Мэндчилгээ! Хичээлийн долоо дахь хичээлд тавтай морил . Дээр Бид вэб шүүлтүүр, програмын хяналт, HTTPS шалгалт гэх мэт хамгаалалтын профайлуудтай танилцсан. Энэ хичээлээр бид аюулгүй байдлын профайлын талаарх танилцуулгыг үргэлжлүүлэх болно. Эхлээд бид вирусны эсрэг болон халдлагаас урьдчилан сэргийлэх системийн үйл ажиллагааны онолын талуудтай танилцаж, дараа нь эдгээр хамгаалалтын профайлууд практикт хэрхэн ажилладаг талаар авч үзэх болно.
Вирусны эсрэг програмаас эхэлье. Эхлээд FortiGate вирус илрүүлэхэд ашигладаг технологиудыг авч үзье.
Вирусны эсрэг сканнер нь вирус илрүүлэх хамгийн хялбар бөгөөд хурдан арга юм. Энэ нь вирусын эсрэг мэдээллийн санд байгаа гарын үсэгтэй бүрэн нийцэх вирусыг илрүүлдэг.
Grayware Scan буюу хүсээгүй программ скан хийх - энэ технологи нь хэрэглэгчийн мэдээлэл, зөвшөөрөлгүйгээр суулгасан хүсээгүй програмуудыг илрүүлдэг. Техникийн хувьд эдгээр програмууд нь вирус биш юм. Тэдгээр нь ихэвчлэн бусад програмуудтай хамт ирдэг боловч суулгасан үед системд сөргөөр нөлөөлдөг тул хортой програм гэж ангилдаг. Ихэнхдээ ийм програмуудыг FortiGuard судалгааны баазаас энгийн саарал програмын гарын үсэг ашиглан илрүүлж болно.
Эвристик сканнердах - энэ технологи нь магадлал дээр суурилдаг тул түүний хэрэглээ нь хуурамч эерэг үр дагаварт хүргэж болзошгүй боловч тэг өдрийн вирусыг илрүүлж чаддаг. Тэг өдрийн вирусууд нь хараахан судлагдаагүй шинэ вирусууд бөгөөд тэдгээрийг илрүүлэх гарын үсэг байхгүй байна. Хевристик сканнерыг анхдагчаар идэвхжүүлээгүй бөгөөд командын мөрөнд идэвхжүүлсэн байх ёстой.
Хэрэв вирусны эсрэг бүх боломжууд идэвхжсэн бол FortiGate эдгээрийг дараах дарааллаар хэрэгжүүлнэ: вирусны эсрэг сканнердах, саарал программ скан хийх, эвристик скан хийх.
FortiGate нь даалгавраас хамааран хэд хэдэн вирусны эсрэг мэдээллийн санг ашиглаж болно.
- Энгийн вирусны эсрэг мэдээллийн сан (Хэвийн) - бүх FortiGate загварт агуулагддаг. Үүнд сүүлийн саруудад илэрсэн вирусын гарын үсгийг багтаасан болно. Энэ бол хамгийн жижиг вирусны эсрэг мэдээллийн сан тул ашиглах үед хамгийн хурдан скан хийдэг. Гэхдээ энэ мэдээллийн сан нь мэдэгдэж байгаа бүх вирусыг илрүүлж чадахгүй.
- Өргөтгөсөн - энэ суурийг ихэнх FortiGate загварууд дэмждэг. Үүнийг идэвхгүй болсон вирусыг илрүүлэхэд ашиглаж болно. Олон платформууд эдгээр вируст өртөмтгий хэвээр байна. Мөн эдгээр вирусууд ирээдүйд асуудал үүсгэж болзошгүй.
- Хамгийн сүүлчийн, туйлын суурь (Extreme) - аюулгүй байдлын өндөр түвшин шаардлагатай дэд бүтцэд ашиглагддаг. Үүний тусламжтайгаар та бүх мэдэгдэж байгаа вирус, түүний дотор хуучирсан үйлдлийн системд чиглэсэн вирусыг илрүүлэх боломжтой бөгөөд одоогоор өргөн тархаагүй байна. Энэ төрлийн гарын үсгийн мэдээллийн санг бүх FortiGate загварууд дэмждэггүй.
Мөн хурдан скан хийх зориулалттай авсаархан гарын үсгийн мэдээллийн сан байдаг. Бид энэ талаар бага зэрэг дараа ярих болно.
Та янз бүрийн аргуудыг ашиглан вирусын эсрэг мэдээллийн санг шинэчлэх боломжтой.
Эхний арга нь Push Update бөгөөд энэ нь FortiGuard судалгааны мэдээллийн сан шинэчлэлт гармагц мэдээллийн санг шинэчлэх боломжийг олгодог. FortiGate яаралтай шинэчлэлтүүдийг бэлэн болмогц хүлээн авах тул энэ нь өндөр түвшний хамгаалалт шаарддаг дэд бүтцэд хэрэгтэй.
Хоёрдахь арга бол хуваарийг тогтоох явдал юм. Ингэснээр та цаг, өдөр, долоо хоног бүр шинэчлэлтүүдийг шалгаж болно. Өөрөөр хэлбэл, энд цагийн хязгаарыг таны үзэмжээр тохируулна.
Эдгээр аргуудыг хамтад нь ашиглаж болно.
Гэхдээ та шинэчлэлт хийхийн тулд дор хаяж нэг галт ханын бодлогод вирусны эсрэг профайлыг идэвхжүүлэх ёстой гэдгийг санах хэрэгтэй. Үгүй бол шинэчлэлт хийхгүй.
Та мөн Fortinet-ийн дэмжлэгийн сайтаас шинэчлэлтүүдийг татаж аваад FortiGate-д гараар байршуулах боломжтой.
Скан хийх горимуудыг харцгаая. Тэдгээрийн зөвхөн гурав нь байдаг - урсгалд суурилсан горимд бүрэн горим, урсгалд суурилсан горимд хурдан горим, прокси горимд бүрэн горим. Урсгал горимд бүрэн горимоор эхэлцгээе.
Хэрэглэгч файл татаж авахыг хүсч байна гэж бодъё. Тэр хүсэлт илгээдэг. Сервер түүнд файлыг бүрдүүлдэг пакетуудыг илгээж эхэлдэг. Хэрэглэгч эдгээр багцуудыг шууд хүлээн авна. Гэхдээ эдгээр пакетуудыг хэрэглэгчдэд хүргэхээс өмнө FortiGate тэдгээрийг кэшлэнэ. FortiGate сүүлчийн пакетыг хүлээн авсны дараа файлыг сканнердаж эхэлнэ. Энэ үед сүүлчийн пакет дараалалд орсон бөгөөд хэрэглэгч рүү дамжуулагдаагүй байна. Хэрэв файлд вирус байхгүй бол хамгийн сүүлийн багцыг хэрэглэгч рүү илгээнэ. Хэрэв вирус илэрсэн бол FortiGate хэрэглэгчтэй холбоо тасалдаг.
Урсгалд суурилсан хоёр дахь сканнердах горим нь Түргэн горим юм. Энэ нь энгийн мэдээллийн сангаас цөөн гарын үсэг агуулсан авсаархан гарын үсгийн мэдээллийн санг ашигладаг. Энэ нь бүрэн горимтой харьцуулахад зарим хязгаарлалттай:
- Энэ нь хамгаалагдсан хязгаарлагдмал орчинд файл илгээх боломжгүй
- Энэ нь эвристик шинжилгээг ашиглах боломжгүй
- Мөн гар утасны хортой програмтай холбоотой багцуудыг ашиглах боломжгүй
- Зарим нэвтрэх түвшний загварууд энэ горимыг дэмждэггүй.
Шуурхай горим нь вирус, өт, троян, хортой програм байгаа эсэхийг шалгах боловч буфер хийхгүй. Энэ нь илүү сайн гүйцэтгэлийг хангадаг, гэхдээ тэр үед вирус илрүүлэх магадлал буурдаг.
Прокси горимд байгаа цорын ганц скан хийх горим нь бүрэн горим юм. Ийм скан хийснээр FortiGate эхлээд файлыг бүхэлд нь өөртөө хадгалдаг (мэдээжийн хэрэг, сканнердах зөвшөөрөгдсөн файлын хэмжээ хэтрээгүй тохиолдолд). Үйлчлүүлэгч скан хийж дуусахыг хүлээх ёстой. Хэрэв сканнердах явцад вирус илэрсэн бол хэрэглэгчдэд тэр даруй мэдэгдэх болно. FortiGate эхлээд файлыг бүхэлд нь хадгалж, дараа нь сканнердсан тул энэ нь нэлээд удаж болно. Ийм учраас үйлчлүүлэгч удаан саатсаны улмаас файлыг хүлээн авахаас өмнө холболтыг зогсоох боломжтой.
Доорх зураг нь сканнердах горимуудын харьцуулсан хүснэгтийг харуулж байна - энэ нь ямар төрлийн сканнер нь таны даалгаварт тохирохыг тодорхойлоход тусална. Антивирусын ажиллагааг тохируулах, шалгах талаар нийтлэлийн төгсгөлд байгаа видеон дээр практик дээр авч үзсэн болно.
Хичээлийн хоёр дахь хэсэг болох халдлагаас урьдчилан сэргийлэх систем рүү шилжье. Гэхдээ IPS-ийг судалж эхлэхийн тулд та мөлжлөг ба гажиг хоёрын ялгааг ойлгохоос гадна FortiGate тэдгээрээс хамгаалахын тулд ямар механизм ашигладаг болохыг ойлгох хэрэгтэй.
Exploit нь IPS, WAF эсвэл вирусны эсрэг гарын үсэг ашиглан илрүүлж болох тодорхой загвар бүхий мэдэгдэж байгаа халдлагууд юм.
Аномали гэдэг нь сүлжээн дэх ердийн бус үйлдэл, тухайлбал, их хэмжээний траффик эсвэл CPU-ийн ердийн хэрэглээнээс өндөр. Гажиг нь шинэ, судлагдаагүй халдлагын шинж тэмдэг байж болзошгүй тул тэдгээрийг хянах шаардлагатай. Аномали нь ихэвчлэн зан үйлийн шинжилгээг ашиглан илрүүлдэг - ханшид суурилсан гарын үсэг, DoS бодлого гэж нэрлэгддэг.
Үүний үр дүнд FortiGate дээрх IPS нь мэдэгдэж буй халдлагуудыг илрүүлэхийн тулд гарын үсгийн суурь, янз бүрийн гажигийг илрүүлэхийн тулд Rate-based signature болон DoS бодлогыг ашигладаг.
Анхдагч байдлаар, IPS гарын үсгийн анхны багц нь FortiGate үйлдлийн системийн хувилбар бүрт багтсан болно. Шинэчлэлтүүдийг хийснээр FortiGate шинэ гарын үсэг хүлээн авдаг. Ингэснээр IPS нь шинэ мөлжлөгийн эсрэг үр дүнтэй хэвээр байна. FortiGuard нь IPS гарын үсгийг байнга шинэчилдэг.
IPS болон антивирусын аль алинд нь хамаатай чухал зүйл бол таны лицензийн хугацаа дууссан бол та хамгийн сүүлийн үеийн гарын үсгийг ашиглах боломжтой. Гэхдээ та лицензгүйгээр шинээр авах боломжгүй. Тиймээс лицензгүй байх нь туйлын хүсээгүй зүйл юм - хэрэв шинэ халдлага гарч ирвэл та хуучин гарын үсгээр өөрийгөө хамгаалах боломжгүй болно.
IPS гарын үсгийн мэдээллийн санг ердийн болон өргөтгөсөн гэж хуваадаг. Ердийн мэдээллийн сан нь ховор эсвэл хэзээ ч худал эерэг үр дүнд хүргэдэг нийтлэг халдлагын гарын үсгийг агуулдаг. Эдгээр гарын үсгийн ихэнхийг урьдчилан тохируулсан үйлдэл нь блок юм.
Өргөтгөсөн өгөгдлийн сан нь системийн гүйцэтгэлд чухал нөлөө үзүүлдэг, эсвэл онцгой шинж чанартай тул хаах боломжгүй нэмэлт халдлагын гарын үсгийг агуулдаг. Энэ мэдээллийн сангийн хэмжээнээс шалтгаалан жижиг диск эсвэл RAM бүхий FortiGate загварт ашиглах боломжгүй. Гэхдээ өндөр хамгаалалттай орчинд та өргөтгөсөн суурь ашиглах хэрэгтэй байж магадгүй.
IPS-ийн ажиллагааг тохируулах, шалгах талаар мөн доорх видеон дээр авч үзнэ.
Дараагийн хичээл дээр бид хэрэглэгчидтэй ажиллах талаар авч үзэх болно. Үүнийг алдахгүйн тулд дараах сувгуудын шинэчлэлтүүдийг дагана уу.
Эх сурвалж: www.habr.com