Hälsningar! Välkommen till kursens sjunde lektion . på vi bekantade oss med säkerhetsprofiler som webbfiltrering, applikationskontroll och HTTPS-inspektion. I den här lektionen kommer vi att fortsätta vår introduktion till säkerhetsprofiler. Först ska vi bekanta oss med de teoretiska aspekterna av driften av ett antivirus- och intrångsskyddssystem, och sedan ska vi titta på hur dessa säkerhetsprofiler fungerar i praktiken.
Låt oss börja med antivirusprogrammet. Låt oss först diskutera de teknologier som FortiGate använder för att upptäcka virus:
Antivirusskanning är den enklaste och snabbaste metoden för att upptäcka virus. Den upptäcker virus som helt matchar signaturerna i antivirusdatabasen.
Grayware Scan eller oönskad programskanning - denna teknik upptäcker oönskade program som installeras utan användarens vetskap eller samtycke. Tekniskt sett är dessa program inte virus. De kommer vanligtvis med andra program, men när de installeras påverkar de systemet negativt, varför de klassificeras som skadlig programvara. Ofta kan sådana program upptäckas med enkla greyware-signaturer från FortiGuards forskningsbas.
Heuristisk skanning - denna teknik är baserad på sannolikheter, så användningen kan orsaka falska positiva effekter, men den kan också upptäcka nolldagsvirus. Zero day virus är nya virus som ännu inte har studerats, och det finns inga signaturer som kan upptäcka dem. Heuristisk skanning är inte aktiverad som standard och måste aktiveras på kommandoraden.
Om alla antivirusfunktioner är aktiverade, tillämpar FortiGate dem i följande ordning: antivirusskanning, gråprogramsskanning, heuristisk skanning.
FortiGate kan använda flera antivirusdatabaser, beroende på uppgifterna:
- Normal antivirusdatabas (Normal) - finns i alla FortiGate-modeller. Den innehåller signaturer för virus som har upptäckts de senaste månaderna. Detta är den minsta antivirusdatabasen, så den skannar snabbast när den används. Denna databas kan dock inte upptäcka alla kända virus.
- Utökad - denna bas stöds av de flesta FortiGate-modeller. Den kan användas för att upptäcka virus som inte längre är aktiva. Många plattformar är fortfarande sårbara för dessa virus. Dessa virus kan också orsaka problem i framtiden.
- Och den sista, extrema basen (Extreme) - används i infrastrukturer där en hög säkerhetsnivå krävs. Med dess hjälp kan du upptäcka alla kända virus, inklusive virus som riktar sig mot föråldrade operativsystem, som inte är allmänt spridda för tillfället. Denna typ av signaturdatabas stöds inte heller av alla FortiGate-modeller.
Det finns också en kompakt signaturdatabas utformad för snabb skanning. Vi ska prata om det lite senare.
Du kan uppdatera antivirusdatabaser med olika metoder.
Den första metoden är Push Update, som gör att databaser kan uppdateras så snart FortiGuards forskningsdatabas släpper en uppdatering. Detta är användbart för infrastrukturer som kräver en hög säkerhetsnivå, eftersom FortiGate kommer att få brådskande uppdateringar så snart de är tillgängliga.
Den andra metoden är att sätta ett schema. På så sätt kan du söka efter uppdateringar varje timme, dag eller vecka. Det vill säga, här ställs tidsintervallet in efter eget gottfinnande.
Dessa metoder kan användas tillsammans.
Men du måste komma ihåg att för att uppdateringar ska kunna göras måste du aktivera antivirusprofilen för minst en brandväggspolicy. Annars kommer inga uppdateringar att göras.
Du kan också ladda ner uppdateringar från Fortinets supportwebbplats och sedan ladda upp dem manuellt till FortiGate.
Låt oss titta på skanningslägena. Det finns bara tre av dem - fullt läge i flödesbaserat läge, snabbläge i flödesbaserat läge och fullt läge i proxyläge. Låt oss börja med Full Mode i Flow-läge.
Låt oss säga att en användare vill ladda ner en fil. Han skickar en förfrågan. Servern börjar skicka honom paket som utgör filen. Användaren får omedelbart dessa paket. Men innan de levererar dessa paket till användaren cachar FortiGate dem. Efter att FortiGate tagit emot det sista paketet börjar den skanna filen. Vid denna tidpunkt är det sista paketet i kö och överförs inte till användaren. Om filen inte innehåller virus skickas det senaste paketet till användaren. Om ett virus upptäcks bryter FortiGate förbindelsen med användaren.
Det andra skanningsläget som är tillgängligt i Flow Based är Quick Mode. Den använder en kompakt signaturdatabas, som innehåller färre signaturer än en vanlig databas. Det har också några begränsningar jämfört med Full Mode:
- Det kan inte skicka filer till sandlådan
- Den kan inte använda heuristisk analys
- Det kan inte heller använda paket relaterade till mobil skadlig programvara
- Vissa instegsmodeller stöder inte detta läge.
Snabbläge kontrollerar också trafiken efter virus, maskar, trojaner och skadlig kod, men utan buffring. Detta ger bättre prestanda, men samtidigt minskar sannolikheten att upptäcka ett virus.
I proxyläge är det enda tillgängliga skanningsläget Full Mode. Med en sådan skanning lagrar FortiGate först hela filen på sig själv (såvida inte, naturligtvis, den tillåtna filstorleken för skanning överskrids). Klienten måste vänta på att skanningen ska slutföras. Om ett virus upptäcks under skanningen kommer användaren att meddelas omedelbart. Eftersom FortiGate först sparar hela filen och sedan skannar den, kan detta ta ganska lång tid. På grund av detta är det möjligt för klienten att avsluta anslutningen innan den tar emot filen på grund av en lång fördröjning.
Bilden nedan visar en jämförelsetabell för skanningslägen - den hjälper dig att avgöra vilken typ av skanning som är lämplig för dina uppgifter. Att ställa in och kontrollera antivirusprogrammets funktionalitet diskuteras i praktiken i videon i slutet av artikeln.
Låt oss gå vidare till den andra delen av lektionen - systemet för förebyggande av intrång. Men för att börja studera IPS måste du förstå skillnaden mellan utnyttjande och anomalier, och även förstå vilka mekanismer FortiGate använder för att skydda mot dem.
Exploater är kända attacker med specifika mönster som kan upptäckas med hjälp av IPS, WAF eller antivirussignaturer.
Avvikelser är ovanligt beteende på ett nätverk, till exempel en ovanligt stor mängd trafik eller högre än normal CPU-förbrukning. Avvikelser måste övervakas eftersom de kan vara tecken på en ny, outforskad attack. Anomalier upptäcks vanligtvis med hjälp av beteendeanalys – så kallade hastighetsbaserade signaturer och DoS-policyer.
Som ett resultat använder IPS på FortiGate signaturbaser för att upptäcka kända attacker, och hastighetsbaserade signaturer och DoS-policyer för att upptäcka olika anomalier.
Som standard ingår en första uppsättning IPS-signaturer med varje version av FortiGate operativsystem. Med uppdateringar får FortiGate nya signaturer. På så sätt förblir IPS effektiv mot nya utnyttjande. FortiGuard uppdaterar IPS-signaturer ganska ofta.
En viktig punkt som gäller för både IPS och antivirus är att om dina licenser har gått ut kan du fortfarande använda de senast mottagna signaturerna. Men du kommer inte att kunna få nya utan licenser. Därför är frånvaron av licenser extremt oönskad - om nya attacker dyker upp kommer du inte att kunna skydda dig med gamla signaturer.
IPS-signaturdatabaser är indelade i vanliga och utökade. En typisk databas innehåller signaturer för vanliga attacker som sällan eller aldrig orsakar falska positiva resultat. Den förkonfigurerade åtgärden för de flesta av dessa signaturer är block.
Den utökade databasen innehåller ytterligare attacksignaturer som har en betydande inverkan på systemets prestanda, eller som inte kan blockeras på grund av sin speciella natur. På grund av storleken på denna databas är den inte tillgänglig på FortiGate-modeller med liten disk eller RAM. Men för mycket säkra miljöer kan du behöva använda en utökad bas.
Att ställa in och kontrollera funktionaliteten hos IPS diskuteras också i videon nedan.
I nästa lektion kommer vi att titta på att arbeta med användare. För att inte missa det, följ uppdateringarna på följande kanaler:
Källa: will.com