salam sejahtera! Selamat datang ke pelajaran ketujuh kursus . Pada kami berkenalan dengan profil keselamatan seperti Penapisan Web, Kawalan Aplikasi dan pemeriksaan HTTPS. Dalam pelajaran ini kita akan meneruskan pengenalan kepada profil keselamatan. Pertama, kita akan membiasakan diri dengan aspek teori operasi antivirus dan sistem pencegahan pencerobohan, dan kemudian kita akan melihat bagaimana profil keselamatan ini berfungsi secara praktikal.
Mari kita mulakan dengan antivirus. Mula-mula, mari kita bincangkan teknologi yang digunakan FortiGate untuk mengesan virus:
Pengimbasan antivirus ialah kaedah yang paling mudah dan cepat untuk mengesan virus. Ia mengesan virus yang sepadan sepenuhnya dengan tandatangan yang terkandung dalam pangkalan data anti-virus.
Grayware Scan atau pengimbasan program yang tidak diingini - teknologi ini mengesan program yang tidak diingini yang dipasang tanpa pengetahuan atau persetujuan pengguna. Secara teknikal, program ini bukan virus. Ia biasanya disertakan dengan program lain, tetapi apabila dipasang ia memberi kesan negatif kepada sistem, itulah sebabnya ia diklasifikasikan sebagai perisian hasad. Selalunya program sedemikian boleh dikesan menggunakan tandatangan perisian kelabu mudah dari pangkalan penyelidikan FortiGuard.
Pengimbasan heuristik - teknologi ini berdasarkan kebarangkalian, jadi penggunaannya boleh menyebabkan kesan positif palsu, tetapi ia juga boleh mengesan virus sifar hari. Virus sifar hari ialah virus baharu yang masih belum dikaji, dan tiada tandatangan yang dapat mengesannya. Pengimbasan heuristik tidak didayakan secara lalai dan mesti didayakan pada baris arahan.
Jika semua keupayaan antivirus didayakan, FortiGate menggunakannya dalam susunan berikut: pengimbasan antivirus, pengimbasan perisian kelabu, pengimbasan heuristik.
FortiGate boleh menggunakan beberapa pangkalan data anti-virus, bergantung pada tugas:
- Pangkalan data antivirus biasa (Normal) - terkandung dalam semua model FortiGate. Ia termasuk tandatangan untuk virus yang telah ditemui dalam beberapa bulan kebelakangan ini. Ini adalah pangkalan data antivirus terkecil, jadi ia mengimbas paling cepat apabila digunakan. Walau bagaimanapun, pangkalan data ini tidak dapat mengesan semua virus yang diketahui.
- Dilanjutkan - pangkalan ini disokong oleh kebanyakan model FortiGate. Ia boleh digunakan untuk mengesan virus yang tidak lagi aktif. Banyak platform masih terdedah kepada virus ini. Selain itu, virus ini boleh menyebabkan masalah pada masa hadapan.
- Dan yang terakhir, asas ekstrem (Melampau) - digunakan dalam infrastruktur di mana tahap keselamatan yang tinggi diperlukan. Dengan bantuannya, anda boleh mengesan semua virus yang diketahui, termasuk virus yang bertujuan untuk sistem pengendalian lapuk, yang tidak diedarkan secara meluas pada masa ini. Pangkalan data tandatangan jenis ini juga tidak disokong oleh semua model FortiGate.
Terdapat juga pangkalan data tandatangan padat yang direka untuk pengimbasan pantas. Kita akan bercakap mengenainya sedikit kemudian.
Anda boleh mengemas kini pangkalan data anti-virus menggunakan kaedah yang berbeza.
Kaedah pertama ialah Push Update, yang membolehkan pangkalan data dikemas kini sebaik sahaja pangkalan data penyelidikan FortiGuard mengeluarkan kemas kini. Ini berguna untuk infrastruktur yang memerlukan tahap keselamatan yang tinggi, kerana FortiGate akan menerima kemas kini segera sebaik sahaja ia tersedia.
Kaedah kedua ialah menetapkan jadual. Dengan cara ini anda boleh menyemak kemas kini setiap jam, hari atau minggu. Maksudnya, di sini julat masa ditetapkan mengikut budi bicara anda.
Kaedah ini boleh digunakan bersama.
Tetapi anda perlu ingat bahawa untuk kemas kini boleh dibuat, anda mesti mendayakan profil antivirus untuk sekurang-kurangnya satu dasar firewall. Jika tidak, kemas kini tidak akan dibuat.
Anda juga boleh memuat turun kemas kini daripada tapak sokongan Fortinet dan kemudian memuat naiknya secara manual ke FortiGate.
Mari lihat mod pengimbasan. Terdapat hanya tiga daripadanya - Mod Penuh dalam mod Berdasarkan Aliran, Mod Pantas dalam mod Berdasarkan Aliran dan Mod Penuh dalam mod proksi. Mari kita mulakan dengan Mod Penuh dalam mod Aliran.
Katakan pengguna ingin memuat turun fail. Dia menghantar permintaan. Pelayan mula menghantarnya paket yang membentuk fail. Pengguna segera menerima pakej ini. Tetapi sebelum menghantar paket ini kepada pengguna, FortiGate menyimpannya. Selepas FortiGate menerima paket terakhir, ia mula mengimbas fail. Pada masa ini, paket terakhir beratur dan tidak dihantar kepada pengguna. Jika fail tidak mengandungi virus, paket terkini dihantar kepada pengguna. Jika virus dikesan, FortiGate memutuskan sambungan dengan pengguna.
Mod pengimbasan kedua yang tersedia dalam Flow Based ialah Mod Pantas. Ia menggunakan pangkalan data tandatangan padat, yang mengandungi lebih sedikit tandatangan daripada pangkalan data biasa. Ia juga mempunyai beberapa had berbanding dengan Mod Penuh:
- Ia tidak boleh menghantar fail ke kotak pasir
- Ia tidak boleh menggunakan analisis heuristik
- Ia juga tidak boleh menggunakan pakej yang berkaitan dengan perisian hasad mudah alih
- Sesetengah model peringkat permulaan tidak menyokong mod ini.
Mod pantas juga menyemak trafik untuk virus, worm, trojan dan perisian hasad, tetapi tanpa penimbalan. Ini memberikan prestasi yang lebih baik, tetapi pada masa yang sama kemungkinan untuk mengesan virus berkurangan.
Dalam mod Proksi, satu-satunya mod pengimbasan yang tersedia ialah Mod Penuh. Dengan imbasan sedemikian, FortiGate mula-mula menyimpan keseluruhan fail pada dirinya sendiri (melainkan, sudah tentu, saiz fail yang dibenarkan untuk pengimbasan melebihi). Pelanggan mesti menunggu sehingga imbasan selesai. Jika virus dikesan semasa pengimbasan, pengguna akan dimaklumkan serta-merta. Kerana FortiGate mula-mula menyimpan keseluruhan fail dan kemudian mengimbasnya, ini boleh mengambil masa yang agak lama. Disebabkan ini, pelanggan boleh menamatkan sambungan sebelum menerima fail kerana kelewatan yang lama.
Rajah di bawah menunjukkan jadual perbandingan untuk mod pengimbasan - ia akan membantu anda menentukan jenis pengimbasan yang sesuai untuk tugas anda. Menyediakan dan menyemak kefungsian antivirus dibincangkan secara praktikal dalam video pada akhir artikel.
Mari kita beralih ke bahagian kedua pelajaran - sistem pencegahan pencerobohan. Tetapi untuk mula mempelajari IPS, anda perlu memahami perbezaan antara eksploitasi dan anomali, dan juga memahami mekanisme yang digunakan FortiGate untuk melindungi daripadanya.
Eksploitasi ialah serangan yang diketahui dengan corak tertentu yang boleh dikesan menggunakan tandatangan IPS, WAF atau antivirus.
Anomali ialah gelagat luar biasa pada rangkaian, seperti jumlah trafik yang luar biasa besar atau lebih tinggi daripada penggunaan CPU biasa. Anomali perlu dipantau kerana ia mungkin tanda serangan baharu yang belum diterokai. Anomali biasanya dikesan menggunakan analisis tingkah laku - yang dipanggil tandatangan berasaskan kadar dan dasar DoS.
Akibatnya, IPS pada FortiGate menggunakan pangkalan tandatangan untuk mengesan serangan yang diketahui, dan tandatangan Berasaskan Kadar dan dasar DoS untuk mengesan pelbagai anomali.
Secara lalai, set awal tandatangan IPS disertakan dengan setiap versi sistem pengendalian FortiGate. Dengan kemas kini, FortiGate menerima tandatangan baharu. Dengan cara ini, IPS kekal berkesan terhadap eksploitasi baharu. FortiGuard mengemas kini tandatangan IPS dengan kerap.
Perkara penting yang digunakan untuk kedua-dua IPS dan antivirus ialah jika lesen anda telah tamat tempoh, anda masih boleh menggunakan tandatangan terkini yang diterima. Tetapi anda tidak akan boleh mendapatkan yang baharu tanpa lesen. Oleh itu, ketiadaan lesen adalah sangat tidak diingini - jika serangan baru muncul, anda tidak akan dapat melindungi diri anda dengan tandatangan lama.
Pangkalan data tandatangan IPS dibahagikan kepada biasa dan lanjutan. Pangkalan data biasa mengandungi tandatangan untuk serangan biasa yang jarang atau tidak pernah menyebabkan positif palsu. Tindakan prakonfigurasi untuk kebanyakan tandatangan ini ialah blok.
Pangkalan data yang diperluaskan mengandungi tandatangan serangan tambahan yang mempunyai kesan ketara pada prestasi sistem, atau yang tidak boleh disekat kerana sifatnya yang istimewa. Oleh kerana saiz pangkalan data ini, ia tidak tersedia pada model FortiGate dengan cakera kecil atau RAM. Tetapi untuk persekitaran yang sangat selamat, anda mungkin perlu menggunakan pangkalan lanjutan.
Menyediakan dan menyemak kefungsian IPS juga dibincangkan dalam video di bawah.
Dalam pelajaran seterusnya kita akan melihat bekerja dengan pengguna. Untuk tidak ketinggalan, ikuti kemas kini pada saluran berikut:
Sumber: www.habr.com