Lời chào hỏi! Chào mừng đến với buổi học thứ bảy của khóa học . Trên chúng tôi đã làm quen với các cấu hình bảo mật như Lọc web, Kiểm soát ứng dụng và kiểm tra HTTPS. Trong bài học này, chúng ta sẽ tiếp tục làm quen với các cấu hình bảo mật. Đầu tiên, chúng ta sẽ làm quen với các khía cạnh lý thuyết về hoạt động của hệ thống ngăn chặn xâm nhập và chống vi-rút, sau đó chúng ta sẽ xem xét hoạt động của các cấu hình bảo mật này trong thực tế.
Hãy bắt đầu với phần mềm chống vi-rút. Trước tiên, hãy thảo luận về các công nghệ mà FortiGate sử dụng để phát hiện vi-rút:
Quét virus là phương pháp phát hiện virus đơn giản và nhanh nhất. Nó phát hiện các vi-rút khớp hoàn toàn với các chữ ký có trong cơ sở dữ liệu chống vi-rút.
Quét phần mềm xám hoặc Quét chương trình không mong muốn - Công nghệ này phát hiện các chương trình không mong muốn được cài đặt mà người dùng không biết hoặc không đồng ý. Về mặt kỹ thuật, các chương trình này không phải là virus. Thông thường, chúng đi kèm với các chương trình khác, nhưng khi được cài đặt, chúng sẽ ảnh hưởng tiêu cực đến hệ thống, đó là lý do tại sao chúng được phân loại là phần mềm độc hại. Thông thường, các chương trình như vậy có thể được phát hiện bằng cách sử dụng chữ ký phần mềm xám đơn giản từ cơ sở nghiên cứu FortiGuard.
Quét heuristic - công nghệ này dựa trên xác suất, vì vậy việc sử dụng nó có thể gây ra hiệu ứng dương tính giả, nhưng nó cũng có thể phát hiện vi-rút zero day. Vi-rút zero day là vi-rút mới chưa được điều tra và chưa có chữ ký nào có thể phát hiện ra chúng. Quét heuristic không được bật theo mặc định, nó phải được bật trên dòng lệnh.
Nếu tất cả các tính năng chống vi-rút được bật, FortiGate sẽ áp dụng chúng theo thứ tự sau: quét chống vi-rút, quét phần mềm xám, quét theo kinh nghiệm.
FortiGate có thể sử dụng một số cơ sở dữ liệu chống vi-rút, tùy thuộc vào các tác vụ:
- Cơ sở dữ liệu chống vi-rút thông thường (Bình thường) - có trong tất cả các mẫu FortiGate'ov. Nó bao gồm các dấu hiệu của vi-rút đã được phát hiện trong những tháng gần đây. Đây là cơ sở dữ liệu chống vi-rút nhỏ nhất, vì vậy việc quét là nhanh nhất khi sử dụng nó. Tuy nhiên, cơ sở dữ liệu này không thể phát hiện tất cả các loại virus đã biết.
- Mở rộng (Extend) - cơ sở này được hỗ trợ bởi hầu hết các mẫu FortiGate. Nó có thể được sử dụng để phát hiện virus không còn hoạt động. Nhiều nền tảng vẫn dễ bị tấn công bởi những loại vi-rút này. Ngoài ra, những vi-rút này có thể mang lại các vấn đề trong tương lai.
- Và cơ sở cuối cùng, cực đoan (Extreme) - được sử dụng trong các cơ sở hạ tầng yêu cầu mức độ bảo mật cao. Nó có thể phát hiện tất cả các loại vi-rút đã biết, bao gồm cả vi-rút nhắm mục tiêu vào các hệ điều hành cũ hiện không được phân phối rộng rãi. Loại cơ sở dữ liệu chữ ký này cũng không được hỗ trợ bởi tất cả các mẫu FortiGate.
Ngoài ra còn có một cơ sở dữ liệu chữ ký nhỏ gọn được thiết kế để quét nhanh. Chúng ta sẽ nói về nó một lát sau.
Bạn có thể cập nhật cơ sở dữ liệu chống vi-rút bằng các phương pháp khác nhau.
Phương pháp đầu tiên là Cập nhật đẩy - nó cho phép bạn cập nhật cơ sở dữ liệu ngay khi cơ sở nghiên cứu của FortiGuard phát hành bản cập nhật. Điều này hữu ích cho các cơ sở hạ tầng yêu cầu mức độ bảo mật cao, vì FortiGate sẽ nhận được các bản cập nhật khẩn cấp ngay khi chúng có sẵn.
Phương pháp thứ hai là thiết lập một lịch trình. Bằng cách này, bạn có thể kiểm tra các bản cập nhật hàng giờ, hàng ngày hoặc hàng tuần. Đó là, ở đây phạm vi thời gian được đặt theo quyết định của bạn.
Những phương pháp này có thể được sử dụng cùng nhau.
Nhưng bạn cần lưu ý rằng để thực hiện các bản cập nhật, bạn phải bật cấu hình chống vi-rút cho ít nhất một chính sách tường lửa. Nếu không, cập nhật sẽ không được thực hiện.
Bạn cũng có thể tải xuống các bản cập nhật từ trang web hỗ trợ của Fortinet rồi tải chúng lên FortiGate theo cách thủ công.
Xem xét các chế độ quét. Chỉ có ba trong số chúng - Chế độ đầy đủ ở chế độ Dựa trên luồng, Chế độ nhanh ở chế độ Dựa trên luồng và Chế độ đầy đủ ở chế độ proxy. Hãy bắt đầu với Full Mode trong Flow mode.
Giả sử người dùng muốn tải xuống một tệp. Ông gửi một yêu cầu. Máy chủ bắt đầu gửi cho anh ta các gói tạo nên tệp. Người dùng ngay lập tức nhận được các gói này. Nhưng trước khi chuyển các gói này tới người dùng, FortiGate sẽ lưu trữ chúng vào bộ đệm. Sau khi FortiGate nhận được gói cuối cùng, nó sẽ bắt đầu quét tệp. Tại thời điểm này, gói cuối cùng được xếp hàng đợi và không được truyền đến người dùng. Nếu tệp không chứa vi-rút, gói cuối cùng sẽ được gửi cho người dùng. Nếu phát hiện có virus, FortiGate sẽ ngắt kết nối với người dùng.
Chế độ quét thứ hai khả dụng trong Flow Based là Chế độ nhanh. Nó sử dụng cơ sở dữ liệu chữ ký nhỏ gọn chứa ít chữ ký hơn cơ sở dữ liệu chữ ký thông thường. Nó cũng có một số hạn chế so với Full Mode:
- Nó không thể gửi tệp đến hộp cát
- Nó không thể sử dụng phân tích heuristic
- Nó cũng không thể sử dụng các gói liên quan đến phần mềm độc hại di động.
- Một số mô hình cấp nhập cảnh không hỗ trợ chế độ này.
Chế độ nhanh cũng kiểm tra lưu lượng truy cập để tìm vi-rút, sâu máy tính, Trojan và phần mềm độc hại nhưng không cần lưu vào bộ đệm. Điều này mang lại hiệu suất tốt hơn, nhưng đồng thời, xác suất phát hiện vi-rút cũng giảm đi.
Ở chế độ Proxy, chế độ quét duy nhất khả dụng là Chế độ đầy đủ. Với quá trình quét như vậy, FortiGate trước tiên sẽ tự lưu trữ toàn bộ tệp (tất nhiên là trừ khi vượt quá kích thước tệp cho phép để quét). Máy khách phải đợi quá trình quét hoàn tất. Nếu phát hiện virus trong quá trình quét, người dùng sẽ được thông báo ngay lập tức. Vì FortiGate lưu toàn bộ tệp trước rồi mới quét tệp nên quá trình này có thể mất khá nhiều thời gian. do đó, khách hàng có thể kết thúc kết nối trước khi nhận được tệp do độ trễ lâu.
Hình bên dưới cung cấp bảng so sánh các chế độ quét - bảng này sẽ giúp bạn xác định loại quét nào phù hợp với tác vụ của mình. Cấu hình và kiểm tra hiệu suất của phần mềm chống vi-rút được xem xét trong thực tế trong video ở cuối bài viết.
Chúng ta hãy chuyển sang phần thứ hai của bài học - hệ thống ngăn chặn xâm nhập. Nhưng để bắt đầu nghiên cứu IPS, bạn cần hiểu sự khác biệt giữa khai thác và bất thường, cũng như hiểu cơ chế nào FortiGate sử dụng để bảo vệ chống lại chúng.
Khai thác là các cuộc tấn công đã biết, với các mẫu cụ thể, có thể được phát hiện bằng IPS, WAF hoặc chữ ký chống vi-rút.
Điểm bất thường là hành vi bất thường trên mạng, chẳng hạn như lưu lượng truy cập cao bất thường hoặc mức tiêu thụ CPU cao hơn bình thường. Cần theo dõi các điểm bất thường vì chúng có thể là dấu hiệu của một cuộc tấn công mới chưa được khám phá. Sự bất thường thường được phát hiện bằng cách sử dụng phân tích hành vi - cái gọi là chữ ký dựa trên tỷ lệ và chính sách DoS.
Do đó, IPS trên FortiGate sử dụng các cơ sở chữ ký để phát hiện các cuộc tấn công đã biết và chữ ký Dựa trên tỷ lệ và chính sách DoS để phát hiện các điểm bất thường khác nhau.
Theo mặc định, một bộ chữ ký IPS ban đầu được bao gồm trong mọi phiên bản của hệ điều hành FortiGate. Với các bản cập nhật, FortiGate nhận được chữ ký mới. Do đó, IPS vẫn có hiệu quả chống lại các khai thác mới. Dịch vụ FortiGuard cập nhật chữ ký IPS khá thường xuyên.
Một điểm quan trọng áp dụng cho cả IPS và phần mềm chống vi-rút là nếu giấy phép của bạn đã hết hạn, bạn vẫn có thể sử dụng các chữ ký mới nhất mà bạn nhận được. Nhưng nhận những cái mới mà không có giấy phép sẽ không hoạt động. Do đó, việc không có giấy phép là rất không mong muốn - khi các cuộc tấn công mới xuất hiện, bạn sẽ không thể tự bảo vệ mình bằng các chữ ký cũ.
Cơ sở dữ liệu chữ ký IPS được chia thành cơ sở dữ liệu thông thường và mở rộng. Cơ sở dữ liệu thông thường chứa các dấu hiệu cho các cuộc tấn công phổ biến mà rất hiếm khi hoặc không bao giờ gây ra thông báo sai. Hành động mặc định cho hầu hết các chữ ký này là một khối.
Cơ sở mở rộng chứa các chữ ký tấn công bổ sung có tác động đáng kể đến hiệu suất hệ thống hoặc không thể bị chặn do tính chất đặc biệt của chúng. Do kích thước của đế này, nó không khả dụng cho các mẫu FortiGate có ổ đĩa hoặc RAM nhỏ. Nhưng đối với môi trường bảo mật cao, bạn có thể cần sử dụng cơ sở mở rộng.
Thiết lập và xác minh IPS cũng được đề cập trong video bên dưới.
Trong bài học tiếp theo, chúng ta sẽ xem xét cách làm việc với người dùng. Để không bỏ lỡ, hãy theo dõi thông tin cập nhật trên các kênh sau:
Nguồn: www.habr.com