Pagbati! Maligayang pagdating sa ikapitong aralin ng kurso . Sa nakilala namin ang mga profile ng seguridad tulad ng Web Filtering, Application Control at HTTPS inspection. Sa araling ito ay ipagpapatuloy natin ang ating pagpapakilala sa mga profile ng seguridad. Una, makikilala natin ang mga teoretikal na aspeto ng pagpapatakbo ng isang antivirus at sistema ng pag-iwas sa panghihimasok, at pagkatapos ay titingnan natin kung paano gumagana ang mga profile ng seguridad na ito sa pagsasanay.
Magsimula tayo sa antivirus. Una, talakayin natin ang mga teknolohiyang ginagamit ng FortiGate para makakita ng mga virus:
Ang pag-scan ng antivirus ay ang pinakamadali at pinakamabilis na paraan ng pag-detect ng mga virus. Nakikita nito ang mga virus na ganap na tumutugma sa mga lagda na nilalaman sa database ng anti-virus.
Grayware Scan o hindi gustong program scanning - ang teknolohiyang ito ay nakakakita ng mga hindi gustong program na naka-install nang walang kaalaman o pahintulot ng user. Sa teknikal, ang mga programang ito ay hindi mga virus. Karaniwang kasama ang mga ito sa iba pang mga program, ngunit kapag na-install ay negatibong nakakaapekto ang mga ito sa system, kaya naman nauuri ang mga ito bilang malware. Kadalasan ang mga naturang programa ay maaaring makita gamit ang mga simpleng grayware na lagda mula sa FortiGuard research base.
Heuristic scanning - ang teknolohiyang ito ay nakabatay sa mga probabilidad, kaya ang paggamit nito ay maaaring magdulot ng mga maling positibong epekto, ngunit maaari rin itong makakita ng mga zero day na virus. Ang mga zero day virus ay mga bagong virus na hindi pa napag-aaralan, at walang mga pirma na maaaring makakita sa kanila. Ang heuristic scanning ay hindi pinagana bilang default at dapat na pinagana sa command line.
Kung pinagana ang lahat ng kakayahan ng antivirus, inilalapat ng FortiGate ang mga ito sa sumusunod na pagkakasunud-sunod: pag-scan ng antivirus, pag-scan ng grayware, pag-scan ng heuristic.
Maaaring gumamit ang FortiGate ng ilang database ng anti-virus, depende sa mga gawain:
- Normal na database ng antivirus (Normal) - nakapaloob sa lahat ng mga modelo ng FortiGate. Kabilang dito ang mga lagda para sa mga virus na natuklasan nitong mga nakaraang buwan. Ito ang pinakamaliit na database ng antivirus, kaya pinakamabilis itong nag-scan kapag ginamit. Gayunpaman, hindi matukoy ng database na ito ang lahat ng kilalang virus.
- Extended - ang base na ito ay sinusuportahan ng karamihan sa mga modelo ng FortiGate. Maaari itong magamit upang makita ang mga virus na hindi na aktibo. Maraming mga platform ang mahina pa rin sa mga virus na ito. Gayundin, ang mga virus na ito ay maaaring magdulot ng mga problema sa hinaharap.
- At ang huling, matinding base (Extreme) - ay ginagamit sa mga imprastraktura kung saan kinakailangan ang mataas na antas ng seguridad. Sa tulong nito, matutukoy mo ang lahat ng kilalang mga virus, kabilang ang mga virus na naglalayong sa mga lumang operating system, na hindi malawak na ipinamamahagi sa ngayon. Ang ganitong uri ng signature database ay hindi rin sinusuportahan ng lahat ng mga modelo ng FortiGate.
Mayroon ding isang compact signature database na idinisenyo para sa mabilis na pag-scan. Mamaya na lang natin pag-usapan.
Maaari mong i-update ang mga database ng anti-virus gamit ang iba't ibang paraan.
Ang unang paraan ay Push Update, na nagpapahintulot sa mga database na ma-update sa sandaling ang FortiGuard research database ay naglabas ng update. Ito ay kapaki-pakinabang para sa mga imprastraktura na nangangailangan ng mataas na antas ng seguridad, dahil ang FortiGate ay makakatanggap ng mga kagyat na update sa sandaling magagamit ang mga ito.
Ang pangalawang paraan ay ang magtakda ng iskedyul. Sa ganitong paraan maaari mong tingnan ang mga update bawat oras, araw o linggo. Ibig sabihin, dito nakatakda ang hanay ng oras ayon sa iyong paghuhusga.
Ang mga pamamaraang ito ay maaaring gamitin nang magkasama.
Ngunit kailangan mong tandaan na upang magawa ang mga pag-update, dapat mong paganahin ang profile ng antivirus para sa hindi bababa sa isang patakaran sa firewall. Kung hindi, hindi gagawin ang mga pag-update.
Maaari ka ring mag-download ng mga update mula sa site ng suporta ng Fortinet at pagkatapos ay manu-manong i-upload ang mga ito sa FortiGate.
Tingnan natin ang mga mode ng pag-scan. Tatlo lang sila - Full Mode sa Flow Based mode, Quick Mode sa Flow Based mode, at Full Mode sa proxy mode. Magsimula tayo sa Full Mode sa Flow mode.
Sabihin nating gusto ng isang user na mag-download ng file. Nagpapadala siya ng kahilingan. Nagsisimulang magpadala sa kanya ang server ng mga packet na bumubuo sa file. Agad na natatanggap ng user ang mga paketeng ito. Ngunit bago ihatid ang mga packet na ito sa user, ini-cache ng FortiGate ang mga ito. Pagkatapos matanggap ng FortiGate ang huling packet, magsisimula itong i-scan ang file. Sa oras na ito, ang huling packet ay nakapila at hindi ipinapadala sa gumagamit. Kung ang file ay walang mga virus, ang pinakabagong packet ay ipapadala sa user. Kung may nakitang virus, sinira ng FortiGate ang koneksyon sa user.
Ang pangalawang scanning mode na available sa Flow Based ay Quick Mode. Gumagamit ito ng isang compact signature database, na naglalaman ng mas kaunting mga lagda kaysa sa isang regular na database. Mayroon din itong ilang limitasyon kumpara sa Full Mode:
- Hindi ito makapagpadala ng mga file sa sandbox
- Hindi ito maaaring gumamit ng heuristic analysis
- Hindi rin ito maaaring gumamit ng mga pakete na nauugnay sa mobile malware
- Ang ilang mga entry level na modelo ay hindi sumusuporta sa mode na ito.
Sinusuri din ng Quick mode ang trapiko para sa mga virus, worm, trojan at malware, ngunit walang buffering. Nagbibigay ito ng mas mahusay na pagganap, ngunit sa parehong oras ang posibilidad ng pag-detect ng isang virus ay nababawasan.
Sa Proxy mode, ang available lang na scanning mode ay Full Mode. Sa ganitong pag-scan, iniimbak muna ng FortiGate ang buong file sa sarili nito (maliban kung, siyempre, ang pinahihintulutang laki ng file para sa pag-scan ay lumampas). Dapat maghintay ang kliyente para makumpleto ang pag-scan. Kung may nakitang virus sa panahon ng pag-scan, aabisuhan kaagad ang user. Dahil unang ini-save ng FortiGate ang buong file at pagkatapos ay ini-scan ito, maaaring tumagal ito ng mahabang panahon. Dahil dito, posible para sa kliyente na wakasan ang koneksyon bago matanggap ang file dahil sa mahabang pagkaantala.
Ang figure sa ibaba ay nagpapakita ng talahanayan ng paghahambing para sa mga mode ng pag-scan - makakatulong ito sa iyong matukoy kung aling uri ng pag-scan ang angkop para sa iyong mga gawain. Ang pag-set up at pagsuri sa functionality ng antivirus ay tinalakay sa pagsasanay sa video sa dulo ng artikulo.
Lumipat tayo sa ikalawang bahagi ng aralin - ang sistema ng pag-iwas sa panghihimasok. Ngunit upang simulan ang pag-aaral ng IPS, kailangan mong maunawaan ang pagkakaiba sa pagitan ng mga pagsasamantala at anomalya, at maunawaan din kung anong mga mekanismo ang ginagamit ng FortiGate upang maprotektahan laban sa kanila.
Ang mga pagsasamantala ay mga kilalang pag-atake na may mga partikular na pattern na maaaring matukoy gamit ang IPS, WAF, o mga antivirus signature.
Ang mga anomalya ay hindi pangkaraniwang pag-uugali sa isang network, tulad ng hindi pangkaraniwang malaking dami ng trapiko o mas mataas kaysa sa normal na pagkonsumo ng CPU. Kailangang subaybayan ang mga anomalya dahil maaaring mga palatandaan ang mga ito ng isang bago, hindi pa na-explore na pag-atake. Karaniwang nakikita ang mga anomalya gamit ang pagsusuri sa pag-uugali - tinatawag na mga lagda na nakabatay sa rate at mga patakaran ng DoS.
Bilang resulta, ang IPS sa FortiGate ay gumagamit ng mga signature base upang matukoy ang mga kilalang pag-atake, at ang mga Rate-Based na lagda at mga patakaran ng DoS upang makita ang iba't ibang mga anomalya.
Bilang default, ang isang paunang hanay ng mga lagda ng IPS ay kasama sa bawat bersyon ng FortiGate operating system. Sa mga update, nakakatanggap ang FortiGate ng mga bagong lagda. Sa ganitong paraan, nananatiling epektibo ang IPS laban sa mga bagong pagsasamantala. Madalas na ina-update ng FortiGuard ang mga lagda ng IPS.
Ang isang mahalagang punto na nalalapat sa parehong IPS at antivirus ay kung ang iyong mga lisensya ay nag-expire na, maaari mo pa ring gamitin ang pinakabagong mga lagda na natanggap. Ngunit hindi ka makakakuha ng mga bago nang walang mga lisensya. Samakatuwid, ang kawalan ng mga lisensya ay lubhang hindi kanais-nais - kung ang mga bagong pag-atake ay lilitaw, hindi mo mapoprotektahan ang iyong sarili gamit ang mga lumang lagda.
Ang mga database ng lagda ng IPS ay nahahati sa regular at pinalawig. Ang isang karaniwang database ay naglalaman ng mga lagda para sa mga karaniwang pag-atake na bihira o hindi kailanman nagdudulot ng mga maling positibo. Ang paunang na-configure na aksyon para sa karamihan ng mga lagdang ito ay hinarangan.
Ang pinalawig na database ay naglalaman ng karagdagang mga lagda sa pag-atake na may malaking epekto sa pagganap ng system, o hindi maaaring i-block dahil sa kanilang espesyal na katangian. Dahil sa laki ng database na ito, hindi ito magagamit sa mga modelo ng FortiGate na may maliit na disk o RAM. Ngunit para sa lubos na ligtas na kapaligiran, maaaring kailanganin mong gumamit ng pinahabang base.
Ang pag-set up at pagsuri sa functionality ng IPS ay tinatalakay din sa video sa ibaba.
Sa susunod na aralin, titingnan natin ang pakikipagtulungan sa mga gumagamit. Upang hindi ito makaligtaan, sundan ang mga update sa mga sumusunod na channel:
Pinagmulan: www.habr.com