โปรโฮสต์ > 7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

ทักทาย! ยินดีต้อนรับสู่บทเรียนที่เจ็ดของหลักสูตร การเริ่มต้นใช้งาน Fortinet. บน บทเรียนสุดท้าย เราได้ทำความคุ้นเคยกับโปรไฟล์ความปลอดภัย เช่น การกรองเว็บ การควบคุมแอปพลิเคชัน และการตรวจสอบ HTTPS ในบทเรียนนี้ เราจะทำความคุ้นเคยกับโปรไฟล์ความปลอดภัยต่อไป ก่อนอื่นเราจะทำความคุ้นเคยกับแง่มุมทางทฤษฎีของการทำงานของระบบป้องกันไวรัสและการป้องกันการบุกรุก จากนั้นเราจะพิจารณาการทำงานของโปรไฟล์ความปลอดภัยเหล่านี้ในทางปฏิบัติ

เริ่มต้นด้วยโปรแกรมป้องกันไวรัส อันดับแรก เรามาพูดถึงเทคโนโลยีที่ FortiGate ใช้ในการตรวจจับไวรัส:
การสแกนไวรัสเป็นวิธีการตรวจจับไวรัสที่ง่ายและรวดเร็วที่สุด ตรวจพบไวรัสที่ตรงกับลายเซ็นที่มีอยู่ในฐานข้อมูลป้องกันไวรัส

การสแกนเกรย์แวร์หรือการสแกนโปรแกรมที่ไม่ต้องการ - เทคโนโลยีนี้ตรวจจับโปรแกรมที่ไม่ต้องการซึ่งติดตั้งโดยที่ผู้ใช้ไม่ทราบหรือไม่ยินยอม ในทางเทคนิคแล้วโปรแกรมเหล่านี้ไม่ใช่ไวรัส โดยปกติแล้วจะมาพร้อมกับโปรแกรมอื่น ๆ แต่เมื่อติดตั้งแล้วจะส่งผลเสียต่อระบบซึ่งเป็นเหตุผลว่าทำไมจึงจัดประเภทเป็นมัลแวร์ บ่อยครั้งที่โปรแกรมดังกล่าวสามารถตรวจจับได้โดยใช้ลายเซ็นเกรย์แวร์ธรรมดาจากฐานการวิจัยของ FortiGuard

การสแกนแบบฮิวริสติก - เทคโนโลยีนี้อิงตามความน่าจะเป็น ดังนั้นการใช้งานอาจทำให้เกิดผลบวกปลอม แต่ยังสามารถตรวจจับไวรัสซีโร่เดย์ได้อีกด้วย ไวรัสซีโร่เดย์เป็นไวรัสชนิดใหม่ที่ยังไม่ได้รับการตรวจสอบ และยังไม่มีลายเซ็นที่สามารถตรวจพบได้ การสแกนแบบฮิวริสติกไม่ได้เปิดใช้งานโดยค่าเริ่มต้น จะต้องเปิดใช้งานในบรรทัดคำสั่ง

หากเปิดใช้งานคุณสมบัติป้องกันไวรัสทั้งหมด FortiGate จะใช้คุณสมบัติเหล่านี้ตามลำดับต่อไปนี้: การสแกนไวรัส, การสแกนเกรย์แวร์, การสแกนแบบฮิวริสติก

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

FortiGate สามารถใช้ฐานข้อมูลต่อต้านไวรัสได้หลายฐานข้อมูล ขึ้นอยู่กับงาน:

  • ฐานข้อมูลป้องกันไวรัสปกติ (ปกติ) - มีอยู่ใน FortiGate'ov ทุกรุ่น รวมถึงลายเซ็นของไวรัสที่ถูกค้นพบในช่วงหลายเดือนที่ผ่านมา นี่คือฐานข้อมูลแอนตี้ไวรัสที่เล็กที่สุด ดังนั้นเมื่อใช้งาน การสแกนจะเร็วที่สุด อย่างไรก็ตาม ฐานข้อมูลนี้ไม่สามารถตรวจพบไวรัสที่รู้จักทั้งหมด
  • ขยาย (ขยาย) - ฐานนี้รองรับโดยรุ่น FortiGate ส่วนใหญ่ สามารถใช้เพื่อตรวจหาไวรัสที่ไม่ได้ใช้งานแล้ว หลายแพลตฟอร์มยังคงเสี่ยงต่อไวรัสเหล่านี้ นอกจากนี้ ไวรัสเหล่านี้ยังนำมาซึ่งปัญหาในอนาคตอีกด้วย
  • และสุดท้าย สุดขั้ว (Extreme) - ใช้ในโครงสร้างพื้นฐานที่ต้องการความปลอดภัยระดับสูง สามารถตรวจจับไวรัสที่รู้จักทั้งหมด รวมถึงไวรัสที่กำหนดเป้าหมายระบบปฏิบัติการรุ่นเก่าซึ่งปัจจุบันไม่ได้เผยแพร่อย่างกว้างขวาง ฐานข้อมูลลายเซ็นประเภทนี้ไม่รองรับโดย FortiGate ทุกรุ่น

นอกจากนี้ยังมีฐานข้อมูลลายเซ็นขนาดกะทัดรัดที่ออกแบบมาเพื่อการสแกนที่รวดเร็ว เราจะพูดถึงเรื่องนี้ในภายหลัง

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

คุณสามารถอัปเดตฐานข้อมูลป้องกันไวรัสโดยใช้วิธีการต่างๆ

วิธีแรกคือ Push Update - ช่วยให้คุณอัปเดตฐานข้อมูลทันทีที่ฐานการวิจัยของ FortiGuard เผยแพร่การอัปเดต สิ่งนี้มีประโยชน์สำหรับโครงสร้างพื้นฐานที่ต้องการความปลอดภัยระดับสูง เนื่องจาก FortiGate จะได้รับการอัปเดตอย่างเร่งด่วนทันทีที่พร้อมใช้งาน

วิธีที่สองคือการกำหนดตารางเวลา ด้วยวิธีนี้คุณสามารถตรวจสอบการอัปเดตได้ทุกชั่วโมง รายวัน หรือสัปดาห์ นั่นคือช่วงเวลาจะถูกกำหนดตามดุลยพินิจของคุณ
วิธีการเหล่านี้สามารถใช้ร่วมกันได้

แต่คุณต้องจำไว้ว่าในการอัปเดต คุณต้องเปิดใช้งานโปรไฟล์ป้องกันไวรัสสำหรับนโยบายไฟร์วอลล์อย่างน้อยหนึ่งนโยบาย มิฉะนั้นจะไม่มีการอัปเดต

คุณยังสามารถดาวน์โหลดการอัปเดตจากไซต์สนับสนุนของ Fortinet แล้วอัปโหลดด้วยตนเองไปยัง FortiGate

พิจารณาโหมดการสแกน มีเพียงสามโหมดเท่านั้น - โหมดเต็มในโหมดตามการไหล โหมดด่วนในโหมดตามการไหล และโหมดเต็มในโหมดพร็อกซี เรามาเริ่มกันที่ Full Mode ในโหมด Flow

สมมติว่าผู้ใช้ต้องการดาวน์โหลดไฟล์ เขาส่งคำขอ เซิร์ฟเวอร์เริ่มส่งแพ็กเก็ตที่สร้างไฟล์ให้เขา ผู้ใช้จะได้รับแพ็คเก็ตเหล่านี้ทันที แต่ก่อนที่จะส่งแพ็กเก็ตเหล่านี้ไปยังผู้ใช้ FortiGate จะแคชไว้ หลังจากที่ FortiGate ได้รับแพ็กเก็ตสุดท้าย จะเริ่มสแกนไฟล์ ในขณะนี้ แพ็กเก็ตสุดท้ายอยู่ในคิวและไม่ได้ส่งไปยังผู้ใช้ หากไฟล์ไม่มีไวรัส แพ็กเก็ตสุดท้ายจะถูกส่งไปยังผู้ใช้ หากตรวจพบไวรัส FortiGate จะหยุดการเชื่อมต่อกับผู้ใช้

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

โหมดสแกนที่สองที่มีใน Flow Based คือ Quick Mode ใช้ฐานข้อมูลลายเซ็นขนาดกะทัดรัดที่มีลายเซ็นน้อยกว่าฐานข้อมูลลายเซ็นปกติ นอกจากนี้ยังมีข้อจำกัดบางประการเมื่อเทียบกับโหมดเต็ม:

  • ไม่สามารถส่งไฟล์ไปยังแซนด์บ็อกซ์ได้
  • ไม่สามารถใช้การวิเคราะห์ฮิวริสติกได้
  • นอกจากนี้ยังไม่สามารถใช้แพ็คเกจที่เกี่ยวข้องกับมัลแวร์มือถือ
  • โมเดลระดับเริ่มต้นบางรุ่นไม่รองรับโหมดนี้

โหมดด่วนยังตรวจสอบทราฟฟิกเพื่อหาไวรัส เวิร์ม โทรจัน และมัลแวร์ แต่ไม่มีการบัฟเฟอร์ สิ่งนี้ให้ประสิทธิภาพที่ดีขึ้น แต่ในขณะเดียวกันความน่าจะเป็นในการตรวจจับไวรัสก็ลดลง

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

ในโหมดพร็อกซี โหมดการสแกนเดียวที่ใช้ได้คือโหมดเต็ม ด้วยการสแกนดังกล่าว FortiGate จะจัดเก็บไฟล์ทั้งหมดด้วยตัวมันเองก่อน (แน่นอนว่า เว้นแต่ขนาดไฟล์ที่อนุญาตให้สแกนเกิน) ลูกค้าต้องรอให้การสแกนเสร็จสิ้น หากตรวจพบไวรัสระหว่างการสแกน ผู้ใช้จะได้รับแจ้งทันที เนื่องจาก FortiGate จะบันทึกไฟล์ทั้งหมดก่อนแล้วจึงสแกน จึงใช้เวลานานพอสมควร ด้วยเหตุนี้จึงเป็นไปได้ที่ไคลเอ็นต์จะสิ้นสุดการเชื่อมต่อก่อนที่จะได้รับไฟล์เนื่องจากความล่าช้าเป็นเวลานาน

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

รูปภาพด้านล่างแสดงตารางเปรียบเทียบโหมดการสแกน ซึ่งจะช่วยคุณกำหนดประเภทการสแกนที่เหมาะกับงานของคุณ การกำหนดค่าและตรวจสอบประสิทธิภาพของโปรแกรมป้องกันไวรัสถือเป็นแนวทางปฏิบัติในวิดีโอที่ท้ายบทความ

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

ไปที่ส่วนที่สองของบทเรียน - ระบบป้องกันการบุกรุก แต่เพื่อเริ่มศึกษา IPS คุณต้องเข้าใจความแตกต่างระหว่างช่องโหว่และความผิดปกติ รวมถึงเข้าใจว่ากลไกใดที่ FortiGate ใช้เพื่อป้องกันสิ่งเหล่านั้น

การแสวงหาประโยชน์คือการโจมตีที่ทราบ ซึ่งมีรูปแบบเฉพาะที่สามารถตรวจจับได้โดยใช้ IPS, WAF หรือลายเซ็นป้องกันไวรัส

ความผิดปกติคือพฤติกรรมที่ผิดปกติบนเครือข่าย เช่น ปริมาณการรับส่งข้อมูลสูงผิดปกติหรือการใช้ CPU มากกว่าปกติ ความผิดปกติควรได้รับการตรวจสอบเนื่องจากอาจเป็นสัญญาณของการโจมตีแบบใหม่ที่ยังไม่ได้สำรวจ โดยปกติแล้วความผิดปกติจะถูกตรวจพบโดยใช้การวิเคราะห์พฤติกรรม ซึ่งเรียกว่าลายเซ็นตามอัตราและนโยบาย DoS

เป็นผลให้ IPS บน FortiGate ใช้ฐานลายเซ็นเพื่อตรวจจับการโจมตีที่รู้จัก และใช้ลายเซ็นตามอัตราและนโยบาย DoS เพื่อตรวจจับความผิดปกติต่างๆ

7. Fortinet การเริ่มต้น v6.0 แอนติไวรัสและ IPS

ตามค่าเริ่มต้น ชุดเริ่มต้นของลายเซ็น IPS จะรวมอยู่ในระบบปฏิบัติการ FortiGate ทุกรุ่น ด้วยการอัปเดต FortiGate ได้รับลายเซ็นใหม่ ดังนั้น IPS จึงยังคงมีประสิทธิภาพในการต่อต้านช่องโหว่ใหม่ๆ บริการ FortiGuard อัปเดตลายเซ็น IPS ค่อนข้างบ่อย

ประเด็นสำคัญที่ใช้กับทั้ง IPS และโปรแกรมป้องกันไวรัสก็คือ หากใบอนุญาตของคุณหมดอายุ คุณยังสามารถใช้ลายเซ็นล่าสุดที่คุณได้รับ แต่การได้รับสิ่งใหม่โดยไม่มีใบอนุญาตจะไม่ทำงาน ดังนั้นการไม่มีใบอนุญาตจึงเป็นสิ่งที่ไม่พึงปรารถนาอย่างมาก - เมื่อการโจมตีใหม่ปรากฏขึ้น คุณจะไม่สามารถป้องกันตัวเองด้วยลายเซ็นเก่าได้

ฐานข้อมูลลายเซ็น IPS แบ่งออกเป็นแบบปกติและแบบขยาย ฐานข้อมูลปกติมีลายเซ็นสำหรับการโจมตีทั่วไปซึ่งแทบไม่เกิดขึ้นหรือไม่เคยทำให้เกิดผลบวกลวงเลย การกระทำเริ่มต้นสำหรับลายเซ็นเหล่านี้ส่วนใหญ่เป็นบล็อก

ฐานข้อมูลที่ขยายมีลายเซ็นการโจมตีเพิ่มเติมที่มีผลกระทบอย่างมากต่อประสิทธิภาพของระบบหรือไม่สามารถบล็อกได้เนื่องจากลักษณะพิเศษ เนื่องจากขนาดของฐานนี้ จึงไม่สามารถใช้ได้กับรุ่น FortiGate ที่มีดิสก์ขนาดเล็กหรือ RAM แต่สำหรับสภาพแวดล้อมที่มีความปลอดภัยสูง คุณอาจต้องใช้ฐานเสริม

การตั้งค่าและการตรวจสอบ IPS ยังครอบคลุมอยู่ในวิดีโอด้านล่าง


ในบทเรียนถัดไป เราจะดูที่การทำงานกับผู้ใช้ เพื่อไม่ให้พลาดติดตามข่าวสารได้ที่ช่องทางต่อไปนี้

ที่มา: will.com

เพิ่มความคิดเห็น