Salom! Kursning yettinchi darsiga xush kelibsiz . O'sha Biz veb-filtrlash, ilovalarni boshqarish va HTTPS tekshiruvi kabi xavfsizlik profillari bilan tanishdik. Ushbu darsda biz xavfsizlik profillari bilan tanishishni davom ettiramiz. Birinchidan, biz antivirus va tajovuzni oldini olish tizimining ishlashining nazariy jihatlari bilan tanishamiz, keyin esa ushbu xavfsizlik profillarining amalda qanday ishlashini ko'rib chiqamiz.
Antivirusdan boshlaylik. Birinchidan, FortiGate viruslarni aniqlash uchun foydalanadigan texnologiyalarni muhokama qilaylik:
Antivirusni skanerlash viruslarni aniqlashning eng oson va tezkor usuli hisoblanadi. Antivirus ma'lumotlar bazasidagi imzolarga to'liq mos keladigan viruslarni aniqlaydi.
Grayware Scan yoki kiruvchi dasturlarni skanerlash - bu texnologiya foydalanuvchining bilimi yoki roziligisiz o'rnatilgan keraksiz dasturlarni aniqlaydi. Texnik jihatdan bu dasturlar virus emas. Ular odatda boshqa dasturlar bilan birga keladi, lekin o'rnatilganda ular tizimga salbiy ta'sir qiladi, shuning uchun ular zararli dastur sifatida tasniflanadi. Ko'pincha bunday dasturlarni FortiGuard tadqiqot bazasidan oddiy kulrang dastur imzolari yordamida aniqlash mumkin.
Evristik skanerlash - bu texnologiya ehtimolliklarga asoslangan, shuning uchun uni ishlatish noto'g'ri ijobiy ta'sirlarni keltirib chiqarishi mumkin, lekin u nol kunlik viruslarni ham aniqlay oladi. Nolinchi kun viruslari hali o'rganilmagan yangi viruslar bo'lib, ularni aniqlay oladigan imzolar yo'q. Evristik skanerlash sukut bo'yicha yoqilmagan va buyruq satrida yoqilgan bo'lishi kerak.
Agar barcha antivirus imkoniyatlari yoqilgan bo'lsa, FortiGate ularni quyidagi tartibda qo'llaydi: antivirusni skanerlash, kulrang dasturlarni skanerlash, evristik skanerlash.
FortiGate vazifalarga qarab bir nechta antivirus ma'lumotlar bazalaridan foydalanishi mumkin:
- Oddiy antivirus ma'lumotlar bazasi (Oddiy) - barcha FortiGate modellarida mavjud. U so'nggi oylarda topilgan viruslar uchun imzolarni o'z ichiga oladi. Bu eng kichik antivirus ma'lumotlar bazasi, shuning uchun u foydalanilganda eng tez tekshiradi. Biroq, bu ma'lumotlar bazasi barcha ma'lum viruslarni aniqlay olmaydi.
- Kengaytirilgan - bu baza ko'pchilik FortiGate modellari tomonidan qo'llab-quvvatlanadi. U endi faol bo'lmagan viruslarni aniqlash uchun ishlatilishi mumkin. Ko'pgina platformalar hali ham ushbu viruslarga qarshi himoyasiz. Bundan tashqari, bu viruslar kelajakda muammolarga olib kelishi mumkin.
- Va oxirgi, ekstremal baza (Extreme) - yuqori darajadagi xavfsizlik talab qilinadigan infratuzilmalarda qo'llaniladi. Uning yordami bilan siz barcha ma'lum viruslarni, jumladan, hozirgi vaqtda keng tarqalmagan eskirgan operatsion tizimlarga qaratilgan viruslarni aniqlashingiz mumkin. Ushbu turdagi imzo ma'lumotlar bazasi barcha FortiGate modellari tomonidan qo'llab-quvvatlanmaydi.
Tez skanerlash uchun mo'ljallangan ixcham imzo bazasi ham mavjud. Bu haqda biroz keyinroq gaplashamiz.
Antivirus ma'lumotlar bazalarini turli usullar yordamida yangilashingiz mumkin.
Birinchi usul Push Update bo'lib, FortiGuard tadqiqot ma'lumotlar bazasi yangilanish chiqarilishi bilanoq ma'lumotlar bazalarini yangilash imkonini beradi. Bu yuqori darajadagi xavfsizlikni talab qiladigan infratuzilmalar uchun foydalidir, chunki FortiGate shoshilinch yangilanishlar mavjud bo'lishi bilanoq oladi.
Ikkinchi usul - jadvalni o'rnatish. Shu tarzda siz har soat, kun yoki hafta yangilanishlarni tekshirishingiz mumkin. Ya'ni, bu erda vaqt oralig'i sizning ixtiyoringiz bilan belgilanadi.
Ushbu usullar birgalikda ishlatilishi mumkin.
Ammo shuni yodda tutishingiz kerakki, yangilanishlar amalga oshirilishi uchun kamida bitta xavfsizlik devori siyosati uchun antivirus profilini yoqishingiz kerak. Aks holda, yangilanishlar amalga oshirilmaydi.
Shuningdek, siz yangilanishlarni Fortinet qo'llab-quvvatlash saytidan yuklab olishingiz va keyin ularni FortiGate-ga qo'lda yuklashingiz mumkin.
Keling, skanerlash rejimlarini ko'rib chiqaylik. Ulardan faqat uchtasi bor - oqimga asoslangan rejimda to'liq rejim, oqimga asoslangan rejimda tezkor rejim va proksi rejimida to'liq rejim. Oqim rejimida To'liq rejimdan boshlaylik.
Aytaylik, foydalanuvchi faylni yuklab olmoqchi. U so'rov yuboradi. Server unga faylni tashkil etuvchi paketlarni yuborishni boshlaydi. Foydalanuvchi ushbu paketlarni darhol oladi. Ammo bu paketlarni foydalanuvchiga yetkazib berishdan oldin FortiGate ularni keshlaydi. FortiGate oxirgi paketni olgandan so'ng, u faylni skanerlashni boshlaydi. Bu vaqtda oxirgi paket navbatga qo'yiladi va foydalanuvchiga uzatilmaydi. Agar faylda virus bo'lmasa, foydalanuvchiga oxirgi paket yuboriladi. Agar virus aniqlansa, FortiGate foydalanuvchi bilan aloqani uzadi.
Oqimga asoslangan ikkinchi skanerlash rejimi Tezkor rejimdir. U oddiy ma'lumotlar bazasiga qaraganda kamroq imzolarni o'z ichiga olgan ixcham imzo ma'lumotlar bazasidan foydalanadi. To'liq rejimga nisbatan ba'zi cheklovlar ham mavjud:
- U fayllarni sinov muhitiga yubora olmaydi
- U evristik tahlildan foydalana olmaydi
- Shuningdek, u mobil zararli dasturlarga tegishli paketlardan foydalana olmaydi
- Ba'zi boshlang'ich darajadagi modellar ushbu rejimni qo'llab-quvvatlamaydi.
Tez rejim, shuningdek, viruslar, qurtlar, troyanlar va zararli dasturlar uchun trafikni tekshiradi, lekin buferlashsiz. Bu yaxshi ishlashni ta'minlaydi, lekin ayni paytda virusni aniqlash ehtimoli kamayadi.
Proksi rejimida yagona skanerlash rejimi to'liq rejimdir. Bunday skanerlash bilan FortiGate birinchi navbatda butun faylni o'zida saqlaydi (agar, albatta, skanerlash uchun ruxsat etilgan fayl hajmi oshib ketmasa). Mijoz skanerlash tugashini kutishi kerak. Agar skanerlash paytida virus aniqlansa, foydalanuvchi darhol xabardor qilinadi. Chunki FortiGate avval butun faylni saqlaydi va keyin uni skanerlaydi, bu juda uzoq vaqt talab qilishi mumkin. Shu sababli, mijoz uzoq kechikish tufayli faylni olishdan oldin ulanishni to'xtatishi mumkin.
Quyidagi rasmda skanerlash rejimlari uchun taqqoslash jadvali ko'rsatilgan - bu sizning vazifalaringizga qaysi turdagi skanerlash mos kelishini aniqlashga yordam beradi. Antivirusning funksionalligini sozlash va tekshirish maqolaning oxiridagi videoda amalda muhokama qilinadi.
Keling, darsning ikkinchi qismiga - bosqinning oldini olish tizimiga o'tamiz. Ammo IPSni o'rganishni boshlash uchun siz ekspluatatsiyalar va anomaliyalar o'rtasidagi farqni tushunishingiz kerak, shuningdek, FortiGate ulardan himoya qilish uchun qanday mexanizmlardan foydalanishini tushunishingiz kerak.
Ekspluatatsiyalar IPS, WAF yoki antivirus imzolari yordamida aniqlanishi mumkin bo'lgan ma'lum naqshlarga ega ma'lum hujumlardir.
Anomaliyalar tarmoqdagi noodatiy xatti-harakatlar, masalan, noodatiy darajada katta trafik miqdori yoki protsessorning odatdagidan ko‘proq iste’moli. Anomaliyalarni kuzatish kerak, chunki ular yangi, o‘rganilmagan hujum belgilari bo‘lishi mumkin. Anomaliyalar odatda xulq-atvor tahlili yordamida aniqlanadi - tarifga asoslangan imzolar va DoS siyosatlari.
Natijada, FortiGate’dagi IPS ma’lum hujumlarni aniqlash uchun imzo asoslaridan, turli anomaliyalarni aniqlash uchun Rate-Based Signatures va DoS siyosatlaridan foydalanadi.
Odatiy bo'lib, FortiGate operatsion tizimining har bir versiyasiga IPS imzolarining dastlabki to'plami kiritilgan. Yangilanishlar bilan FortiGate yangi imzolarni oladi. Shunday qilib, IPS yangi ekspluatatsiyalarga qarshi samarali bo'lib qoladi. FortiGuard IPS imzolarini tez-tez yangilab turadi.
IPS va antivirusga tegishli bo'lgan muhim nuqta shundaki, agar sizning litsenziyalaringiz muddati tugagan bo'lsa, siz hali ham qabul qilingan so'nggi imzolardan foydalanishingiz mumkin. Lekin litsenziyasiz yangilarini ololmaysiz. Shuning uchun litsenziyalarning yo'qligi juda istalmagan - agar yangi hujumlar paydo bo'lsa, siz o'zingizni eski imzolar bilan himoya qila olmaysiz.
IPS imzo ma'lumotlar bazalari oddiy va kengaytirilganlarga bo'linadi. Oddiy ma'lumotlar bazasida kamdan-kam hollarda yoki hech qachon noto'g'ri ijobiy natijalarga olib keladigan umumiy hujumlar uchun imzolar mavjud. Ushbu imzolarning ko'pchiligi uchun oldindan sozlangan harakat blokdir.
Kengaytirilgan ma'lumotlar bazasida tizimning ishlashiga sezilarli ta'sir ko'rsatadigan yoki maxsus tabiati tufayli bloklanishi mumkin bo'lmagan qo'shimcha hujum imzolari mavjud. Ushbu ma'lumotlar bazasi hajmi tufayli u kichik disk yoki RAMga ega FortiGate modellarida mavjud emas. Ammo yuqori darajada xavfsiz muhitlar uchun kengaytirilgan bazadan foydalanishingiz kerak bo'lishi mumkin.
IPS funksiyasini sozlash va tekshirish ham quyidagi videoda muhokama qilinadi.
Keyingi darsda biz foydalanuvchilar bilan ishlashni ko'rib chiqamiz. Uni o'tkazib yubormaslik uchun quyidagi kanallardagi yangilanishlarni kuzatib boring:
Manba: www.habr.com