Hilsener! Velkommen til den syvende leksjonen på kurset . På vi ble kjent med sikkerhetsprofiler som nettfiltrering, applikasjonskontroll og HTTPS-inspeksjon. I denne leksjonen vil vi fortsette vår introduksjon til sikkerhetsprofiler. Først skal vi sette oss inn i de teoretiske sidene ved driften av et antivirus- og inntrengningssystem, og deretter se på hvordan disse sikkerhetsprofilene fungerer i praksis.
La oss starte med antiviruset. La oss først diskutere teknologiene som FortiGate bruker for å oppdage virus:
Antivirusskanning er den enkleste og raskeste metoden for å oppdage virus. Den oppdager virus som fullstendig samsvarer med signaturene i antivirusdatabasen.
Grayware Scan eller uønsket programskanning - denne teknologien oppdager uønskede programmer som installeres uten brukerens viten eller samtykke. Teknisk sett er disse programmene ikke virus. De kommer vanligvis sammen med andre programmer, men når de er installert påvirker de systemet negativt, og det er derfor de klassifiseres som skadelig programvare. Ofte kan slike programmer oppdages ved hjelp av enkle gråvaresignaturer fra FortiGuards forskningsbase.
Heuristisk skanning - denne teknologien er basert på sannsynligheter, så bruken kan forårsake falske positive effekter, men den kan også oppdage nulldagsvirus. Zero day virus er nye virus som ennå ikke er studert, og det er ingen signaturer som kan oppdage dem. Heuristisk skanning er ikke aktivert som standard og må aktiveres på kommandolinjen.
Hvis alle antivirusfunksjoner er aktivert, bruker FortiGate dem i følgende rekkefølge: antivirusskanning, gråvareskanning, heuristisk skanning.
FortiGate kan bruke flere antivirusdatabaser, avhengig av oppgavene:
- Normal antivirusdatabase (Normal) - finnes i alle FortiGate-modeller. Det inkluderer signaturer for virus som har blitt oppdaget de siste månedene. Dette er den minste antivirusdatabasen, så den skanner raskest når den brukes. Denne databasen kan imidlertid ikke oppdage alle kjente virus.
- Utvidet - denne basen støttes av de fleste FortiGate-modeller. Den kan brukes til å oppdage virus som ikke lenger er aktive. Mange plattformer er fortsatt sårbare for disse virusene. Disse virusene kan også forårsake problemer i fremtiden.
- Og den siste, ekstreme basen (Extreme) – brukes i infrastrukturer der det kreves et høyt sikkerhetsnivå. Med dens hjelp kan du oppdage alle kjente virus, inkludert virus rettet mot utdaterte operativsystemer, som for øyeblikket ikke er vidt distribuert. Denne typen signaturdatabase støttes heller ikke av alle FortiGate-modeller.
Det er også en kompakt signaturdatabase designet for rask skanning. Vi snakker om det litt senere.
Du kan oppdatere antivirusdatabaser ved hjelp av forskjellige metoder.
Den første metoden er Push Update, som lar databaser oppdateres så snart FortiGuard-forskningsdatabasen slipper en oppdatering. Dette er nyttig for infrastrukturer som krever et høyt sikkerhetsnivå, siden FortiGate vil motta hasteoppdateringer så snart de er tilgjengelige.
Den andre metoden er å sette en tidsplan. På denne måten kan du se etter oppdateringer hver time, dag eller uke. Det vil si at her settes tidsintervallet etter eget skjønn.
Disse metodene kan brukes sammen.
Men du må huske på at for at oppdateringer skal kunne gjøres, må du aktivere antivirusprofilen for minst én brannmurpolicy. Ellers vil ikke oppdateringer bli gjort.
Du kan også laste ned oppdateringer fra Fortinet-støttesiden og deretter laste dem opp manuelt til FortiGate.
La oss se på skannemodusene. Det er bare tre av dem - full modus i flytbasert modus, hurtigmodus i flytbasert modus og full modus i proxy-modus. La oss starte med full modus i flytmodus.
La oss si at en bruker vil laste ned en fil. Han sender en forespørsel. Serveren begynner å sende ham pakker som utgjør filen. Brukeren mottar disse pakkene umiddelbart. Men før de leverer disse pakkene til brukeren, cacher FortiGate dem. Etter at FortiGate mottar den siste pakken, begynner den å skanne filen. På dette tidspunktet er den siste pakken i kø og ikke overført til brukeren. Hvis filen ikke inneholder virus, sendes den siste pakken til brukeren. Hvis et virus oppdages, bryter FortiGate forbindelsen med brukeren.
Den andre skannemodusen som er tilgjengelig i Flow Based, er Quick Mode. Den bruker en kompakt signaturdatabase, som inneholder færre signaturer enn en vanlig database. Den har også noen begrensninger sammenlignet med full modus:
- Den kan ikke sende filer til sandkassen
- Den kan ikke bruke heuristisk analyse
- Den kan heller ikke bruke pakker relatert til mobil malware
- Noen innstegsmodeller støtter ikke denne modusen.
Hurtigmodus sjekker også trafikken for virus, ormer, trojanere og skadelig programvare, men uten bufring. Dette gir bedre ytelse, men samtidig reduseres sannsynligheten for å oppdage virus.
I proxy-modus er den eneste tilgjengelige skannemodusen full modus. Med en slik skanning lagrer FortiGate først hele filen på seg selv (med mindre, selvfølgelig, den tillatte filstørrelsen for skanning overskrides). Klienten må vente på at skanningen skal fullføres. Hvis et virus oppdages under skanning, vil brukeren bli varslet umiddelbart. Fordi FortiGate først lagrer hele filen og deretter skanner den, kan dette ta ganske lang tid. På grunn av dette er det mulig for klienten å avslutte forbindelsen før den mottar filen på grunn av en lang forsinkelse.
Figuren nedenfor viser en sammenligningstabell for skannemoduser - den vil hjelpe deg med å finne ut hvilken type skanning som passer for oppgavene dine. Oppsett og kontroll av funksjonaliteten til antiviruset diskuteres i praksis i videoen på slutten av artikkelen.
La oss gå videre til den andre delen av leksjonen - systemet for å forhindre inntrenging. Men for å begynne å studere IPS, må du forstå forskjellen mellom utnyttelser og anomalier, og også forstå hvilke mekanismer FortiGate bruker for å beskytte mot dem.
Utnyttelser er kjente angrep med spesifikke mønstre som kan oppdages ved hjelp av IPS, WAF eller antivirussignaturer.
Anomalier er uvanlig atferd på et nettverk, for eksempel en uvanlig stor mengde trafikk eller høyere CPU-forbruk enn normalt. Anomalier må overvåkes fordi de kan være tegn på et nytt, uutforsket angrep. Anomalier oppdages vanligvis ved hjelp av atferdsanalyse – såkalte rate-baserte signaturer og DoS-policyer.
Som et resultat bruker IPS på FortiGate signaturbaser for å oppdage kjente angrep, og hastighetsbaserte signaturer og DoS-policyer for å oppdage ulike anomalier.
Som standard er et første sett med IPS-signaturer inkludert i hver versjon av FortiGate-operativsystemet. Med oppdateringer mottar FortiGate nye signaturer. På denne måten forblir IPS effektiv mot nye utnyttelser. FortiGuard oppdaterer IPS-signaturer ganske ofte.
Et viktig poeng som gjelder både for IPS og antivirus er at dersom lisensene dine er utløpt, kan du fortsatt bruke de siste signaturene som er mottatt. Men du vil ikke kunne få nye uten lisenser. Derfor er fraværet av lisenser ekstremt uønsket - hvis det dukker opp nye angrep, vil du ikke kunne beskytte deg selv med gamle signaturer.
IPS signaturdatabaser er delt inn i vanlige og utvidede. En typisk database inneholder signaturer for vanlige angrep som sjelden eller aldri forårsaker falske positiver. Den forhåndskonfigurerte handlingen for de fleste av disse signaturene er blokkering.
Den utvidede databasen inneholder ytterligere angrepssignaturer som har en betydelig innvirkning på systemytelsen, eller som ikke kan blokkeres på grunn av deres spesielle natur. På grunn av størrelsen på denne databasen er den ikke tilgjengelig på FortiGate-modeller med liten disk eller RAM. Men for svært sikre miljøer må du kanskje bruke en utvidet base.
Oppsett og kontroll av funksjonaliteten til IPS er også diskutert i videoen nedenfor.
I neste leksjon skal vi se på arbeid med brukere. For ikke å gå glipp av det, følg oppdateringene på følgende kanaler:
Kilde: www.habr.com