Um antivírus é basicamente uma base de dados que contém assinaturas de vírus e é utilizada para detectar, identificar e remover programas e arquivos maliciosos, chamados atualmente de malware. O termo malware é proveniente do inglês malicious software (“software malicioso mal-intencionado”) e é um software destinado a infiltrar-se em um sistema de computador de forma ilícita, com o intuito de causar danos, alterações ou roubo de informações. Um malware pode aparecer na forma de código executável, scripts de conteúdo ativo, e outros softwares. O termo malware é utilizado para se referir a uma variedade de formas de softwares hostis ou intrusos.
Fortigate AV e técnicas para detecção
Com o poder computacional dos firewalls de nova geração (NGFW) é possível incluir a inspeção de arquivos no tráfego que passa pelo firewall, permitindo a monitoração, permissão ou bloqueio dos pacotes da rede.
Os firewalls Fortigate permitem a configuração de inspeção do tráfego em perfis de segurança chamados de Security Profiles, os quais podem ser aplicados posteriormente às políticas de firewall – Policy IPv4, por exemplo – e isso inclui também a utilização do antivirus (além do web filter, app control, ips, entre outros).
A função do antivírus no firewall é detectar e proteger as ameaças de malware durante o download, antes da entrega do arquivo ao usuário, com a função de gateway antivírus.
Um firewall Fortigate licenciado com antivirus inclui as seguintes técnicas para detecção de malware:
- Antivirus scan: É o modo mais simples e rápido para detecção de arquivos maliciosos e é baseado na comparação do malware com a base de assinaturas.
- Grayware scan: Detecta programas não solicitados, conhecidos como grayware e que são instalados sem o conhecimento e consentimento do usuário, como adware, spyware, trackware entre outros. Grayware não é tecnicamente um vírus, mas executa processos não solicitados e por isso é categorizado como malware. A sua detecção pelo FortiGuard é baseada em assinatura.
- Heuristics scan: A detecção heurística é avalia o tráfego com o intuito de detectar um código malicioso desconhecido por meio de semelhanças e isso aumenta o número de falsos positivos e a detecção de zero-day. Se a rede é um alvo frequente de malwares, ao habilitar o a detecção heurística haverá uma queda no desempenho, mas em contrapartida ajudará na detecção do malware antes do início do surto. A heurística funciona de acordo com a maneira como ‘algo se comporta’ e pode detectar um novo vírus que seria indetectável. Por padrão o modo ‘heuristics scan’ detecta o malware baseado em suas características e registra o ‘arquivo’ como suspeito, mas não efetua o bloqueio. Para habilitar o modo, faça-o via CLI config antivirus heuristic e então configure o modo de bloqueio.
Se todas as técnicas de scan são habilitadas no firewall, o Fortigate seguirá a seguinte ordem na detecção de vírus:
A Base de assinaturas
O Fortiguard trabalha com 3 bases de assinatura de vírus: Normal, Extended e Extreme.
Todo Fortigate trabalha com base a Normal que contém as assinaturas detectadas nos últimos meses pelo time de pesquisa da Fortinet. Esta base é menor que as outras e possui melhor performance durante o scan. A base Extended detecta também malwares que não estão mais em atividade e a base Extreme deve ser usada em ambientes que necessitam de alta segurança, pois detecta todos vírus conhecidos, incluindo aqueles direcionados para os Sistemas operacionais legados e que não são largamente utilizados.
config antivirus settings
set default-db ( normal | extended | extreme)
end
Atualização de assinaturas
Atualização das assinaturas de antivirus pode ser efetuada utilizando os métodos push, schedule (agendamento) ou both (ambos).
Acessando o menu System > FortiGuard é possível também habilitar Accept push updates, que permite adicionar atualizações ao tempo que são liberadas pelo Fortiguard. Esse tipo de implementação é bastante utilizado em ambientes que exigem urgência nas atualizações.
Configurando o antivírus profile e aplicando a uma policy
Para criar um perfil de antivírus e aplica-lo em uma policy, clique em Security Profiles > Antivirus. No canto superior direito é possível definir um novo perfil para antivirus ou editar e validar algum já configurado.
Uma vez escolhido, é possível editar as principais opções:
Para aplicar o perfil de antivirus na policy, vá em Policy IPv4, atualize uma policy existente ou clique em new (para uma nova Policy) e atribua a configuração de antivírus.
Obs: As politicas de firewall são lidas de cima para baixo (top-down), pois uma vez que o pacote é comparado com as regras, ao dar match em uma das regra as outras regras abaixo não são mais comparadas com o pacote analisado. Atente-se a isso.
Dúvidas deixe um comentário.
Até logo!
Referências:
COSTA, William. Implementando Segurança com FortiOS. Rio de Janeiro: Editora Ciência Moderna LTDA, 2018.
FortiOS
Handbook – Security Profiles – VERSION 6.0.1