Pozdravi! Dobrodošli v sedmi lekciji tečaja . Na seznanili smo se z varnostnimi profili, kot so spletno filtriranje, nadzor aplikacij in pregled HTTPS. V tej lekciji bomo nadaljevali naš uvod v varnostne profile. Najprej se bomo seznanili s teoretičnimi vidiki delovanja protivirusnega sistema in sistema za preprečevanje vdorov, nato pa si bomo ogledali, kako ti varnostni profili delujejo v praksi.
Začnimo z antivirusom. Najprej se pogovorimo o tehnologijah, ki jih FortiGate uporablja za odkrivanje virusov:
Protivirusno skeniranje je najlažji in najhitrejši način odkrivanja virusov. Zazna viruse, ki se popolnoma ujemajo s podpisi v protivirusni zbirki podatkov.
Grayware Scan ali skeniranje neželenih programov – ta tehnologija zazna neželene programe, ki so nameščeni brez vednosti ali soglasja uporabnika. Tehnično ti programi niso virusi. Običajno so priloženi drugim programom, vendar po namestitvi negativno vplivajo na sistem, zato jih uvrščamo med zlonamerne programe. Takšne programe je pogosto mogoče odkriti s preprostimi podpisi sive programske opreme iz raziskovalne baze FortiGuard.
Hevristično skeniranje – ta tehnologija temelji na verjetnostih, zato lahko njena uporaba povzroči lažne pozitivne učinke, lahko pa tudi zazna zero day viruse. Zero day virusi so novi virusi, ki še niso bili raziskani in ni podpisov, ki bi jih lahko zaznali. Hevristično skeniranje privzeto ni omogočeno in mora biti omogočeno v ukazni vrstici.
Če so omogočene vse protivirusne zmožnosti, jih FortiGate uporabi v naslednjem vrstnem redu: protivirusno skeniranje, skeniranje sive programske opreme, hevristično skeniranje.
FortiGate lahko uporablja več protivirusnih baz podatkov, odvisno od nalog:
- Običajna protivirusna zbirka podatkov (Normal) - vsebovana v vseh modelih FortiGate. Vključuje podpise za viruse, ki so bili odkriti v zadnjih mesecih. To je najmanjša protivirusna zbirka podatkov, zato ob uporabi najhitreje skenira. Vendar ta zbirka podatkov ne more odkriti vseh znanih virusov.
- Razširjeno - to osnovo podpira večina modelov FortiGate. Uporablja se lahko za odkrivanje virusov, ki niso več aktivni. Številne platforme so še vedno ranljive za te viruse. Poleg tega lahko ti virusi povzročijo težave v prihodnosti.
- In zadnja, skrajna osnova (Extreme) - uporablja se v infrastrukturah, kjer se zahteva visoka stopnja varnosti. Z njegovo pomočjo lahko odkrijete vse znane viruse, vključno z virusi, namenjenimi zastarelim operacijskim sistemom, ki trenutno niso široko razširjeni. Te vrste baze podatkov podpisov tudi ne podpirajo vsi modeli FortiGate.
Obstaja tudi kompaktna podatkovna baza podpisov, zasnovana za hitro skeniranje. O tem bomo govorili malo kasneje.
Protivirusne zbirke podatkov lahko posodobite na različne načine.
Prva metoda je Push Update, ki omogoča posodobitev baz podatkov takoj, ko raziskovalna podatkovna baza FortiGuard izda posodobitev. To je uporabno za infrastrukture, ki zahtevajo visoko raven varnosti, saj bo FortiGate prejel nujne posodobitve takoj, ko bodo na voljo.
Druga metoda je nastavitev urnika. Tako lahko vsako uro, dan ali teden preverite, ali so na voljo posodobitve. To pomeni, da je tukaj časovni razpon nastavljen po vaši presoji.
Te metode se lahko uporabljajo skupaj.
Vendar morate upoštevati, da morate za posodobitve omogočiti protivirusni profil za vsaj en pravilnik požarnega zidu. V nasprotnem primeru posodobitve ne bodo izvedene.
Posodobitve lahko prenesete tudi s spletnega mesta za podporo Fortinet in jih nato ročno naložite v FortiGate.
Oglejmo si načine skeniranja. Obstajajo samo trije - polni način v načinu, ki temelji na toku, hitri način v načinu, ki temelji na toku, in polni način v načinu posrednika. Začnimo s polnim načinom v načinu Flow.
Recimo, da uporabnik želi prenesti datoteko. Pošlje prošnjo. Strežnik mu začne pošiljati pakete, ki sestavljajo datoteko. Uporabnik te pakete prejme takoj. Toda preden te pakete dostavi uporabniku, jih FortiGate shrani v predpomnilnik. Ko FortiGate prejme zadnji paket, začne skenirati datoteko. V tem času je zadnji paket v čakalni vrsti in ni poslan uporabniku. Če datoteka ne vsebuje virusov, se uporabniku pošlje zadnji paket. Če je zaznan virus, FortiGate prekine povezavo z uporabnikom.
Drugi način skeniranja, ki je na voljo v Flow Based, je hitri način. Uporablja kompaktno podatkovno zbirko podpisov, ki vsebuje manj podpisov kot navadna baza podatkov. V primerjavi s polnim načinom ima tudi nekaj omejitev:
- Ne more poslati datotek v peskovnik
- Ne more uporabljati hevristične analize
- Prav tako ne more uporabljati paketov, povezanih z zlonamerno programsko opremo za mobilne naprave
- Nekateri osnovni modeli tega načina ne podpirajo.
Hitri način prav tako preverja promet za viruse, črve, trojance in zlonamerno programsko opremo, vendar brez medpomnjenja. To zagotavlja boljše delovanje, hkrati pa se zmanjša verjetnost odkrivanja virusa.
V načinu proxy je edini razpoložljiv način skeniranja polni način. Pri takem skeniranju FortiGate najprej shrani celotno datoteko pri sebi (če seveda ni presežena dovoljena velikost datoteke za skeniranje). Stranka mora počakati, da se skeniranje konča. Če je med skeniranjem odkrit virus, bo uporabnik o tem takoj obveščen. Ker FortiGate najprej shrani celotno datoteko in jo nato skenira, lahko to traja precej dolgo. Zaradi tega je možno, da odjemalec prekine povezavo, preden prejme datoteko zaradi velike zamude.
Spodnja slika prikazuje primerjalno tabelo za načine skeniranja - pomagala vam bo ugotoviti, katera vrsta skeniranja je primerna za vaše naloge. Nastavitev in preverjanje delovanja protivirusnega programa je v praksi obravnavano v videu na koncu članka.
Preidimo na drugi del lekcije - sistem za preprečevanje vdorov. Če pa želite začeti preučevati IPS, morate razumeti razliko med izkoriščanji in anomalijami ter razumeti, katere mehanizme FortiGate uporablja za zaščito pred njimi.
Izkoriščanja so znani napadi s posebnimi vzorci, ki jih je mogoče odkriti z uporabo IPS, WAF ali protivirusnih podpisov.
Anomalije so nenavadno vedenje v omrežju, kot je nenavadno velika količina prometa ali večja poraba procesorja od običajne. Anomalije je treba spremljati, ker so lahko znaki novega, neraziskanega napada. Anomalije se običajno odkrijejo z vedenjsko analizo – tako imenovanimi podpisi na podlagi stopnje in politikami DoS.
Posledično IPS na FortiGate uporablja baze podpisov za odkrivanje znanih napadov ter podpise na podlagi stopnje in politike DoS za odkrivanje različnih anomalij.
Privzeto je začetni niz podpisov IPS vključen v vsako različico operacijskega sistema FortiGate. S posodobitvami prejme FortiGate nove podpise. Na ta način IPS ostaja učinkovit proti novim izkoriščanjem. FortiGuard zelo pogosto posodablja podpise IPS.
Pomembna točka, ki velja za IPS in protivirusni program, je, da lahko še vedno uporabljate zadnje prejete podpise, če so vam licence potekle. Toda novih ne boste mogli dobiti brez licenc. Zato je odsotnost licenc izjemno nezaželena - če se pojavijo novi napadi, se ne boste mogli zaščititi s starimi podpisi.
Baze podpisov IPS delimo na običajne in razširjene. Tipična zbirka podatkov vsebuje podpise za običajne napade, ki le redko ali nikoli ne povzročijo lažno pozitivnih rezultatov. Vnaprej konfigurirano dejanje za večino teh podpisov je blokiranje.
Razširjena zbirka podatkov vsebuje dodatne podpise napadov, ki pomembno vplivajo na delovanje sistema ali ki jih ni mogoče blokirati zaradi njihove posebne narave. Zaradi velikosti te baze podatkov ni na voljo na modelih FortiGate z majhnim diskom ali RAM-om. Toda za zelo varna okolja boste morda morali uporabiti razširjeno bazo.
Nastavitev in preverjanje delovanja IPS je obravnavano tudi v spodnjem videu.
V naslednji lekciji si bomo ogledali delo z uporabniki. Da tega ne zamudite, spremljajte novosti na naslednjih kanalih:
Vir: www.habr.com