Saudações! Bem-vindo à sétima lição do curso . Em conhecemos perfis de segurança como Filtragem da Web, Controle de Aplicativos e Inspeção HTTPS. Nesta lição continuaremos nossa introdução aos perfis de segurança. Primeiramente conheceremos os aspectos teóricos do funcionamento de um sistema antivírus e de prevenção de intrusões e, a seguir, veremos como esses perfis de segurança funcionam na prática.
Vamos começar com o antivírus. Primeiro, vamos discutir as tecnologias que o FortiGate usa para detectar vírus:
A verificação antivírus é o método mais fácil e rápido de detectar vírus. Ele detecta vírus que correspondem completamente às assinaturas contidas no banco de dados antivírus.
Grayware Scan ou verificação de programas indesejados - esta tecnologia detecta programas indesejados que são instalados sem o conhecimento ou consentimento do usuário. Tecnicamente, estes programas não são vírus. Eles geralmente vêm junto com outros programas, mas quando instalados afetam negativamente o sistema, por isso são classificados como malware. Freqüentemente, esses programas podem ser detectados usando assinaturas simples de grayware da base de pesquisa do FortiGuard.
Varredura heurística – esta tecnologia é baseada em probabilidades, portanto seu uso pode causar efeitos falsos positivos, mas também pode detectar vírus de dia zero. Os vírus de dia zero são vírus novos que ainda não foram estudados e não existem assinaturas que possam detectá-los. A verificação heurística não está habilitada por padrão e deve ser habilitada na linha de comando.
Se todos os recursos antivírus estiverem habilitados, o FortiGate os aplica na seguinte ordem: verificação antivírus, verificação de grayware, verificação heurística.
O FortiGate pode usar vários bancos de dados de antivírus, dependendo das tarefas:
- Banco de dados antivírus normal (Normal) - contido em todos os modelos FortiGate. Inclui assinaturas de vírus que foram descobertos nos últimos meses. Este é o menor banco de dados de antivírus, por isso verifica mais rapidamente quando usado. No entanto, este banco de dados não consegue detectar todos os vírus conhecidos.
- Estendido – esta base é suportada pela maioria dos modelos FortiGate. Ele pode ser usado para detectar vírus que não estão mais ativos. Muitas plataformas ainda são vulneráveis a esses vírus. Além disso, esses vírus podem causar problemas no futuro.
- E a última base extrema (Extreme) - é utilizada em infraestruturas onde é necessário um elevado nível de segurança. Com sua ajuda, você pode detectar todos os vírus conhecidos, incluindo vírus direcionados a sistemas operacionais desatualizados, que não são amplamente distribuídos no momento. Este tipo de banco de dados de assinaturas também não é compatível com todos os modelos FortiGate.
Há também um banco de dados de assinaturas compacto projetado para digitalização rápida. Falaremos sobre isso um pouco mais tarde.
Você pode atualizar bancos de dados antivírus usando métodos diferentes.
O primeiro método é o Push Update, que permite que os bancos de dados sejam atualizados assim que o banco de dados de pesquisa FortiGuard lança uma atualização. Isto é útil para infraestruturas que requerem um elevado nível de segurança, uma vez que o FortiGate receberá atualizações urgentes assim que estiverem disponíveis.
O segundo método é definir um cronograma. Dessa forma, você pode verificar atualizações a cada hora, dia ou semana. Ou seja, aqui o intervalo de tempo fica a seu critério.
Esses métodos podem ser usados juntos.
Mas é preciso ter em mente que para que as atualizações sejam feitas é necessário habilitar o perfil do antivírus para pelo menos uma política de firewall. Caso contrário, as atualizações não serão feitas.
Você também pode baixar atualizações do site de suporte da Fortinet e carregá-las manualmente no FortiGate.
Vejamos os modos de digitalização. Existem apenas três deles - Modo Completo no modo Baseado em Fluxo, Modo Rápido no modo Baseado em Fluxo e Modo Completo no modo proxy. Vamos começar com o modo Full no modo Flow.
Digamos que um usuário queira baixar um arquivo. Ele envia um pedido. O servidor começa a enviar-lhe os pacotes que compõem o arquivo. O usuário recebe imediatamente esses pacotes. Mas antes de entregar esses pacotes ao usuário, o FortiGate os armazena em cache. Depois que o FortiGate recebe o último pacote, ele começa a verificar o arquivo. Neste momento, o último pacote está na fila e não é transmitido ao usuário. Se o arquivo não contiver vírus, o pacote mais recente será enviado ao usuário. Se um vírus for detectado, o FortiGate interrompe a conexão com o usuário.
O segundo modo de digitalização disponível no Flow Based é o Modo Rápido. Ele usa um banco de dados de assinaturas compacto, que contém menos assinaturas do que um banco de dados normal. Também possui algumas limitações em comparação ao Modo Completo:
- Não é possível enviar arquivos para a sandbox
- Não pode usar análise heurística
- Também não pode usar pacotes relacionados a malware móvel
- Alguns modelos básicos não suportam este modo.
O modo rápido também verifica o tráfego em busca de vírus, worms, trojans e malware, mas sem buffer. Isso proporciona melhor desempenho, mas ao mesmo tempo a probabilidade de detecção de vírus é reduzida.
No modo Proxy, o único modo de digitalização disponível é o Modo Completo. Com essa verificação, o FortiGate primeiro armazena o arquivo inteiro em si mesmo (a menos, é claro, que o tamanho de arquivo permitido para verificação seja excedido). O cliente deve aguardar a conclusão da verificação. Se um vírus for detectado durante a verificação, o usuário será notificado imediatamente. Como o FortiGate primeiro salva o arquivo inteiro e depois o verifica, isso pode levar muito tempo. Por isso, é possível que o cliente encerre a conexão antes de receber o arquivo devido a um grande atraso.
A figura abaixo mostra uma tabela de comparação dos modos de digitalização - ela o ajudará a determinar qual tipo de digitalização é adequado para suas tarefas. A configuração e verificação da funcionalidade do antivírus são discutidas na prática no vídeo no final do artigo.
Vamos para a segunda parte da lição - o sistema de prevenção de intrusões. Mas para começar a estudar IPS, você precisa entender a diferença entre exploits e anomalias, e também entender quais mecanismos o FortiGate usa para se proteger contra eles.
Exploits são ataques conhecidos com padrões específicos que podem ser detectados usando assinaturas IPS, WAF ou antivírus.
Anomalias são comportamentos incomuns em uma rede, como uma quantidade incomum de tráfego ou consumo de CPU superior ao normal. As anomalias precisam ser monitoradas porque podem ser sinais de um ataque novo e inexplorado. As anomalias geralmente são detectadas por meio de análise comportamental – as chamadas assinaturas baseadas em taxas e políticas DoS.
Como resultado, o IPS no FortiGate usa bases de assinatura para detectar ataques conhecidos e assinaturas baseadas em taxas e políticas DoS para detectar várias anomalias.
Por padrão, um conjunto inicial de assinaturas IPS é incluído em cada versão do sistema operacional FortiGate. Com as atualizações, o FortiGate recebe novas assinaturas. Dessa forma, o IPS permanece eficaz contra novas explorações. O FortiGuard atualiza as assinaturas IPS com bastante frequência.
Um ponto importante que se aplica tanto ao IPS quanto ao antivírus é que, caso suas licenças tenham expirado, você ainda poderá usar as últimas assinaturas recebidas. Mas você não conseguirá obter novos sem licenças. Portanto, a ausência de licenças é extremamente indesejável - caso surjam novos ataques, você não conseguirá se proteger com assinaturas antigas.
Os bancos de dados de assinaturas IPS são divididos em regulares e estendidos. Um banco de dados típico contém assinaturas de ataques comuns que raramente ou nunca causam falsos positivos. A ação pré-configurada para a maioria dessas assinaturas é bloquear.
O banco de dados estendido contém assinaturas de ataque adicionais que têm um impacto significativo no desempenho do sistema ou que não podem ser bloqueadas devido à sua natureza especial. Devido ao tamanho deste banco de dados, ele não está disponível em modelos FortiGate com disco ou RAM pequenos. Mas para ambientes altamente seguros, pode ser necessário usar uma base estendida.
A configuração e verificação da funcionalidade do IPS também são discutidas no vídeo abaixo.
Na próxima lição veremos como trabalhar com usuários. Para não perder, acompanhe as atualizações nos seguintes canais:
Fonte: habr.com