7. פאָרטינעט געטינג סטאַרטעד וו6.0. אַנטיווירוס און IPS

גרעעטינגס! ברוכים הבאים צו דער זיבעטער לעקציע פון ​​דעם קורס פאָרטינעט געטינג סטאַרטעד. אויף לעצטע לעקציע מיר האָבן זיך באַקענט מיט זיכערהייט פּראָופיילז ווי וועב פילטערינג, אַפּפּליקאַטיאָן קאָנטראָל און הטטפּס דורכקוק. אין דעם לעקציע מיר וועלן פאָרזעצן אונדזער הקדמה צו זיכערהייט פּראָופיילז. ערשטער, מיר וועלן באַקומען באַקאַנט מיט די טעאָרעטיש אַספּעקץ פון די אָפּעראַציע פון ​​אַן אַנטיווירוס און ינטרוזשאַן פאַרהיטונג סיסטעם, און דערנאָך מיר וועלן קוקן אין ווי די זיכערהייט פּראָופיילז אַרבעט אין פיר.

זאל ס אָנהייבן מיט די אַנטיווירוס. ערשטער, לאָמיר דיסקוטירן די טעקנאַלאַדזשיז וואָס FortiGate ניצט צו דעטעקט ווירוסעס:
אַנטיווירוס סקאַנינג איז די יזיאַסט און פאַסטאַסט אופֿן פון דיטעקטינג ווירוסעס. עס דיטעקץ ווירוסעס וואָס גאָר גלייַכן די סיגנאַטשערז קאַנטיינד אין די אַנטי-ווירוס דאַטאַבייס.

גרייוואַרע סקאַן אָדער אַנוואָנטיד פּראָגראַם סקאַנינג - די טעכנאָלאָגיע דיטעקץ אַנוואָנטיד מגילה וואָס זענען אינסטאַלירן אָן דער באַניצער ס וויסן אָדער צושטימען. טעקניקלי, די מגילה זענען נישט ווירוסעס. זיי יוזשאַוואַלי קומען באַנדאַלד מיט אנדערע מגילה, אָבער ווען אינסטאַלירן זיי נעגאַטיוולי ווירקן די סיסטעם, וואָס איז וואָס זיי זענען קלאַסאַפייד ווי מאַלוואַרע. אָפט אַזאַ מגילה קענען זיין דיטעקטאַד מיט פּשוט גרייוואַרע סיגנאַטשערז פון די פאָרטיגואַרד פאָרשונג באַזע.

כיוריסטיק סקאַנינג - די טעכנאָלאָגיע איז באזירט אויף מאַשמאָעס, אַזוי די נוצן קענען אָנמאַכן פאַלש positive יפעקץ, אָבער עס קען אויך דעטעקט נול טאָג ווירוסעס. נול טאָג ווירוסעס זענען נייַע ווירוסעס וואָס זענען נאָך נישט געלערנט, און עס זענען קיין סיגנאַטשערז וואָס קען דעטעקט זיי. כיוריסטיק סקאַנינג איז ניט ענייבאַלד דורך פעליקייַט און מוזן זיין ענייבאַלד אויף די באַפֿעלן שורה.

אויב אַלע אַנטיווירוס קייפּאַבילאַטיז זענען ענייבאַלד, FortiGate אַפּלייז זיי אין די פאלגענדע סדר: אַנטיווירוס סקאַנינג, גרייוואַרע סקאַנינג, כיוריסטיק סקאַנינג.

FortiGate קענען נוצן עטלעכע אַנטי-ווירוס דאַטאַבייסיז, דיפּענדינג אויף די טאַסקס:

• נאָרמאַל אַנטיווירוס דאַטאַבייס (נאָרמאַל) - קאַנטיינד אין אַלע פאָרטייגאַטע מאָדעלס. עס כולל סיגנאַטשערז פֿאַר ווירוסעס וואָס זענען דיסקאַווערד אין די לעצטע חדשים. דאָס איז דער קלענסטער אַנטיווירוס דאַטאַבייס, אַזוי עס סקאַנז די פאַסטאַסט ווען געוויינט. אָבער, דעם דאַטאַבאַסע קען נישט דעטעקט אַלע באַוווסט ווירוסעס.
• עקסטענדעד - דעם באַזע איז געשטיצט דורך רובֿ FortiGate מאָדעלס. עס קענען זיין געוויינט צו דעטעקט ווירוסעס וואָס זענען ניט מער אַקטיוו. פילע פּלאַטפאָרמס זענען נאָך שפּירעוודיק צו די ווירוסעס. אויך, די ווירוסעס קענען גרונט פּראָבלעמס אין דער צוקונפֿט.
• און די לעצטע, עקסטרעם באַזע (עקסטרעמע) - איז געניצט אין ינפראַסטראַקטשער ווו אַ הויך מדרגה פון זיכערהייט איז פארלאנגט. מיט זיין הילף, איר קענען דעטעקט אַלע באַוווסט ווירוסעס, אַרייַנגערעכנט ווירוסעס אַימעד בייַ אַוטדייטיד אַפּערייטינג סיסטעמס, וואָס זענען נישט וויידלי פונאנדערגעטיילט אין דעם מאָמענט. דער טיפּ פון כסימע דאַטאַבייס איז אויך נישט געשטיצט דורך אַלע פאָרטיגאַטע מאָדעלס.

עס איז אויך אַ סאָליד כסימע דאַטאַבייס דיזיינד פֿאַר שנעל סקאַנינג. מיר וועלן רעדן וועגן אים אַ ביסל שפּעטער.

איר קענען דערהייַנטיקן אַנטי-ווירוס דאַטאַבייסיז מיט פאַרשידענע מעטהאָדס.

דער ערשטער אופֿן איז Push Update, וואָס אַלאַוז דאַטאַבייסיז צו זיין דערהייַנטיקט ווי באַלד ווי די פאָרטיגואַרד פאָרשונג דאַטאַבייס ריליסיז אַ דערהייַנטיקן. דאָס איז נוציק פֿאַר ינפראַסטראַקטשער וואָס דאַרפן אַ הויך זיכערהייט מדרגה, ווייַל FortiGate וועט באַקומען דרינגלעך דערהייַנטיקונגען ווי באַלד ווי זיי זענען בארעכטיגט.

די רגע אופֿן איז צו שטעלן אַ פּלאַן. דעם וועג איר קענען קאָנטראָלירן פֿאַר דערהייַנטיקונגען יעדער שעה, טאָג אָדער וואָך. אַז איז, דאָ די צייט קייט איז באַשטימט לויט דיין דיסקרעשאַן.
די מעטהאָדס קענען זיין געוויינט צוזאַמען.

אָבער איר דאַרפֿן צו האַלטן אין זינען אַז אין סדר צו מאַכן דערהייַנטיקונגען, איר מוזן געבן די אַנטיווירוס פּראָפיל פֿאַר בייַ מינדסטער איין פיירוואַל פּאָליטיק. אַנדערש, דערהייַנטיקונגען וועט נישט זיין געמאכט.

איר קענט אויך אראפקאפיע דערהייַנטיקונגען פֿון די פאָרטינעט שטיצן פּלאַץ און דאַן מאַניואַלי ופּלאָאַד זיי צו FortiGate.

זאל ס קוק אין די סקאַנינג מאָדעס. עס זענען בלויז דריי פון זיי - גאַנץ מאָדע אין פלאָו באַזירט מאָדע, שנעל מאָדע אין פלאָו באַזירט מאָדע און גאַנץ מאָדע אין פּראַקסי מאָדע. זאל ס אָנהייבן מיט גאַנץ מאָדע אין פלאָו מאָדע.

זאל ס זאָגן אַ באַניצער וויל צו אָפּלאָדירן אַ טעקע. ער שיקט א בקשה. דער סערווער הייבט צו שיקן אים פּאַקיץ וואָס מאַכן די טעקע. דער באַניצער גלייך נעמט די פּאַקאַדזשאַז. אבער איידער דיליווערינג די פּאַקיץ צו דער באַניצער, FortiGate קאַש זיי. נאָך FortiGate נעמט די לעצטע פּאַקאַט, עס הייבט צו יבערקוקן די טעקע. אין דעם צייט, די לעצטע פּאַקאַט איז קיי און ניט טראַנסמיטטעד צו דער באַניצער. אויב די טעקע טוט נישט אַנטהאַלטן ווירוסעס, די לעצטע פּאַקאַט איז געשיקט צו דער באַניצער. אויב אַ ווירוס איז דיטעקטאַד, FortiGate ברייקס די קשר מיט די באַניצער.

די צווייטע סקאַנינג מאָדע בנימצא אין פלאָו באַזירט איז קוויק מאָדע. עס ניצט אַ סאָליד כסימע דאַטאַבייס, וואָס כּולל ווייניקערע סיגנאַטשערז ווי אַ רעגולער דאַטאַבייס. עס אויך האט עטלעכע לימיטיישאַנז קאַמפּערד מיט גאַנץ מאָדע:

• עס קען נישט שיקן טעקעס צו די זאַמדקאַסטן
• עס קען נישט נוצן כיוריסטיק אַנאַליסיס
• עס קען אויך נישט נוצן פּאַקאַדזשאַז שייַכות צו רירעוודיק מאַלוואַרע
• עטלעכע פּאָזיציע-מדרגה מאָדעלס טאָן ניט שטיצן דעם מאָדע.

שנעל מאָדע אויך קאָנטראָלירן פאַרקער פֿאַר ווירוסעס, וואָרמס, טראָודזשאַנז און מאַלוואַרע, אָבער אָן באַפערינג. דאָס גיט בעסער פאָרשטעלונג, אָבער אין דער זעלביקער צייט די ליקעליהאָאָד פון דיטעקטינג אַ ווירוס איז רידוסט.

אין פּראָקסי מאָדע, דער בלויז סקאַנינג מאָדע איז גאַנץ מאָדע. מיט אַזאַ אַ יבערקוקן, פאָרטיגאַטע ערשטער סטאָרז די גאנצע טעקע אויף זיך (סייַדן, פון קורס, די ערלויבט טעקע גרייס פֿאַר סקאַנינג איז יקסידיד). דער קליענט מוזן וואַרטן פֿאַר די יבערקוקן צו פאַרענדיקן. אויב אַ ווירוס איז דיטעקטאַד בעשאַס סקאַנינג, דער באַניצער וועט זיין נאָוטאַפייד מיד. ווייַל FortiGate ערשטער סאַוועס די גאנצע טעקע און דאַן סקאַנז עס, דאָס קען נעמען גאַנץ אַ לאַנג צייַט. ווייַל פון דעם, עס איז מעגלעך פֿאַר דער קליענט צו פאַרענדיקן די קשר איידער באקומען די טעקע רעכט צו אַ לאַנג פאַרהאַלטן.

די פיגור אונטן ווייַזן אַ פאַרגלייַך טיש פֿאַר סקאַנינג מאָדעס - עס וועט העלפֿן איר באַשליסן וואָס טיפּ פון סקאַנינג איז פּאַסיק פֿאַר דיין טאַסקס. באַשטעטיקן און קאָנטראָלירן די פאַנגקשאַנאַליטי פון די אַנטיווירוס איז דיסקאַסט אין פיר אין די ווידעא אין די סוף פון דעם אַרטיקל.

לאָמיר גיין צו דער צווייטער טייל פון דער לעקציע - די סיסטעם פֿאַר פאַרהיטונג פון ינטרוזשאַן. אָבער אין סדר צו אָנהייבן לערנען IPS, איר דאַרפֿן צו פֿאַרשטיין די חילוק צווישן עקספּלויץ און אַנאַמאַליז, און אויך פֿאַרשטיין וואָס מעקאַניזאַמז FortiGate ניצט צו באַשיצן קעגן זיי.

עקספּלאָיץ זענען באַוווסט אנפאלן מיט ספּעציפיש פּאַטערנז וואָס קענען זיין דיטעקטאַד מיט IPS, WAF אָדער אַנטיווירוס סיגנאַטשערז.

אַנאַמאַליעס זענען ומגעוויינטלעך נאַטור אויף אַ נעץ, אַזאַ ווי אַ ומגעוויינטלעך גרויס סומע פון ​​פאַרקער אָדער העכער ווי נאָרמאַל קפּו קאַנסאַמשאַן. אַנאַמאַליז זענען יוזשאַוואַלי דיטעקטאַד ניצן נאַטוראַל אַנאַליסיס - אַזוי גערופענע קורס-באזירט סיגנאַטשערז און דאָס פּאַלאַסיז.

ווי אַ רעזולטאַט, IPS אויף FortiGate ניצט כסימע באַסעס צו דעטעקט באַוווסט אנפאלן, און קורס-באזירט סיגנאַטשערז און דאָס פּאַלאַסיז צו דעטעקט פאַרשידן אַנאַמאַליז.

דורך פעליקייַט, אַן ערשט גאַנג פון IPS סיגנאַטשערז איז ינקלודעד מיט יעדער ווערסיע פון ​​​​די FortiGate אָפּערייטינג סיסטעם. מיט דערהייַנטיקונגען, FortiGate נעמט נייַע סיגנאַטשערז. דעם וועג, IPS בלייבט עפעקטיוו קעגן נייַע עקספּלויץ. FortiGuard דערהייַנטיקט IPS סיגנאַטשערז גאַנץ אָפט.

א וויכטיק פונט וואָס אַפּלייז צו ביידע IPS און אַנטיווירוס איז אַז אויב דיין לייסאַנסיז זענען אויסגעגאנגען, איר קענט נאָך נוצן די לעצטע סיגנאַטשערז באקומען. אָבער איר וועט נישט קענען צו באַקומען נייַע אָן לייסאַנסיז. דעריבער, דער אַוועק פון לייסאַנסיז איז גאָר אַנדיזייראַבאַל - אויב נייַ אנפאלן דערשייַנען, איר וועט נישט קענען צו באַשיצן זיך מיט אַלט סיגנאַטשערז.

IPS כסימע דאַטאַבייסיז זענען צעטיילט אין רעגולער און עקסטענדעד. א טיפּיש דאַטאַבייס כּולל סיגנאַטשערז פֿאַר פּראָסט אנפאלן וואָס ראַרעלי אָדער קיינמאָל גרונט פאַלש פּאַזאַטיווז. די פּריקאַנפיגיערד קאַמף פֿאַר רובֿ פון די סיגנאַטשערז איז בלאָק.

די עקסטענדעד דאַטאַבייס כּולל נאָך באַפאַלן סיגנאַטשערז וואָס האָבן אַ באַטייטיק פּראַל אויף סיסטעם פאָרשטעלונג, אָדער וואָס קענען ניט זיין אפגעשטעלט רעכט צו זייער ספּעציעל נאַטור. רעכט צו דער גרייס פון דעם דאַטאַבייס, עס איז נישט בנימצא אויף פאָרטייגאַטע מאָדעלס מיט קליין דיסק אָדער באַראַן. אָבער פֿאַר העכסט זיכער ינווייראַנמאַנץ, איר קען דאַרפֿן צו נוצן אַן עקסטענדעד באַזע.

באַשטעטיקן און קאָנטראָלירן די פאַנגקשאַנאַליטי פון IPS איז אויך דיסקאַסט אין די ווידעא אונטן.

אין דער ווייַטער לעקציע מיר וועלן קוקן אין ארבעטן מיט ניצערס. כּדי נישט צו פאַרפירן עס, נאָכגיין די דערהייַנטיקונגען אויף די פאלגענדע טשאַנאַלז:

• יאָוטובע
• ווקאָנטאַקטע קהל
• יאַנדעקס זען
• אונדזער פּלאַץ
• טעלעגראַם קאַנאַל

מקור: www.habr.com