Groeten! Welkom bij de zevende les van de cursus . op we maakten kennis met beveiligingsprofielen als webfiltering, applicatiecontrole en HTTPS-inspectie. In deze les vervolgen we onze introductie tot beveiligingsprofielen. Eerst maken we kennis met de theoretische aspecten van de werking van een antivirus- en inbraakpreventiesysteem, en daarna kijken we hoe deze beveiligingsprofielen in de praktijk werken.
Laten we beginnen met het antivirusprogramma. Laten we eerst de technologieën bespreken die FortiGate gebruikt om virussen te detecteren:
Antivirusscannen is de gemakkelijkste en snelste methode om virussen te detecteren. Het detecteert virussen die volledig overeenkomen met de handtekeningen in de antivirusdatabase.
Grayware Scan of scannen van ongewenste programma's - deze technologie detecteert ongewenste programma's die zijn geïnstalleerd zonder medeweten of toestemming van de gebruiker. Technisch gezien zijn deze programma's geen virussen. Ze worden meestal gebundeld met andere programma's, maar als ze worden geïnstalleerd, hebben ze een negatieve invloed op het systeem. Daarom worden ze geclassificeerd als malware. Vaak kunnen dergelijke programma's worden gedetecteerd met behulp van eenvoudige grijsware-handtekeningen van de FortiGuard-onderzoeksbasis.
Heuristisch scannen - deze technologie is gebaseerd op waarschijnlijkheden, dus het gebruik ervan kan vals-positieve effecten veroorzaken, maar kan ook zero-day-virussen detecteren. Zero-day-virussen zijn nieuwe virussen die nog niet zijn onderzocht, en er zijn geen handtekeningen die ze kunnen detecteren. Heuristisch scannen is standaard niet ingeschakeld en moet op de opdrachtregel worden ingeschakeld.
Als alle antivirusmogelijkheden zijn ingeschakeld, past FortiGate deze in de volgende volgorde toe: antivirusscannen, grijswarescannen, heuristisch scannen.
FortiGate kan verschillende antivirusdatabases gebruiken, afhankelijk van de taken:
- Normale antivirusdatabase (Normaal) - aanwezig in alle FortiGate-modellen. Het bevat handtekeningen voor virussen die de afgelopen maanden zijn ontdekt. Dit is de kleinste antivirusdatabase en scant dus het snelst bij gebruik. Deze database kan echter niet alle bekende virussen detecteren.
- Uitgebreid - deze basis wordt ondersteund door de meeste FortiGate-modellen. Het kan worden gebruikt om virussen te detecteren die niet langer actief zijn. Veel platforms zijn nog steeds kwetsbaar voor deze virussen. Bovendien kunnen deze virussen in de toekomst voor problemen zorgen.
- En de laatste, extreme basis (Extreme) - wordt gebruikt in infrastructuren waar een hoog beveiligingsniveau vereist is. Met zijn hulp kunt u alle bekende virussen detecteren, inclusief virussen die gericht zijn op verouderde besturingssystemen, die momenteel niet wijd verspreid zijn. Dit type handtekeningendatabase wordt ook niet door alle FortiGate-modellen ondersteund.
Er is ook een compacte handtekeningdatabase die is ontworpen voor snel scannen. We zullen er later over praten.
U kunt antivirusdatabases op verschillende manieren bijwerken.
De eerste methode is Push Update, waarmee databases kunnen worden bijgewerkt zodra de onderzoeksdatabase van FortiGuard een update uitbrengt. Dit is handig voor infrastructuren die een hoog beveiligingsniveau vereisen, omdat FortiGate urgente updates ontvangt zodra deze beschikbaar zijn.
De tweede methode is het opstellen van een schema. Zo kun je elk uur, dag of week controleren op updates. Dat wil zeggen, hier wordt het tijdsbereik naar eigen goeddunken ingesteld.
Deze methoden kunnen samen worden gebruikt.
Maar u moet er rekening mee houden dat u, om updates uit te voeren, het antivirusprofiel voor ten minste één firewallbeleid moet inschakelen. Anders worden er geen updates uitgevoerd.
U kunt ook updates downloaden van de Fortinet-ondersteuningssite en deze vervolgens handmatig uploaden naar FortiGate.
Laten we eens kijken naar de scanmodi. Er zijn er slechts drie: Volledige modus in de Flow-gebaseerde modus, Snelle modus in de Flow-gebaseerde modus en Volledige modus in de proxy-modus. Laten we beginnen met de volledige modus in de Flow-modus.
Stel dat een gebruiker een bestand wil downloaden. Hij stuurt een verzoek. De server begint hem pakketten te sturen waaruit het bestand bestaat. De gebruiker ontvangt deze pakketten onmiddellijk. Maar voordat deze pakketten aan de gebruiker worden afgeleverd, slaat FortiGate ze op in de cache. Nadat FortiGate het laatste pakket heeft ontvangen, begint het met het scannen van het bestand. Op dit moment wordt het laatste pakket in de wachtrij geplaatst en niet naar de gebruiker verzonden. Als het bestand geen virussen bevat, wordt het nieuwste pakket naar de gebruiker verzonden. Als er een virus wordt gedetecteerd, verbreekt FortiGate de verbinding met de gebruiker.
De tweede scanmodus die beschikbaar is in Flow Based is de Snelle modus. Het maakt gebruik van een compacte handtekeningendatabase, die minder handtekeningen bevat dan een gewone database. Het heeft ook enkele beperkingen vergeleken met de volledige modus:
- Het kan geen bestanden naar de sandbox verzenden
- Het kan geen heuristische analyse gebruiken
- Ook kan het geen pakketten gebruiken die verband houden met mobiele malware
- Sommige instapmodellen ondersteunen deze modus niet.
De snelle modus controleert ook het verkeer op virussen, wormen, Trojaanse paarden en malware, maar zonder buffering. Dit zorgt voor betere prestaties, maar tegelijkertijd wordt de kans op het detecteren van een virus kleiner.
In de proxymodus is de enige beschikbare scanmodus de Volledige modus. Bij een dergelijke scan slaat FortiGate eerst het volledige bestand op zichzelf op (tenzij uiteraard de toegestane bestandsgrootte voor scannen wordt overschreden). De client moet wachten tot de scan is voltooid. Als er tijdens het scannen een virus wordt gedetecteerd, wordt de gebruiker onmiddellijk op de hoogte gesteld. Omdat FortiGate eerst het gehele bestand opslaat en vervolgens scant, kan dit behoorlijk lang duren. Hierdoor is het mogelijk dat de client de verbinding verbreekt voordat hij het bestand ontvangt vanwege een lange vertraging.
De onderstaande afbeelding toont een vergelijkingstabel voor scanmodi. Deze helpt u te bepalen welk type scannen geschikt is voor uw taken. Het instellen en controleren van de functionaliteit van de antivirus wordt in de praktijk besproken in de video aan het einde van het artikel.
Laten we verder gaan met het tweede deel van de les: het inbraakpreventiesysteem. Maar om IPS te gaan bestuderen, moet je het verschil begrijpen tussen exploits en anomalieën, en ook begrijpen welke mechanismen FortiGate gebruikt om zich ertegen te beschermen.
Exploits zijn bekende aanvallen met specifieke patronen die kunnen worden gedetecteerd met behulp van IPS-, WAF- of antivirushandtekeningen.
Afwijkingen zijn ongewoon gedrag op een netwerk, zoals een ongewoon grote hoeveelheid verkeer of een hoger dan normaal CPU-verbruik. Afwijkingen moeten in de gaten worden gehouden omdat ze tekenen kunnen zijn van een nieuwe, onontdekte aanval. Afwijkingen worden meestal gedetecteerd met behulp van gedragsanalyse – zogenaamde rate-based signatures en DoS-beleid.
Als gevolg hiervan gebruikt IPS op FortiGate handtekeningbases om bekende aanvallen te detecteren, en Rate-Based handtekeningen en DoS-beleid om verschillende afwijkingen te detecteren.
Standaard wordt bij elke versie van het FortiGate-besturingssysteem een eerste set IPS-handtekeningen meegeleverd. Met updates ontvangt FortiGate nieuwe handtekeningen. Op deze manier blijft IPS effectief tegen nieuwe exploits. FortiGuard werkt de IPS-handtekeningen vrij regelmatig bij.
Een belangrijk punt dat voor zowel IPS als antivirus geldt, is dat als uw licenties zijn verlopen, u nog steeds de laatst ontvangen handtekeningen kunt gebruiken. Maar zonder licentie kun je geen nieuwe krijgen. Daarom is het ontbreken van licenties uiterst onwenselijk: als er nieuwe aanvallen verschijnen, kun je jezelf niet beschermen met oude handtekeningen.
IPS-handtekeningendatabases zijn onderverdeeld in regulier en uitgebreid. Een typische database bevat handtekeningen voor veel voorkomende aanvallen die zelden of nooit valse positieven veroorzaken. De vooraf geconfigureerde actie voor de meeste van deze handtekeningen is blokkeren.
De uitgebreide database bevat aanvullende aanvalssignaturen die een aanzienlijke impact hebben op de systeemprestaties, of die vanwege hun speciale aard niet kunnen worden geblokkeerd. Vanwege de omvang van deze database is deze niet beschikbaar op FortiGate-modellen met een kleine schijf of RAM. Maar voor zeer veilige omgevingen moet u mogelijk een uitgebreide basis gebruiken.
Het instellen en controleren van de functionaliteit van IPS wordt ook besproken in onderstaande video.
In de volgende les gaan we kijken naar het werken met gebruikers. Om het niet te missen, volg de updates op de volgende kanalen:
Bron: www.habr.com