Salutari! Bun venit la a șaptea lecție a cursului . pe ne-am familiarizat cu astfel de profiluri de securitate precum filtrarea web, controlul aplicațiilor și inspecția HTTPS. În această lecție vom continua introducerea în profilurile de securitate. În primul rând, ne vom familiariza cu aspectele teoretice ale funcționării unui sistem antivirus și de prevenire a intruziunilor, apoi ne vom uita la modul în care funcționează aceste profiluri de securitate în practică.
Să începem cu antivirusul. Mai întâi, să discutăm despre tehnologiile pe care FortiGate le folosește pentru a detecta viruși:
Scanarea antivirus este cea mai simplă și rapidă metodă de detectare a virușilor. Detectează viruși care se potrivesc complet cu semnăturile conținute în baza de date antivirus.
Scanarea Grayware sau scanarea programelor nedorite - această tehnologie detectează programele nedorite care sunt instalate fără știrea sau acordul utilizatorului. Din punct de vedere tehnic, aceste programe nu sunt viruși. Ele vin de obicei la pachet cu alte programe, dar atunci când sunt instalate afectează negativ sistemul, motiv pentru care sunt clasificate drept malware. Adesea, astfel de programe pot fi detectate folosind semnături grayware simple din baza de cercetare FortiGuard.
Scanare euristică - această tehnologie se bazează pe probabilități, astfel încât utilizarea sa poate provoca efecte fals pozitive, dar poate detecta și viruși zero day. Virușii Zero Day sunt viruși noi care nu au fost încă studiati și nu există semnături care să-i detecteze. Scanarea euristică nu este activată în mod implicit și trebuie să fie activată pe linia de comandă.
Dacă toate capabilitățile antivirus sunt activate, FortiGate le aplică în următoarea ordine: scanare antivirus, scanare grayware, scanare euristică.
FortiGate poate folosi mai multe baze de date antivirus, în funcție de sarcini:
- Baza de date antivirus normală (Normal) - conținută în toate modelele FortiGate. Include semnături pentru viruși care au fost descoperiți în ultimele luni. Aceasta este cea mai mică bază de date antivirus, deci scanează cel mai rapid atunci când este utilizată. Cu toate acestea, această bază de date nu poate detecta toți virușii cunoscuți.
- Extins - această bază este suportată de majoritatea modelelor FortiGate. Poate fi folosit pentru a detecta viruși care nu mai sunt activi. Multe platforme sunt încă vulnerabile la acești viruși. De asemenea, acești viruși pot cauza probleme în viitor.
- Iar ultima, extremă bază (Extreme) - este utilizată în infrastructuri în care este necesar un nivel ridicat de securitate. Cu ajutorul acestuia, puteți detecta toți virușii cunoscuți, inclusiv virușii care vizează sisteme de operare învechite, care nu sunt distribuite pe scară largă în acest moment. De asemenea, acest tip de bază de date de semnături nu este acceptat de toate modelele FortiGate.
Există, de asemenea, o bază de date compactă de semnături concepută pentru scanare rapidă. Vom vorbi despre asta puțin mai târziu.
Puteți actualiza bazele de date antivirus folosind diferite metode.
Prima metodă este Push Update, care permite ca bazele de date să fie actualizate de îndată ce baza de date de cercetare FortiGuard lansează o actualizare. Acest lucru este util pentru infrastructurile care necesită un nivel ridicat de securitate, deoarece FortiGate va primi actualizări urgente de îndată ce acestea vor fi disponibile.
A doua metodă este să stabiliți un program. În acest fel, puteți verifica actualizările la fiecare oră, zi sau săptămână. Adică, aici intervalul de timp este stabilit la discreția dvs.
Aceste metode pot fi utilizate împreună.
Dar trebuie să țineți cont de faptul că, pentru a putea fi făcute actualizări, trebuie să activați profilul antivirus pentru cel puțin o politică de firewall. În caz contrar, nu se vor face actualizări.
De asemenea, puteți descărca actualizări de pe site-ul de asistență Fortinet și apoi le puteți încărca manual în FortiGate.
Să ne uităm la modurile de scanare. Există doar trei dintre ele - Modul complet în modul bazat pe flux, Modul rapid în modul bazat pe flux și Modul complet în modul proxy. Să începem cu modul complet în modul flux.
Să presupunem că un utilizator dorește să descarce un fișier. El trimite o cerere. Serverul începe să-i trimită pachete care alcătuiesc fișierul. Utilizatorul primește imediat aceste pachete. Dar înainte de a livra aceste pachete utilizatorului, FortiGate le memorează în cache. După ce FortiGate primește ultimul pachet, începe scanarea fișierului. În acest moment, ultimul pachet este pus în coadă și nu este transmis utilizatorului. Dacă fișierul nu conține viruși, cel mai recent pachet este trimis utilizatorului. Dacă este detectat un virus, FortiGate întrerupe conexiunea cu utilizatorul.
Al doilea mod de scanare disponibil în Flow Based este Modul rapid. Utilizează o bază de date compactă de semnături, care conține mai puține semnături decât o bază de date obișnuită. Are, de asemenea, câteva limitări în comparație cu Modul complet:
- Nu poate trimite fișiere în sandbox
- Nu poate folosi analiza euristică
- De asemenea, nu poate folosi pachete legate de malware mobil
- Unele modele entry level nu acceptă acest mod.
Modul rapid verifică, de asemenea, traficul pentru viruși, viermi, troieni și programe malware, dar fără tamponare. Acest lucru oferă performanțe mai bune, dar, în același timp, probabilitatea de a detecta un virus este redusă.
În modul Proxy, singurul mod de scanare disponibil este Modul complet. Cu o astfel de scanare, FortiGate stochează mai întâi întregul fișier pe sine (cu excepția cazului în care, desigur, dimensiunea permisă a fișierului pentru scanare este depășită). Clientul trebuie să aștepte finalizarea scanării. Dacă în timpul scanării este detectat un virus, utilizatorul va fi anunțat imediat. Deoarece FortiGate salvează mai întâi întregul fișier și apoi îl scanează, acest lucru poate dura destul de mult. Din acest motiv, este posibil ca clientul să încheie conexiunea înainte de a primi fișierul din cauza unei întârzieri mari.
Figura de mai jos prezintă un tabel de comparație pentru modurile de scanare - vă va ajuta să determinați ce tip de scanare este potrivit pentru sarcinile dvs. Configurarea și verificarea funcționalității antivirusului este discutată în practică în videoclipul de la sfârșitul articolului.
Să trecem la a doua parte a lecției - sistemul de prevenire a intruziunilor. Dar pentru a începe să studiați IPS, trebuie să înțelegeți diferența dintre exploatări și anomalii și, de asemenea, să înțelegeți ce mecanisme folosește FortiGate pentru a vă proteja împotriva acestora.
Exploit-urile sunt atacuri cunoscute cu modele specifice care pot fi detectate folosind semnături IPS, WAF sau antivirus.
Anomaliile sunt comportamente neobișnuite într-o rețea, cum ar fi o cantitate neobișnuit de mare de trafic sau un consum mai mare decât normal al procesorului. Anomaliile trebuie monitorizate deoarece pot fi semne ale unui nou atac neexplorat. Anomaliile sunt de obicei detectate folosind analiza comportamentală - așa-numitele semnături bazate pe rate și politici DoS.
Ca rezultat, IPS pe FortiGate folosește baze de semnătură pentru a detecta atacurile cunoscute și semnături bazate pe rate și politici DoS pentru a detecta diverse anomalii.
În mod implicit, un set inițial de semnături IPS este inclus cu fiecare versiune a sistemului de operare FortiGate. Cu actualizări, FortiGate primește noi semnături. În acest fel, IPS rămâne eficient împotriva noilor exploit-uri. FortiGuard actualizează destul de des semnăturile IPS.
Un punct important care se aplică atât pentru IPS, cât și pentru antivirus este că, dacă licențele dvs. au expirat, puteți utiliza în continuare cele mai recente semnături primite. Dar nu veți putea obține altele noi fără licențe. Prin urmare, absența licențelor este extrem de nedorită - dacă apar atacuri noi, nu vă veți putea proteja cu semnături vechi.
Bazele de date de semnături IPS sunt împărțite în obișnuite și extinse. O bază de date tipică conține semnături pentru atacuri obișnuite care rareori sau niciodată provoacă rezultate false pozitive. Acțiunea preconfigurată pentru majoritatea acestor semnături este blocare.
Baza de date extinsă conține semnături de atac suplimentare care au un impact semnificativ asupra performanței sistemului sau care nu pot fi blocate din cauza naturii lor speciale. Din cauza dimensiunii acestei baze de date, aceasta nu este disponibilă pe modelele FortiGate cu disc mic sau RAM. Dar pentru medii foarte sigure, poate fi necesar să utilizați o bază extinsă.
Configurarea și verificarea funcționalității IPS este, de asemenea, discutată în videoclipul de mai jos.
În lecția următoare ne vom uita la lucrul cu utilizatorii. Pentru a nu-l rata, urmăriți actualizările de pe următoarele canale:
Sursa: www.habr.com