Fortigate: Antivírus

Um antivírus é basicamente uma base de dados que contém assinaturas de vírus e é utilizada para detectar, identificar  e remover programas e arquivos maliciosos, chamados atualmente de malware. O termo malware é proveniente do inglês malicious software (“software malicioso mal-intencionado”) e é um software destinado a infiltrar-se em um sistema de computador de forma ilícita, com o intuito de causar danos, alterações ou roubo de informações. Um malware pode aparecer na forma de código executável, scripts de conteúdo ativo, e outros softwares. O termo malware é utilizado para se referir a uma variedade de formas de softwares hostis ou intrusos.

Fortigate AV e técnicas para detecção

Com o poder computacional dos firewalls de nova geração (NGFW) é possível incluir a inspeção de arquivos no tráfego que passa pelo firewall, permitindo a monitoração, permissão ou bloqueio dos pacotes da rede.

Os firewalls Fortigate permitem a configuração de inspeção do tráfego em perfis de segurança chamados de Security Profiles, os quais podem ser aplicados posteriormente às políticas de firewallPolicy IPv4, por exemplo – e isso inclui também a utilização do antivirus (além do web filter, app control, ips, entre outros).

A função do antivírus no firewall é detectar e proteger as ameaças de malware durante o download, antes da entrega do arquivo ao usuário, com a função de gateway antivírus.

Um firewall Fortigate licenciado com antivirus inclui as seguintes técnicas para detecção de malware:

  • Antivirus scan: É o modo mais simples e rápido para detecção de arquivos maliciosos e é baseado na comparação do malware com a base de assinaturas.
  • Grayware scan: Detecta programas não solicitados, conhecidos como grayware e que são instalados sem o conhecimento e consentimento do usuário, como adware, spyware, trackware entre outros. Grayware não é tecnicamente um vírus, mas executa processos não solicitados e por isso é categorizado como malware. A sua detecção pelo FortiGuard é baseada em assinatura.
  • Heuristics scan: A detecção heurística é avalia o tráfego com o intuito de detectar um código malicioso desconhecido por meio de semelhanças e isso aumenta o número de falsos positivos e a detecção de zero-day. Se a rede é um alvo frequente de malwares, ao habilitar o a detecção heurística haverá uma queda no desempenho, mas em contrapartida ajudará na detecção do malware antes do início do surto. A heurística funciona de acordo com a maneira como ‘algo se comporta’ e pode detectar um novo vírus que seria indetectável. Por padrão o modo ‘heuristics scan’ detecta o malware baseado em suas características e registra o ‘arquivo’ como suspeito, mas não efetua o bloqueio. Para habilitar o modo, faça-o via CLI config antivirus heuristic e então configure o modo de bloqueio.

Se todas as técnicas de scan são habilitadas no firewall, o Fortigate seguirá a seguinte ordem na detecção de vírus:

A Base de assinaturas

O Fortiguard trabalha com 3 bases de assinatura de vírus: Normal, Extended e Extreme.

Todo Fortigate trabalha com base a Normal que contém as assinaturas detectadas nos últimos meses pelo time de pesquisa da Fortinet. Esta base é menor que as outras e possui melhor performance durante o scan. A base Extended detecta também malwares que não estão mais em atividade e a base Extreme deve ser usada em ambientes que necessitam de alta segurança, pois detecta todos vírus conhecidos, incluindo aqueles direcionados para os Sistemas operacionais legados e que não são largamente utilizados.

config antivirus settings
               set default-db ( normal | extended | extreme)
end

Atualização de assinaturas

Atualização das assinaturas de antivirus pode ser efetuada utilizando os métodos push, schedule (agendamento) ou both (ambos).

Acessando o menu System > FortiGuard é possível também habilitar Accept push updates, que permite adicionar atualizações ao tempo que são liberadas pelo Fortiguard. Esse tipo de implementação é bastante utilizado em ambientes que exigem urgência nas atualizações.

Configurando o antivírus profile e aplicando a uma policy

Para criar um perfil de antivírus e aplica-lo em uma policy, clique em Security Profiles > Antivirus. No canto superior direito é possível definir um novo perfil para antivirus ou editar e validar algum já configurado.

Uma vez escolhido, é possível editar as principais opções:

Para aplicar o perfil de antivirus na policy, vá em Policy IPv4, atualize uma policy existente ou clique em new (para uma nova Policy) e atribua a configuração de antivírus.

Obs: As politicas de firewall são lidas de cima para baixo (top-down),  pois uma vez que o pacote é comparado com as regras, ao dar match em uma das regra as outras regras abaixo não são mais comparadas com o pacote analisado. Atente-se a isso.

Dúvidas deixe um comentário.

Até logo!

Referências:

COSTA, William. Implementando Segurança com FortiOS. Rio de Janeiro: Editora Ciência Moderna LTDA, 2018.

FortiOS™ Handbook – Security Profiles – VERSION 6.0.1

Leave a Reply

Your email address will not be published. Required fields are marked *