Вітаю! Ласкаво просимо на сьомий урок курсу . На ми познайомилися з такими профілями безпеки як Web Filtering, Application Control та HTTPS інспекція. На цьому уроці ми продовжимо ознайомлення з профілями безпеки. Спочатку ми познайомимося з теоретичними аспектами роботи антивірусу та системи запобігання вторгненням, а потім розглянемо роботу даних профілів безпеки на практиці.
Почнемо з антивірусу. Для початку обговоримо технології, які застосовує FortiGate для виявлення вірусів:
Антивірусне сканування - це найпростіший і найшвидший метод виявлення вірусів. Він визначає віруси, які повністю збігаються із сигнатурами, що містяться в антивірусній базі.
Grayware Scan або сканування небажаних програм – дана технологія визначає небажані програми, які встановлюються без відома чи згоди користувача. Технічно ці програми є вірусами. Зазвичай вони йдуть у комплекті з іншими програмами, але при установці негативно впливають на систему, тому вони класифікуються як шкідливі програми. Часто такі програми можна знайти за допомогою простих grayware сигнатур від дослідницької бази FortiGuard.
Евристичне сканування - дана технологія заснована на ймовірностях, тому її використання може викликати false positives ефекти, проте з її допомогою можна також виявити віруси zero day. Zero day віруси - нові віруси, які ще не досліджені, і поки що не існує сигнатур, які могли б їх виявити. Евристичне сканування не використовується за замовчуванням, його потрібно активувати в командному рядку.
Якщо всі можливості антивірусу активовані, FortiGate застосовує їх у наступному порядку: антивірусне сканування, grayware сканування, евристичне сканування.
FortiGate може використовувати кілька антивірусних баз, залежно від завдань:
- Звичайна антивірусна база (Normal) міститься у всіх моделях FortiGate'ів. Вона включає сигнатури для вірусів, які були виявлені в останні місяці. Це найменша антивірусна база, тому при її використанні сканування виконується найшвидше. Однак ця база не може виявити всі відомі віруси.
- Розширена (Extend) - ця база підтримується більшістю моделей FortiGate. З її допомогою можна виявити віруси, які не активні. Безліч платформ все ще вразливі для цих вірусів. Також ці віруси можуть дати проблеми в майбутньому.
- І остання, екстремальна база (Extreme) — використовується в інфраструктурах, де потрібний високий рівень безпеки. З її допомогою можна виявити всі відомі віруси, включаючи віруси, націлені на застарілі операційні системи, які зараз широко не поширені. Цей тип бази сигнатур також підтримується не всіма моделями FortiGate.
Також є компактна база сигнатур, призначена для швидкого сканування. Про неї ми поговоримо трохи згодом.
Оновлювати антивірусні основи можна різними методами.
Перший метод – Push Update – він дозволяє оновлювати бази відразу, як тільки дослідницька база FortiGuard випускає оновлення. Це корисно для інфраструктур, яким необхідний високий рівень безпеки, оскільки FortiGate отримуватиме термінові оновлення відразу після того, як вони з'являться.
Другий метод - встановити розклад. Таким чином, оновлення можна перевіряти кожну годину, день або тиждень. Тобто тут тимчасовий діапазон ставиться на вашу думку.
Ці методи можна використати разом.
Але треба мати на увазі — щоб оновлення проводилися, необхідно включити профіль антивірусу хоча б на одну фаєрвольну політику. Інакше оновлення не проводитимуться.
Також можна завантажувати оновлення із сайту підтримки Fortinet, а потім вручну завантажити їх на FortiGate.
Розглянемо режими сканування. Їх всього три — Full Mode у Flow Based режимі, Quick Mode у Flow Based режимі, та Full Mode у проксі режимі. Почнемо з Full Mode у Flow режимі.
Допустимо, користувач хоче завантажити файл. Він надсилає запит. Сервер починає посилати йому пакети, у тому числі складається файл. Користувач одразу отримує ці пакети. Але перед тим, як передати ці пакети користувачеві, FortiGate їх кешує. Після того як FortiGate отримує останній пакет, він починає сканувати файл. В цей час останній пакет ставиться в чергу і не передається користувачеві. Якщо файл не містить вірусів, останній пакет надсилається користувачеві. Якщо вірус виявлено — FortiGate розриває з'єднання з користувачем.
Другий режим сканування, доступний у Flow Based - Quick Mode. Він використовує компактну базу сигнатур, що містить менше сигнатур, ніж звичайна база. Також він має деякі обмеження порівняно з Full Mode:
- Він не може надсилати файли в пісочницю
- Він не може використовувати евристичний аналіз
- Також він не може використовувати пакети, пов'язані з мобільними шкідливими програмами
- Деякі entry level моделі не підтримують цей режим.
Quick mode також перевіряє трафік на вміст вірусів, хробаків, троянів та шкідливих програм, але без буферизації. Це забезпечує кращу продуктивність, але в той же час можливість виявити вірус знижується.
У Proxy режимі доступний єдиний режим сканування Full Mode. При такому скануванні FortiGate спочатку зберігає весь файл у себе (якщо, звичайно, не перевищиться допустимий розмір файлів для сканування). Клієнт повинен чекати до завершення сканування. Якщо під час сканування буде виявлено вірус, користувач буде відразу повідомлено. Оскільки FortiGate спочатку зберігає весь файл, а потім сканує його, це може забрати багато часу. через це з боку клієнта можливе завершення з'єднання до отримання файлу через тривалу затримку.
На малюнку нижче представлена порівняльна таблиця для режимів сканування – вона допоможе визначити, який тип сканування підійде під ваші завдання. Налаштування та перевірка працездатності антивірусу розглянуті на практиці у відео наприкінці статті.
Перейдемо до другої частини уроку — системи запобігання вторгненням. Але для того, щоб приступити до вивчення IPS, необхідно розібратися на відміну від аномалій експлойтів, а також зрозуміти, які механізми використовує FortiGate для захисту від них.
Експлойти - це відомі атаки з конкретними патернами, які можна виявити за допомогою IPS, WAF, або антивірусних сигнатур.
Аномалії - це незвичайна поведінка в мережі, наприклад незвичайно великий обсяг трафіку або більше, ніж зазвичай споживання CPU, Аномалії необхідно відстежувати, оскільки вони можуть бути ознаками нової, ще невивченої атаки. Аномалії зазвичай виявляються за допомогою поведінкового аналізу – так званих rate-based сигнатур та DoS політик.
За підсумком - IPS на FortiGate використовує сигантурні бази для виявлення відомих атак, і Rate-Based сигнатури та політики DoS для виявлення різних аномалій.
За замовчуванням початковий набір IPS сигнатур включений у кожну версію операційної системи FortiGate. За допомогою оновлень FortiGate отримує нові сигнатури. Таким чином, IPS залишається ефективним проти нових експлойтів. Сервіс FortiGuard оновлює сигнатури IPS досить часто.
Важливий момент, який стосується як IPS, так і антивірусу — якщо у вас закінчилися ліцензії, ви все одно можете використовувати останні отримані сигнатури. Але отримати нові без ліцензій не вдасться. Тому відсутність ліцензій вкрай небажана — з появою нових атак ви не зможете захиститись старими сигнатурами.
Основи IPS сигантур поділяються на стандартну і розширену. Звичайна база містить сигнатури для поширених атак, які дуже рідко або взагалі не викликають хибних спрацьовувань. Передналаштована дія для більшості таких сигнатур – блок.
Розширена база містить додаткові сигнатури атак, які сильно впливають на продуктивність системи, або які не можна заблокувати через їхню особливу природу. Через розмір такої бази вона недоступна для моделей FortiGate з маленьким диском або RAM. Для високозахищених середовищ може знадобитися використовувати розширену базу.
Налаштування та перевірка працездатності IPS також розглянуті у відео нижче.
У наступному уроці ми розглянемо роботу з користувачами. Щоб не пропустити його, слідкуйте за оновленнями на наступних каналах:
Джерело: habr.com