Selamlar! Kursun yedinci dersine hoş geldiniz . Üzerinde Web Filtreleme, Uygulama Kontrolü ve HTTPS denetimi gibi güvenlik profilleri ile tanıştık. Bu dersimizde güvenlik profillerini tanımaya devam edeceğiz. İlk olarak, antivirüs ve izinsiz giriş önleme sisteminin çalışmasının teorik yönlerini tanıyacağız ve ardından bu güvenlik profillerinin çalışmasını pratikte ele alacağız.
Antivirüs ile başlayalım. Öncelikle, FortiGate'in virüsleri tespit etmek için kullandığı teknolojilerden bahsedelim:
Antivirüs taraması, virüsleri tespit etmenin en basit ve en hızlı yöntemidir. Anti-virüs veri tabanında bulunan imzalarla tamamen eşleşen virüsleri tespit eder.
Grayware Taraması veya İstenmeyen Program Taraması - Bu teknoloji, kullanıcının bilgisi veya onayı olmadan yüklenen istenmeyen programları algılar. Teknik olarak bu programlar virüs değildir. Genellikle diğer programlarla birlikte gelirler, ancak yüklendiklerinde sistemi olumsuz etkilerler, bu nedenle kötü amaçlı yazılım olarak sınıflandırılırlar. Genellikle bu tür programlar, FortiGuard araştırma tabanından alınan basit grayware imzaları kullanılarak tespit edilebilir.
Sezgisel tarama - bu teknoloji olasılıklara dayalıdır, bu nedenle kullanımı yanlış pozitif etkilere neden olabilir, ancak aynı zamanda sıfır gün virüslerini de tespit edebilir. Sıfır gün virüsleri, henüz araştırılmamış yeni virüslerdir ve bunları tespit edebilecek imzalar henüz yoktur. Sezgisel tarama varsayılan olarak etkin değildir, komut satırında etkinleştirilmesi gerekir.
Tüm antivirüs özellikleri etkinleştirildiyse, FortiGate bunları şu sırayla uygular: antivirüs taraması, grayware taraması, buluşsal tarama.
FortiGate, görevlere bağlı olarak çeşitli anti-virüs veritabanlarını kullanabilir:
- Düzenli anti-virüs veritabanı (Normal) - FortiGate'ov'un tüm modellerinde bulunur. Son aylarda keşfedilen virüslerin imzalarını içerir. Bu, en küçük anti-virüs veritabanıdır, bu nedenle onu kullanırken tarama en hızlı olanıdır. Ancak, bu veritabanı bilinen tüm virüsleri algılayamaz.
- Genişletilmiş (Extend) - bu taban çoğu FortiGate modeli tarafından desteklenir. Artık aktif olmayan virüsleri tespit etmek için kullanılabilir. Birçok platform hala bu virüslere karşı savunmasızdır. Ayrıca, bu virüsler gelecekte sorun getirebilir.
- Ve son olarak, aşırı taban (Extreme) - yüksek düzeyde güvenliğin gerekli olduğu altyapılarda kullanılır. Şu anda geniş çapta dağıtılmayan eski işletim sistemlerini hedefleyen virüsler de dahil olmak üzere bilinen tüm virüsleri algılayabilir. Bu tür imza veri tabanı ayrıca tüm FortiGate modelleri tarafından desteklenmez.
Hızlı tarama için tasarlanmış kompakt bir imza veritabanı da vardır. Bunun hakkında biraz sonra konuşacağız.
Anti-virüs veritabanlarını farklı yöntemler kullanarak güncelleyebilirsiniz.
İlk yöntem Push Update'tir - FortiGuard araştırma üssü bir güncelleme yayınlar yayınlamaz veritabanlarını güncellemenizi sağlar. Bu, yüksek düzeyde güvenlik gerektiren altyapılar için kullanışlıdır, çünkü FortiGate güncellemeleri kullanıma sunulur sunulmaz acil olarak alacaktır.
İkinci yöntem, bir program ayarlamaktır. Bu şekilde güncellemeleri her saat, gün veya haftada bir kontrol edebilirsiniz. Yani, burada zaman aralığı sizin takdirinize göre belirlenir.
Bu yöntemler birlikte kullanılabilir.
Ancak güncellemelerin yapılabilmesi için en az bir güvenlik duvarı politikası için antivirüs profilini etkinleştirmeniz gerektiğini unutmayın. Aksi takdirde güncelleme yapılmayacaktır.
Ayrıca güncellemeleri Fortinet destek sitesinden indirebilir ve ardından manuel olarak FortiGate'e yükleyebilirsiniz.
Tarama modlarını düşünün. Yalnızca üç tane vardır - Akış Tabanlı modda Tam Mod, Akış Tabanlı modda Hızlı Mod ve proxy modunda Tam Mod. Akış modunda Tam Mod ile başlayalım.
Diyelim ki kullanıcı bir dosya indirmek istiyor. Bir istek gönderir. Sunucu, dosyayı oluşturan paketleri ona göndermeye başlar. Kullanıcı bu paketleri hemen alır. Ancak bu paketleri kullanıcıya iletmeden önce FortiGate bunları önbelleğe alır. FortiGate son paketi aldıktan sonra dosyayı taramaya başlar. Bu sırada, son paket kuyruğa alınır ve kullanıcıya iletilmez. Dosya virüs içermiyorsa kullanıcıya son paket gönderilir. Bir virüs tespit edilirse FortiGate, kullanıcı ile olan bağlantıyı keser.
Akış Tabanlı'da bulunan ikinci tarama modu, Hızlı Mod'dur. Normal bir imza veritabanından daha az imza içeren kompakt bir imza veritabanı kullanır. Ayrıca Tam Mod ile karşılaştırıldığında bazı sınırlamaları vardır:
- Sandbox'a dosya gönderemez
- Sezgisel analiz kullanamaz
- Ayrıca mobil kötü amaçlı yazılımlarla ilgili paketleri kullanamaz.
- Bazı giriş seviyesi modeller bu modu desteklemez.
Hızlı mod ayrıca trafiği virüsler, solucanlar, Truva atları ve kötü amaçlı yazılımlara karşı kontrol eder, ancak ara belleğe alma olmadan. Bu daha iyi performans sağlar, ancak aynı zamanda virüs tespit etme olasılığı da azalır.
Proxy modunda, kullanılabilen tek tarama modu Tam Mod'dur. Böyle bir taramada, FortiGate önce tüm dosyayı kendi üzerinde depolar (elbette tarama için izin verilen dosya boyutu aşılmadığı sürece). İstemci, taramanın tamamlanmasını beklemelidir. Tarama sırasında bir virüs tespit edilirse, kullanıcı hemen bilgilendirilir. FortiGate önce tüm dosyayı kaydettiği ve ardından taradığı için bu işlem oldukça uzun sürebilir. bu nedenle, istemcinin uzun bir gecikme nedeniyle dosyayı almadan önce bağlantıyı bitirmesi mümkündür.
Aşağıdaki şekil, tarama modları için bir karşılaştırma tablosu sağlar - görevleriniz için hangi tarama türünün doğru olduğunu belirlemenize yardımcı olur. Antivirüsün performansını yapılandırma ve kontrol etme, makalenin sonundaki videoda pratik olarak ele alınmıştır.
Dersin ikinci bölümüne geçelim - izinsiz giriş önleme sistemi. Ancak IPS'yi incelemeye başlamak için, açıklardan yararlanma ve anormallikler arasındaki farkı anlamanız ve ayrıca FortiGate'in bunlara karşı koruma sağlamak için hangi mekanizmaları kullandığını anlamanız gerekir.
İstismarlar, IPS, WAF veya antivirüs imzaları kullanılarak tespit edilebilen, belirli modellere sahip bilinen saldırılardır.
Anormallikler, alışılmadık derecede yüksek miktarda trafik veya normalden daha yüksek CPU tüketimi gibi ağdaki olağandışı davranışlardır. Anormallikler, henüz keşfedilmemiş yeni bir saldırının işaretleri olabileceğinden izlenmelidir. Anormallikler genellikle davranışsal analiz kullanılarak tespit edilir - orana dayalı imzalar ve DoS politikaları.
Sonuç olarak FortiGate üzerindeki IPS, bilinen saldırıları tespit etmek için imza tabanlarını ve çeşitli anormallikleri tespit etmek için Hız Tabanlı imzaları ve DoS politikalarını kullanır.
Varsayılan olarak, FortiGate işletim sisteminin her sürümüne bir başlangıç IPS imza seti dahildir. Güncellemelerle FortiGate yeni imzalar alıyor. Böylece IPS, yeni istismarlara karşı etkili olmaya devam eder. FortiGuard hizmeti, IPS imzalarını oldukça sık günceller.
Hem IPS hem de antivirüs için geçerli olan önemli bir nokta, lisanslarınızın süresi dolmuş olsa bile, aldığınız en son imzaları kullanmaya devam edebilmenizdir. Ancak lisanssız yenilerini almak işe yaramayacak. Bu nedenle, lisansların olmaması son derece istenmeyen bir durumdur - yeni saldırılar ortaya çıktığında, kendinizi eski imzalarla koruyamayacaksınız.
IPS imza veritabanları normal ve genişletilmiş olmak üzere ikiye ayrılır. Normal veritabanı, çok nadiren yanlış pozitiflere neden olan veya hiçbir zaman yanlış pozitiflere neden olmayan yaygın saldırılar için imzalar içerir. Bu imzaların çoğu için varsayılan eylem bir engellemedir.
Genişletilmiş taban, sistem performansı üzerinde önemli etkisi olan veya özel yapıları nedeniyle engellenemeyen ek saldırı imzaları içerir. Bu tabanın boyutu nedeniyle, küçük diskli veya RAM'li FortiGate modellerinde mevcut değildir. Ancak yüksek düzeyde güvenli ortamlar için genişletilmiş bir taban kullanmanız gerekebilir.
IPS kurulumu ve doğrulaması da aşağıdaki videoda ele alınmaktadır.
Bir sonraki derste, kullanıcılarla çalışmaya bakacağız. Kaçırmamak için aşağıdaki kanallardan güncellemeler için takipte kalın:
Kaynak: habr.com