pershendetje! Mirë se vini në mësimin e shtatë të kursit . në ne u njohëm me profile të tilla sigurie si Filtrimi i Uebit, Kontrolli i Aplikacioneve dhe inspektimi HTTPS. Në këtë mësim do të vazhdojmë prezantimin tonë me profilet e sigurisë. Së pari, do të njihemi me aspektet teorike të funksionimit të një sistemi antivirus dhe parandalimit të ndërhyrjeve, dhe më pas do të shohim se si funksionojnë në praktikë këto profile sigurie.
Le të fillojmë me antivirusin. Së pari, le të diskutojmë teknologjitë që përdor FortiGate për të zbuluar viruset:
Skanimi antivirus është metoda më e lehtë dhe më e shpejtë për zbulimin e viruseve. Ai zbulon viruse që përputhen plotësisht me nënshkrimet e përfshira në bazën e të dhënave antivirus.
Grayware Scan ose skanim i padëshiruar i programeve - kjo teknologji zbulon programe të padëshiruara që janë instaluar pa dijeninë ose pëlqimin e përdoruesit. Teknikisht, këto programe nuk janë viruse. Zakonisht ato vijnë të bashkuara me programe të tjera, por kur instalohen ato ndikojnë negativisht në sistem, për këtë arsye klasifikohen si malware. Shpesh programe të tilla mund të zbulohen duke përdorur nënshkrime të thjeshta grayware nga baza kërkimore e FortiGuard.
Skanimi heuristik - kjo teknologji bazohet në probabilitete, kështu që përdorimi i saj mund të shkaktojë efekte false pozitive, por gjithashtu mund të zbulojë viruset e ditës zero. Viruset e ditës zero janë viruse të reja që nuk janë studiuar ende dhe nuk ka asnjë nënshkrim që mund t'i zbulojë ato. Skanimi heuristik nuk është i aktivizuar si parazgjedhje dhe duhet të aktivizohet në vijën e komandës.
Nëse të gjitha aftësitë antivirus janë të aktivizuara, FortiGate i zbaton ato në rendin e mëposhtëm: skanim antivirus, skanim grayware, skanim heuristik.
FortiGate mund të përdorë disa baza të dhënash antivirus, në varësi të detyrave:
- Baza e të dhënave normale antivirus (Normal) - gjendet në të gjitha modelet FortiGate. Ai përfshin nënshkrime për viruset që janë zbuluar muajt e fundit. Kjo është baza më e vogël e të dhënave antivirus, kështu që skanon më shpejt kur përdoret. Megjithatë, kjo bazë të dhënash nuk mund të zbulojë të gjithë viruset e njohur.
- E zgjeruar - kjo bazë mbështetet nga shumica e modeleve FortiGate. Mund të përdoret për të zbuluar viruse që nuk janë më aktivë. Shumë platforma janë ende të ndjeshme ndaj këtyre viruseve. Gjithashtu, këto viruse mund të shkaktojnë probleme në të ardhmen.
- Dhe baza e fundit, ekstreme (Extreme) - përdoret në infrastruktura ku kërkohet një nivel i lartë sigurie. Me ndihmën e tij, ju mund të zbuloni të gjitha viruset e njohura, përfshirë viruset që synojnë sistemet operative të vjetëruara, të cilat nuk janë të shpërndara gjerësisht për momentin. Ky lloj i bazës së të dhënave të nënshkrimit gjithashtu nuk mbështetet nga të gjitha modelet e FortiGate.
Ekziston gjithashtu një bazë të dhënash kompakte me nënshkrime e krijuar për skanim të shpejtë. Ne do të flasim për të pak më vonë.
Ju mund të përditësoni bazat e të dhënave antivirus duke përdorur metoda të ndryshme.
Metoda e parë është Push Update, e cila lejon që bazat e të dhënave të përditësohen sapo baza e të dhënave kërkimore e FortiGuard lëshon një përditësim. Kjo është e dobishme për infrastrukturat që kërkojnë një nivel të lartë sigurie, pasi FortiGate do të marrë përditësime urgjente sapo të jenë të disponueshme.
Mënyra e dytë është të vendosni një orar. Në këtë mënyrë mund të kontrolloni për përditësime çdo orë, ditë ose javë. Kjo do të thotë, këtu diapazoni kohor vendoset sipas gjykimit tuaj.
Këto metoda mund të përdoren së bashku.
Por duhet të keni parasysh se në mënyrë që të bëhen përditësime, duhet të aktivizoni profilin e antivirusit për të paktën një politikë të murit të zjarrit. Përndryshe, përditësimet nuk do të bëhen.
Ju gjithashtu mund të shkarkoni përditësime nga faqja e mbështetjes së Fortinet dhe më pas t'i ngarkoni ato manualisht në FortiGate.
Le të shohim mënyrat e skanimit. Ka vetëm tre prej tyre - "Modaliteti i plotë" në modalitetin "Bazuar në rrjedhën", "Modaliteti i shpejtë" në modalitetin "Bazuar në rrjedhën" dhe "Modaliteti i plotë" në modalitetin "proxy". Le të fillojmë me modalitetin e plotë në modalitetin e rrjedhës.
Le të themi se një përdorues dëshiron të shkarkojë një skedar. Ai dërgon një kërkesë. Serveri fillon t'i dërgojë atij pako që përbëjnë skedarin. Përdoruesi i merr menjëherë këto paketa. Por përpara se t'i dorëzojë këto pako te përdoruesi, FortiGate i ruan ato. Pasi FortiGate merr paketën e fundit, ai fillon të skanojë skedarin. Në këtë kohë, paketa e fundit është në radhë dhe nuk i transmetohet përdoruesit. Nëse skedari nuk përmban viruse, paketa më e fundit i dërgohet përdoruesit. Nëse zbulohet një virus, FortiGate prish lidhjen me përdoruesin.
Modaliteti i dytë i skanimit i disponueshëm në Flow Based është Modaliteti i Shpejtë. Ai përdor një bazë të dhënash kompakte nënshkrimesh, e cila përmban më pak nënshkrime sesa një bazë të dhënash e rregullt. Ai gjithashtu ka disa kufizime në krahasim me modalitetin e plotë:
- Nuk mund të dërgojë skedarë në sandbox
- Nuk mund të përdorë analizën heuristike
- Gjithashtu nuk mund të përdorë paketa që lidhen me malware celular
- Disa modele të nivelit fillestar nuk e mbështesin këtë modalitet.
Modaliteti i shpejtë kontrollon gjithashtu trafikun për viruse, krimba, trojans dhe malware, por pa buffering. Kjo siguron performancë më të mirë, por në të njëjtën kohë zvogëlohet mundësia e zbulimit të një virusi.
Në modalitetin "Proxy", e vetmja mënyrë skanimi e disponueshme është "Modaliteti i plotë". Me një skanim të tillë, FortiGate së pari ruan të gjithë skedarin në vetvete (përveç nëse, sigurisht, tejkalohet madhësia e lejuar e skedarit për skanim). Klienti duhet të presë që skanimi të përfundojë. Nëse zbulohet një virus gjatë skanimit, përdoruesi do të njoftohet menjëherë. Për shkak se FortiGate së pari ruan të gjithë skedarin dhe më pas e skanon atë, kjo mund të zgjasë mjaft kohë. Për shkak të kësaj, është e mundur që klienti të ndërpresë lidhjen përpara se të marrë skedarin për shkak të një vonese të gjatë.
Figura më poshtë tregon një tabelë krahasimi për mënyrat e skanimit - do t'ju ndihmojë të përcaktoni se cili lloj skanimi është i përshtatshëm për detyrat tuaja. Vendosja dhe kontrollimi i funksionalitetit të antivirusit diskutohet në praktikë në videon në fund të artikullit.
Le të kalojmë në pjesën e dytë të mësimit - sistemi i parandalimit të ndërhyrjeve. Por për të filluar studimin e IPS, duhet të kuptoni ndryshimin midis shfrytëzimeve dhe anomalive, dhe gjithashtu të kuptoni se çfarë mekanizmash përdor FortiGate për t'u mbrojtur kundër tyre.
Shfrytëzimet janë sulme të njohura me modele specifike që mund të zbulohen duke përdorur nënshkrime IPS, WAF ose antivirus.
Anomalitë janë sjellje të pazakonta në një rrjet, të tilla si një sasi jashtëzakonisht e madhe trafiku ose më e lartë se konsumi normal i CPU-së. Anomalitë duhet të monitorohen sepse mund të jenë shenja të një sulmi të ri, të paeksploruar. Anomalitë zakonisht zbulohen duke përdorur analizën e sjelljes - të ashtuquajturat nënshkrime të bazuara në normë dhe politika të DoS.
Si rezultat, IPS në FortiGate përdor bazat e nënshkrimit për të zbuluar sulmet e njohura, dhe nënshkrimet e bazuara në normë dhe politikat DoS për të zbuluar anomali të ndryshme.
Si parazgjedhje, një grup fillestar i nënshkrimeve IPS përfshihet me çdo version të sistemit operativ FortiGate. Me përditësime, FortiGate merr nënshkrime të reja. Në këtë mënyrë, IPS mbetet efektive kundër shfrytëzimeve të reja. FortiGuard përditëson nënshkrimet IPS mjaft shpesh.
Një pikë e rëndësishme që vlen si për IPS ashtu edhe për antivirusin është se nëse licencat tuaja kanë skaduar, mund të përdorni ende nënshkrimet më të fundit të marra. Por nuk do të mund të merrni të reja pa licenca. Prandaj, mungesa e licencave është jashtëzakonisht e padëshirueshme - nëse shfaqen sulme të reja, nuk do të jeni në gjendje të mbroheni me nënshkrime të vjetra.
Bazat e të dhënave të nënshkrimit IPS ndahen në të rregullta dhe të zgjeruara. Një bazë e të dhënave tipike përmban nënshkrime për sulme të zakonshme që rrallë ose kurrë nuk shkaktojnë rezultate false. Veprimi i parakonfiguruar për shumicën e këtyre nënshkrimeve është bllok.
Baza e të dhënave të zgjeruara përmban nënshkrime shtesë sulmi që kanë një ndikim të rëndësishëm në performancën e sistemit, ose që nuk mund të bllokohen për shkak të natyrës së tyre të veçantë. Për shkak të madhësisë së kësaj baze të dhënash, ajo nuk është e disponueshme në modelet FortiGate me disk të vogël ose RAM. Por për mjedise shumë të sigurta, mund t'ju duhet të përdorni një bazë të zgjeruar.
Vendosja dhe kontrollimi i funksionalitetit të IPS diskutohet gjithashtu në videon më poshtë.
Në mësimin tjetër do të shikojmë punën me përdoruesit. Për të mos e humbur, ndiqni përditësimet në kanalet e mëposhtme:
Burimi: www.habr.com