Поиск по сайту

Мнение экспертов

25.12.18

Антивирус (Antivirus)

Введение

В предыдущей статье мы рассматривали модули защиты FortiGate. Сегодня предлагаем изучить более подробно один из них - антивирус. Начнем с того, что выясним общие принципы его работы и назначение.


Зачем нужен Антивирус и какой он бывает?

Антивирус представляет собой базу вирусных сигнатур (определенных шаблонов), которые используются для обнаружения вредоносного ПО путем поиска совпадений между сигнатурами и ПО.

Существуют несколько типов антивирусов. Один из них - , программное обеспечение, устанавливаемое на конечное устройство. Оно помогает защитить конкретный компьютер, однако это ПО не может быть установлено на устройства, управляющие сетью.  Это ставит под угрозу ее безопасность. Ведь не на всех конечных устройствах может быть установлен антивирус.

Здесь приходят на помощь аппаратные межсетевые экраны со встроенной функцией антивируса. Их можно расположить на периметре сети и таким образом обеспечить защиту всех конечных устройств, подключенных к данному межсетевому экрану.


Этапы работы антивируса в рамках решения Fortigate (вкл/выкл)

FortiGate имеет три этапа антивирусного сканирования для обеспечения большей защиты от вредоносного ПО. Они включают в себя:FortiGate

1) Antivirus scan – - обнаруживает ПО, которое точно соответствует сигнатуре в антивирусной базе. Этот этап обнаружения зловредов является самым простым. 
2) Grayware scan – - обнаруживает «нелегальные» программы, которые могут быть установлены без ведома или согласия пользователей. Они часто поставляются с безобидным ПО. Но в то же время, они могут привести к ряду нежелательных побочных эффектов. Именно поэтому они относятся к категории вредоносного ПО. Обычно оно легко обнаруживается простыми grayware сигнатурами. 
3) Heuristics scan – - основан на вероятностях, поэтому при эвристическом сканировании возможны ложные срабатывания. Также это может потребовать больших затрат производительности. Но в то же время, это сканирование может обнаружить новое, неизвестное вредоносное ПО. По умолчанию, когда обнаруживается вирусоподобный признак, данный файл регистрируется как подозрительный, но не блокируется. Пользователь может самостоятельно выбрать необходимое действие: блокировать или разрешать подозрительные файлы. Этот этап можно активировать только из командной строки.

Если активированы все три этапа, сканирование выполняется в последовательности Antivirus scan → Grayware scan → Heuristics scan.


Что такое FortiSandBox и зачем она нужна?

Также стоит сказать о FortiSandBox (песочнице). Для ее активации необходимо включить FortiCloud или же приобрести аппаратное устройство.  Песочница обнаруживает неизвестные угрозы с высокой точностью. Это достигается с помощью того, что файлы, которые необходимо проверить, отсылаются на виртуальную машину и выполняются в изолированной среде. В процессе выполнения FortiSandBox непрерывно анализирует состояние системы, что позволяет выявить негативное влияние ПО и обнаружить угрозу.

Интеграция с FortiSandbox активируется в меню SecurityFabric-Settings. После этого, возможность использования песочницы активируется и настраивается в профилях безопасности Antivirus.


Выбор режима сканирования

Если FortiGate работает в режиме Flow-Based Inspection, и в качестве режима NGFW выбран Profile-based (см. рис. 1), то доступны два режима сканирования: полный и быстрый.

 

Рисунок 1. Режимы сканирования: полный и быстрый.

При полном режиме сканирования клиент отправляет запрос и начинает незамедлительно получать ответные пакеты, но в то же время FortiGate кэширует их. Когда приходит последний пакет — FortiGate также кэширует его, но клиенту не отправляет. Затем весь кэшированный трафик передается механизму IPS и после этого передается движку антивируса для сканирования. Если антивирусное сканирование не обнаруживает вирусов, последний пакет доставляется клиенту. Но если была обнаружена угроза, последний пакет будет удален. Даже если клиент получил большую часть файла, он не сможет его открыть/запустить, так как файл будет неполным.

Режим быстрого сканирования использует механизм IPS со встроенной антивирусной базой, которая содержит меньше сигнатур. Этот режим имеет некоторые ограничения, по сравнению с режимом полного сканирования: 

• Не поддерживает отправку файлов FortiSandBox для сканирования 
• Не использует расширенную эвристику; 
• Не использует мобильные вредоносные пакеты. 

Некоторые модели FortiGate начального уровня не поддерживают этот метод. Также опция быстрого сканирования доступна только в режиме Flow-Based.

Как уже было сказано, при быстром сканировании используется IPS движок. Кэширование пакетов не производится. Это обеспечивает лучшую производительность, однако вероятность обнаружения вредоносного ПО снижается.


Как выбрать режим полного или быстрого сканирования?

Для этого необходимо перейти в необходимый профиль безопасности и в поле Scan Mode выбрать необходимую функцию (см. рис. 2).

 

 Рисунок 2. Выбор режима сканирования.

Читатель, который ознакомлен с нашими предыдущими статьями, мог заметить, что конфигурация данного профиля отличается от той, что мы приводили в пример в прошлый раз. Это связано с режимом работы FortiGate. На тот момент он работал в режиме Proxy-based. Сейчас мы рассмотрим этот режим. (см. рис. 1).

При работе в режиме прокси, клиент отправляет запрос, и FortiGate начинает кэшировать ответные пакеты. Клиент в этот момент ответа не получает. После того, как весь файл будет закэширован, он отправляется движку антивируса для проверки. Если не было обнаружено угроз, FortiGate начинает отсылать файл клиенту. Если же угроза была обнаружена, передача не происходит, и пользователь получает уведомление о том, что файл запрещен. Следует отметить, что в режиме прокси недоступен режим быстрого сканирования.

Также настройка профиля безопасности в режиме прокси позволяет выбрать протоколы, которые необходимо сканировать. Это позволяет получить более точный контроль над сканированием (см. рис. 3).

 

Рисунок 3. Пример настройки профиля безопасности при режиме прокси.

Необходимо всегда помнить о том, что антивирусы по умолчанию могут сканировать только незашифрованный трафик. Если перед вами стоит задача сканирования зашифрованного трафика, необходимо в нужной политике активировать профиль SSL/SSH инспекции (эта тема будет освещена в одной из следующих статей).


Заключение

Мы рассмотрели работу антивируса в двух режимах инспекции — Flow Based и Proxy. И теперь появляется вопрос: какой режим выбрать? Однозначного ответа нет. Могу лишь дать совет — если производительность у вас в приоритете, Flow Based режим более подходящий. Если же в приоритете безопасность, Proxy режим подойдет вам больше.