētas bez lietotāja ziņas vai piekrišanas. Tehniski šīs programmas nav vīrusi. Parasti tās tiek piegādātas komplektā ar citām programmām, taču, kad tās ir instalētas, tās negatīvi ietekmē sistēmu, tāpēc tās tiek klasificētas kā ļaunprātīga programmatūra. Bieži vien šādas programmas var noteikt, izmantojot vienkāršus pelēkās programmatūras parakstus no FortiGuard izpētes bāzes.
Heiristiskā skenēšana – šī tehnoloģija ir balstīta uz varbūtībām, tāpēc tās izmantošana var radīt viltus pozitīvus efektus, taču tā var arī atklāt nulles dienas vīrusus. Nulles dienas vīrusi ir jauni vīrusi, kas vēl nav pētīti, un nav parakstu, kas tos varētu atklāt. Pēc noklusējuma heiristiskā skenēšana nav iespējota, un tā ir jāiespējo komandrindā.
Ja visas pretvīrusu iespējas ir iespējotas, FortiGate tās piemēro šādā secībā: pretvīrusu skenēšana, pelēkās programmatūras skenēšana, heiristiskā skenēšana.
FortiGate var izmantot vairākas pretvīrusu datu bāzes atkarībā no uzdevumiem:
- Parasta pretvīrusu datu bāze (Normal) - ir iekļauta visos FortiGate modeļos. Tajā ir iekļauti pēdējo mēnešu laikā atklāto vīrusu paraksti. Šī ir mazākā pretvīrusu datu bāze, tāpēc tā tiek skenēta visātrāk, kad to lieto. Tomēr šī datu bāze nevar atklāt visus zināmos vīrusus.
- Pagarināts – šo bāzi atbalsta lielākā daļa FortiGate modeļu. To var izmantot, lai noteiktu vīrusus, kas vairs nav aktīvi. Daudzas platformas joprojām ir neaizsargātas pret šiem vīrusiem. Arī šie vīrusi var radīt problēmas nākotnē.
- Un pēdējā, galējā bāze (Extreme) - tiek izmantota infrastruktūrās, kur nepieciešams augsts drošības līmenis. Ar tās palīdzību var atklāt visus zināmos vīrusus, arī vīrusus, kas vērsti uz novecojušām operētājsistēmām, kas šobrīd nav plaši izplatīti. Arī šāda veida parakstu datubāzes neatbalsta visi FortiGate modeļi.
Ir arī kompakta parakstu datu bāze, kas paredzēta ātrai skenēšanai. Mēs par to runāsim nedaudz vēlāk.
Varat atjaunināt pretvīrusu datu bāzes, izmantojot dažādas metodes.
Pirmā metode ir Push Update, kas ļauj atjaunināt datu bāzes, tiklīdz FortiGuard pētījumu datubāze izlaiž atjauninājumu. Tas ir noderīgi infrastruktūrām, kurām nepieciešams augsts drošības līmenis, jo FortiGate saņems steidzamus atjauninājumus, tiklīdz tie būs pieejami.
Otrā metode ir grafika noteikšana. Tādā veidā jūs varat pārbaudīt atjauninājumus katru stundu, dienu vai nedēļu. Tas ir, šeit laika diapazons tiek iestatīts pēc jūsu ieskatiem.
Šīs metodes var izmantot kopā.
Bet jums ir jāpatur prātā, ka, lai veiktu atjauninājumus, jums ir jāiespējo pretvīrusu profils vismaz vienai ugunsmūra politikai. Pretējā gadījumā atjauninājumi netiks veikti.
Varat arī lejupielādēt atjauninājumus no Fortinet atbalsta vietnes un pēc tam manuāli augšupielādēt tos FortiGate.
Apskatīsim skenēšanas režīmus. Ir tikai trīs no tiem - pilnais režīms plūsmas režīmā, ātrais režīms plūsmas režīmā un pilns režīms starpniekservera režīmā. Sāksim ar pilno režīmu plūsmas režīmā.
Pieņemsim, ka lietotājs vēlas lejupielādēt failu. Viņš nosūta pieprasījumu. Serveris sāk sūtīt viņam paketes, kas veido failu. Lietotājs nekavējoties saņem šīs paketes. Bet pirms šo pakešu piegādes lietotājam FortiGate tās saglabā kešatmiņā. Kad FortiGate saņem pēdējo paketi, tā sāk skenēt failu. Šobrīd pēdējā pakete ir rindā un netiek pārsūtīta lietotājam. Ja failā nav vīrusu, lietotājam tiek nosūtīta jaunākā pakete. Ja tiek atklāts vīruss, FortiGate pārtrauc savienojumu ar lietotāju.
Otrs skenēšanas režīms, kas pieejams programmā Flow Based, ir ātrais režīms. Tā izmanto kompaktu parakstu datu bāzi, kurā ir mazāk parakstu nekā parastajā datu bāzē. Tam ir arī daži ierobežojumi salīdzinājumā ar pilno režīmu:
- Tas nevar nosūtīt failus uz smilšu kasti
- Tas nevar izmantot heiristisko analīzi
- Tas arī nevar izmantot pakotnes, kas saistītas ar mobilo ļaunprātīgu programmatūru
- Daži sākuma līmeņa modeļi neatbalsta šo režīmu.
Ātrais režīms arī pārbauda, vai trafikā nav vīrusu, tārpu, Trojas zirgu un ļaunprātīgas programmatūras, taču bez buferizācijas. Tas nodrošina labāku veiktspēju, bet tajā pašā laikā tiek samazināta vīrusa atklāšanas iespējamība.
Starpniekservera režīmā vienīgais pieejamais skenēšanas režīms ir pilnais režīms. Ar šādu skenēšanu FortiGate vispirms saglabā visu failu sevī (ja vien, protams, netiek pārsniegts skenēšanai pieļaujamais faila lielums). Klientam jāgaida, līdz skenēšana tiks pabeigta. Ja skenēšanas laikā tiek atklāts vīruss, lietotājs par to nekavējoties tiks informēts. Tā kā FortiGate vispirms saglabā visu failu un pēc tam to skenē, tas var aizņemt diezgan ilgu laiku. Šī iemesla dēļ klients var pārtraukt savienojumu pirms faila saņemšanas ilgstošas kavēšanās dēļ.
Zemāk esošajā attēlā ir parādīta skenēšanas režīmu salīdzināšanas tabula — tā palīdzēs noteikt, kurš skenēšanas veids ir piemērots jūsu uzdevumiem. Pretvīrusu iestatīšana un funkcionalitātes pārbaude praksē ir apskatīta videoklipā raksta beigās.
Pārejam pie otrās nodarbības daļas – ielaušanās novēršanas sistēmas. Bet, lai sāktu pētīt IPS, jums ir jāsaprot atšķirība starp ekspluatācijām un anomālijām, kā arī jāsaprot, kādus mehānismus FortiGate izmanto, lai aizsargātos pret tiem.
Ekspluatācijas ir zināmi uzbrukumi ar specifiskiem modeļiem, kurus var noteikt, izmantojot IPS, WAF vai pretvīrusu parakstus.
Anomālijas ir neparasta darbība tīklā, piemēram, neparasti liels trafika apjoms vai lielāks CPU patēriņš nekā parasti. Anomālijas ir jāuzrauga, jo tās var liecināt par jaunu, neizpētītu uzbrukumu. Anomālijas parasti tiek atklātas, izmantojot uzvedības analīzi – tā sauktos uz ātrumu balstītos parakstus un DoS politikas.
Rezultātā FortiGate IPS izmanto parakstu bāzes, lai noteiktu zināmus uzbrukumus, un uz ātrumu balstītus parakstus un DoS politikas, lai atklātu dažādas anomālijas.
Pēc noklusējuma katrai FortiGate operētājsistēmas versijai ir iekļauta sākotnējā IPS parakstu kopa. Ar atjauninājumiem FortiGate saņem jaunus parakstus. Tādā veidā IPS joprojām ir efektīvs pret jauniem izmantošanas veidiem. FortiGuard diezgan bieži atjaunina IPS parakstus.
Svarīgs punkts, kas attiecas gan uz IPS, gan pretvīrusu, ir tas, ka, ja jūsu licencēm ir beidzies derīguma termiņš, jūs joprojām varat izmantot jaunākos saņemtos parakstus. Bet jūs nevarēsit iegūt jaunas bez licencēm. Tāpēc licenču trūkums ir ārkārtīgi nevēlams - ja parādīsies jauni uzbrukumi, jūs nevarēsit sevi aizsargāt ar veciem parakstiem.
IPS parakstu datu bāzes ir sadalītas parastajās un paplašinātajās. Tipiskā datu bāze satur parakstus izplatītiem uzbrukumiem, kas reti vai nekad neizraisa viltus pozitīvus rezultātus. Lielākajai daļai šo parakstu iepriekš konfigurētā darbība ir bloķēšana.
Paplašinātajā datu bāzē ir papildu uzbrukuma paraksti, kas būtiski ietekmē sistēmas veiktspēju vai kurus nevar bloķēt to īpašā rakstura dēļ. Šīs datu bāzes lieluma dēļ tā nav pieejama FortiGate modeļos ar mazu disku vai RAM. Taču ļoti drošām vidēm, iespējams, būs jāizmanto paplašināta bāze.
Tālāk esošajā videoklipā ir apskatīta arī IPS iestatīšana un funkcionalitātes pārbaude.
Nākamajā nodarbībā aplūkosim darbu ar lietotājiem. Lai nepalaistu garām, sekojiet jaunumiem šādos kanālos:
Avots: www.habr.com