سلام! کورس کے ساتویں سبق میں خوش آمدید . پر ہم ویب فلٹرنگ، ایپلیکیشن کنٹرول اور HTTPS انسپیکشن جیسے سیکیورٹی پروفائلز سے واقف ہوئے۔ اس سبق میں ہم سیکیورٹی پروفائلز کا اپنا تعارف جاری رکھیں گے۔ سب سے پہلے، ہم اینٹی وائرس اور مداخلت کی روک تھام کے نظام کے آپریشن کے نظریاتی پہلوؤں سے واقف ہوں گے، اور پھر ہم دیکھیں گے کہ یہ حفاظتی پروفائلز عملی طور پر کیسے کام کرتے ہیں۔
آئیے اینٹی وائرس کے ساتھ شروع کریں۔ سب سے پہلے، آئیے ان ٹیکنالوجیز پر بات کرتے ہیں جو فورٹی گیٹ وائرس کا پتہ لگانے کے لیے استعمال کرتی ہیں:
اینٹی وائرس اسکیننگ وائرس کا پتہ لگانے کا سب سے آسان اور تیز ترین طریقہ ہے۔ یہ وائرس کا پتہ لگاتا ہے جو اینٹی وائرس ڈیٹا بیس میں موجود دستخطوں سے مکمل طور پر میل کھاتا ہے۔
گرے ویئر اسکین یا ناپسندیدہ پروگرام اسکیننگ - یہ ٹیکنالوجی ایسے ناپسندیدہ پروگراموں کا پتہ لگاتی ہے جو صارف کے علم یا رضامندی کے بغیر انسٹال ہوتے ہیں۔ تکنیکی طور پر، یہ پروگرام وائرس نہیں ہیں۔ وہ عام طور پر دوسرے پروگراموں کے ساتھ بنڈل آتے ہیں، لیکن جب انسٹال ہو جاتے ہیں تو وہ سسٹم پر منفی اثر ڈالتے ہیں، اسی لیے ان کی درجہ بندی مالویئر کے طور پر کی جاتی ہے۔ فورٹی گارڈ ریسرچ بیس سے گرے ویئر کے سادہ دستخطوں کا استعمال کرتے ہوئے اکثر ایسے پروگراموں کا پتہ لگایا جا سکتا ہے۔
Heuristic سکیننگ - یہ ٹیکنالوجی امکانات پر مبنی ہے، لہذا اس کا استعمال غلط مثبت اثرات پیدا کر سکتا ہے، لیکن یہ صفر دن کے وائرس کا بھی پتہ لگا سکتا ہے۔ زیرو ڈے وائرس نئے وائرس ہیں جن کا ابھی تک مطالعہ نہیں کیا گیا ہے، اور ایسے کوئی دستخط نہیں ہیں جو ان کا پتہ لگا سکیں۔ Heuristic سکیننگ ڈیفالٹ کے طور پر فعال نہیں ہے اور کمانڈ لائن پر فعال ہونا ضروری ہے.
اگر اینٹی وائرس کی تمام صلاحیتیں فعال ہیں، تو FortiGate انہیں درج ذیل ترتیب میں لاگو کرتا ہے: اینٹی وائرس سکیننگ، گرے ویئر سکیننگ، ہیورسٹک سکیننگ۔
فورٹی گیٹ کاموں کے لحاظ سے کئی اینٹی وائرس ڈیٹا بیس استعمال کر سکتا ہے:
- عام اینٹی وائرس ڈیٹا بیس (نارمل) - تمام فورٹی گیٹ ماڈلز میں موجود ہے۔ اس میں وائرس کے دستخط شامل ہیں جو حالیہ مہینوں میں دریافت ہوئے ہیں۔ یہ سب سے چھوٹا اینٹی وائرس ڈیٹا بیس ہے، اس لیے استعمال ہونے پر یہ سب سے تیزی سے اسکین کرتا ہے۔ تاہم، یہ ڈیٹا بیس تمام معلوم وائرسوں کا پتہ نہیں لگا سکتا۔
- توسیع شدہ - یہ بیس زیادہ تر فورٹی گیٹ ماڈلز کے ذریعہ سپورٹ کیا جاتا ہے۔ اس کا استعمال ان وائرسوں کا پتہ لگانے کے لیے کیا جا سکتا ہے جو اب فعال نہیں ہیں۔ بہت سے پلیٹ فارم اب بھی ان وائرسوں کا شکار ہیں۔ نیز، یہ وائرس مستقبل میں مسائل پیدا کر سکتے ہیں۔
- اور آخری، ایکسٹریم بیس (Extreme) - بنیادی ڈھانچے میں استعمال ہوتا ہے جہاں اعلیٰ سطح کی حفاظت کی ضرورت ہوتی ہے۔ اس کی مدد سے، آپ تمام معلوم وائرسوں کا پتہ لگا سکتے ہیں، بشمول وہ وائرس جن کا مقصد پرانے آپریٹنگ سسٹمز ہیں، جو اس وقت وسیع پیمانے پر تقسیم نہیں ہوئے ہیں۔ اس قسم کے دستخطی ڈیٹابیس کو تمام FortiGate ماڈلز کے ذریعے بھی تعاون حاصل نہیں ہے۔
فوری اسکیننگ کے لیے ڈیزائن کیا گیا ایک کمپیکٹ دستخطی ڈیٹا بیس بھی ہے۔ ہم اس پر تھوڑی دیر بعد بات کریں گے۔
آپ مختلف طریقوں سے اینٹی وائرس ڈیٹا بیس کو اپ ڈیٹ کر سکتے ہیں۔
پہلا طریقہ پش اپ ڈیٹ ہے، جو فورٹی گارڈ ریسرچ ڈیٹا بیس کے اپ ڈیٹ جاری کرتے ہی ڈیٹا بیس کو اپ ڈیٹ کرنے کی اجازت دیتا ہے۔ یہ ان انفراسٹرکچر کے لیے مفید ہے جن کے لیے اعلیٰ سطح کی سیکیورٹی کی ضرورت ہوتی ہے، کیونکہ FortiGate کو فوری طور پر اپ ڈیٹس دستیاب ہوتے ہی موصول ہوں گی۔
دوسرا طریقہ شیڈول ترتیب دینا ہے۔ اس طرح آپ ہر گھنٹے، دن یا ہفتے اپ ڈیٹس کی جانچ کر سکتے ہیں۔ یعنی یہاں وقت کی حد آپ کی صوابدید پر مقرر ہے۔
ان طریقوں کو ایک ساتھ استعمال کیا جا سکتا ہے۔
لیکن آپ کو یہ ذہن میں رکھنے کی ضرورت ہے کہ اپ ڈیٹس کرنے کے لیے، آپ کو کم از کم ایک فائر وال پالیسی کے لیے اینٹی وائرس پروفائل کو فعال کرنا ہوگا۔ بصورت دیگر، اپ ڈیٹ نہیں کیے جائیں گے۔
آپ Fortinet سپورٹ سائٹ سے اپ ڈیٹس بھی ڈاؤن لوڈ کر سکتے ہیں اور پھر انہیں دستی طور پر FortiGate پر اپ لوڈ کر سکتے ہیں۔
آئیے اسکیننگ کے طریقوں کو دیکھتے ہیں۔ ان میں سے صرف تین ہیں - فلو بیسڈ موڈ میں فل موڈ، فلو بیسڈ موڈ میں کوئیک موڈ، اور پراکسی موڈ میں فل موڈ۔ آئیے فلو موڈ میں فل موڈ کے ساتھ شروع کریں۔
ہم کہتے ہیں کہ صارف ایک فائل ڈاؤن لوڈ کرنا چاہتا ہے۔ وہ درخواست بھیجتا ہے۔ سرور اسے فائل بنانے والے پیکٹ بھیجنا شروع کر دیتا ہے۔ صارف کو فوری طور پر یہ پیکجز مل جاتے ہیں۔ لیکن ان پیکٹوں کو صارف تک پہنچانے سے پہلے، فورٹی گیٹ انہیں کیش کرتا ہے۔ فورٹی گیٹ کو آخری پیکٹ ملنے کے بعد، یہ فائل کو اسکین کرنا شروع کر دیتا ہے۔ اس وقت، آخری پیکٹ قطار میں ہے اور صارف کو منتقل نہیں کیا جاتا ہے۔ اگر فائل میں وائرس نہیں ہے، تو تازہ ترین پیکٹ صارف کو بھیج دیا جاتا ہے۔ اگر کسی وائرس کا پتہ چل جاتا ہے تو، فورٹی گیٹ صارف سے رابطہ توڑ دیتا ہے۔
فلو بیسڈ میں دستیاب دوسرا سکیننگ موڈ کوئیک موڈ ہے۔ یہ ایک کمپیکٹ دستخطی ڈیٹا بیس کا استعمال کرتا ہے، جس میں باقاعدہ ڈیٹا بیس سے کم دستخط ہوتے ہیں۔ فل موڈ کے مقابلے اس میں کچھ حدود بھی ہیں:
- یہ سینڈ باکس میں فائلیں نہیں بھیج سکتا
- یہ ہورسٹک تجزیہ استعمال نہیں کر سکتا
- نیز یہ موبائل میلویئر سے متعلق پیکجز کا استعمال نہیں کر سکتا
- کچھ انٹری لیول ماڈل اس موڈ کو سپورٹ نہیں کرتے ہیں۔
کوئیک موڈ وائرس، کیڑے، ٹروجن اور مالویئر کے لیے ٹریفک کو بھی چیک کرتا ہے، لیکن بفرنگ کے بغیر۔ یہ بہتر کارکردگی فراہم کرتا ہے، لیکن ایک ہی وقت میں وائرس کا پتہ لگانے کے امکانات کم ہو جاتے ہیں.
پراکسی موڈ میں، دستیاب واحد اسکیننگ موڈ فل موڈ ہے۔ اس طرح کے اسکین کے ساتھ، فورٹی گیٹ سب سے پہلے پوری فائل کو خود پر اسٹور کرتا ہے (جب تک کہ، اسکیننگ کے لیے قابل اجازت فائل سائز سے زیادہ نہ ہو جائے)۔ کلائنٹ کو اسکین مکمل ہونے کا انتظار کرنا چاہیے۔ اگر اسکیننگ کے دوران وائرس کا پتہ چلا تو صارف کو فوری طور پر مطلع کیا جائے گا۔ کیونکہ FortiGate پہلے پوری فائل کو محفوظ کرتا ہے اور پھر اسے اسکین کرتا ہے، اس میں کافی وقت لگ سکتا ہے۔ اس کی وجہ سے، مؤکل کے لیے طویل تاخیر کی وجہ سے فائل وصول کرنے سے پہلے کنکشن ختم کرنا ممکن ہے۔
نیچے دی گئی تصویر سکیننگ کے طریقوں کے لیے موازنہ کی میز دکھاتی ہے - یہ آپ کو یہ تعین کرنے میں مدد کرے گی کہ آپ کے کاموں کے لیے کس قسم کی سکیننگ موزوں ہے۔ مضمون کے آخر میں ویڈیو میں عملی طور پر اینٹی وائرس کی فعالیت کو ترتیب دینے اور جانچنے کے بارے میں بات کی گئی ہے۔
آئیے سبق کے دوسرے حصے کی طرف چلتے ہیں - مداخلت کی روک تھام کا نظام۔ لیکن IPS کا مطالعہ شروع کرنے کے لیے، آپ کو کارناموں اور بے ضابطگیوں کے درمیان فرق کو سمجھنے کی ضرورت ہے، اور یہ بھی سمجھنا ہوگا کہ فورٹی گیٹ ان کے خلاف حفاظت کے لیے کون سا طریقہ کار استعمال کرتا ہے۔
استحصال مخصوص نمونوں کے ساتھ مشہور حملے ہیں جن کا پتہ IPS، WAF، یا اینٹی وائرس کے دستخطوں کے ذریعے لگایا جا سکتا ہے۔
بے ضابطگیاں نیٹ ورک پر غیر معمولی رویہ ہیں، جیسے کہ غیر معمولی طور پر بڑی مقدار میں ٹریفک یا عام سی پی یو کی کھپت سے زیادہ۔ بے ضابطگیوں پر نظر رکھنے کی ضرورت ہے کیونکہ یہ ایک نئے، غیر دریافت شدہ حملے کی علامت ہو سکتی ہیں۔ بے ضابطگیوں کا پتہ عام طور پر طرز عمل کے تجزیہ - نام نہاد شرح پر مبنی دستخطوں اور DoS پالیسیوں کا استعمال کرتے ہوئے پایا جاتا ہے۔
نتیجے کے طور پر، فورٹی گیٹ پر آئی پی ایس معلوم حملوں کا پتہ لگانے کے لیے دستخطی اڈوں کا استعمال کرتا ہے، اور مختلف بے ضابطگیوں کا پتہ لگانے کے لیے شرح پر مبنی دستخط اور DoS پالیسیاں استعمال کرتا ہے۔
پہلے سے طے شدہ طور پر، IPS دستخطوں کا ایک ابتدائی سیٹ FortiGate آپریٹنگ سسٹم کے ہر ورژن کے ساتھ شامل ہوتا ہے۔ اپ ڈیٹس کے ساتھ، FortiGate نئے دستخط حاصل کرتا ہے۔ اس طرح، آئی پی ایس نئے کارناموں کے خلاف موثر رہتا ہے۔ FortiGuard IPS دستخطوں کو کثرت سے اپ ڈیٹ کرتا ہے۔
ایک اہم نکتہ جو آئی پی ایس اور اینٹی وائرس دونوں پر لاگو ہوتا ہے وہ یہ ہے کہ اگر آپ کے لائسنس کی میعاد ختم ہو گئی ہے، تب بھی آپ موصول ہونے والے تازہ ترین دستخط استعمال کر سکتے ہیں۔ لیکن آپ لائسنس کے بغیر نیا حاصل نہیں کر سکیں گے۔ لہذا، لائسنس کی غیر موجودگی انتہائی ناپسندیدہ ہے - اگر نئے حملے ظاہر ہوتے ہیں، تو آپ پرانے دستخطوں کے ساتھ اپنے آپ کو بچانے کے قابل نہیں ہوں گے.
IPS دستخطی ڈیٹا بیس کو باقاعدہ اور توسیعی میں تقسیم کیا گیا ہے۔ ایک عام ڈیٹا بیس میں عام حملوں کے لیے دستخط ہوتے ہیں جو شاذ و نادر ہی یا کبھی غلط مثبت کا سبب نہیں بنتے۔ ان میں سے زیادہ تر دستخطوں کے لیے پہلے سے تشکیل شدہ کارروائی بلاک ہے۔
توسیع شدہ ڈیٹا بیس میں اضافی حملہ کے دستخط ہوتے ہیں جن کا سسٹم کی کارکردگی پر خاصا اثر پڑتا ہے، یا جنہیں اپنی خاص نوعیت کی وجہ سے بلاک نہیں کیا جا سکتا۔ اس ڈیٹا بیس کے سائز کی وجہ سے، یہ چھوٹی ڈسک یا RAM والے FortiGate ماڈلز پر دستیاب نہیں ہے۔ لیکن انتہائی محفوظ ماحول کے لیے، آپ کو ایک توسیعی بنیاد استعمال کرنے کی ضرورت پڑ سکتی ہے۔
IPS کی فعالیت کو ترتیب دینے اور جانچنے کے بارے میں بھی ذیل کی ویڈیو میں بات کی گئی ہے۔
اگلے سبق میں ہم صارفین کے ساتھ کام کرنے پر غور کریں گے۔ اس سے محروم نہ ہونے کے لیے، درج ذیل چینلز پر اپ ڈیٹس کی پیروی کریں:
ماخذ: www.habr.com