Fortiguard как отключить на ноутбуке

Обновлено: 04.07.2024

FortiGuard — это интернет фильтр, файрвол и прокси в одном флаконе. Вообще FortiGuard состоит из целой кучи компонентов таких как: FortiGate, FortiMail, FortiWeb, FortiDB, FortiClient, FortiWifi, FortiAP, FortiAnalyzer, FortiManager, FortiScan, FortiNet, нас интересует его последний компонент FortiNet это глобальный межсетевой экран включающий в себя контент-контроль и интернет фильтр.

FortiGuard как панацея

Я точно не знаком с принципами работы FortiGuard, но проведя пару простых тестов, стало ясно, что контент-контроль и интернет фильтрация реализуются с помощью централизованного сервера, через который весь интранет ходит в интернет, т.е. они ещё и траффик твой смотреть могут козлы, на сервере установлен межсетевой экран на основе программного обеспечения от FortiGuard.

Базару нет, штука мощная и судя из моих испытаний, она блокирует контент сразу на нескольких уровнях:

На уровне протоколов, т.е. разрешен только TCP протокол, все остальные, включая UDP жестоко забанены.
На уровне портов, открыт только один единственный порт номер 80, через который браузеры ходят в интернет, всякие там 21 и 443 порты закрыты наглухо.
На уровне разрешения файлов, т.е. любой файл с разрешением exe, mp3, mov, mpeg4, jpg, png скачать нельзя.
По выборке слов, т.е. все запросы моментально и без разговоров.

Возможно есть что-то ещё, но я этого не обнаружил, ибо не сильно то и старался, моей целью было не изучить принцип работы FortiGuard фильтра, а его обойти, и это мне удалось.

Ситуация

Моя конкретная ситуация была такова:

Персональный компьютер под управлением Windows 7
Выход в интернет на скорости 10Mbit/s
На сетевом шлюзе, FortiGuard фильтр который банит всё и вся.
Отсутствие администраторских прав, т.е. ничего установить на компьютере нельзя

Возможности загрузить exe-файлы нет, зайти на сайты , , homeporn невозможно, так же как и забанены сайты Tor Project, Putty, Reminna и сайты прочих утилит удаленного и анонимного доступа. Забанены все анонимайзеры.

Стратегия обхода FortiGuard фильтра

Тут любому придет на ум две вещи, это Tor и SSH, вот и мне это пришло в голову. Но доступ к проектам Tor и SSH (PuTTy) закрыт, а загрузить что либо из сети не возможно, все файловые хостинги и варезные порталы порезаны. Тогда родился нехитрый план.

Как вариант можно сделать X-проброс, но так как у меня на сервере ИКС’ов нет, то и пробрасывать нечего, хотя как один из вариантов работать будет. Думаю в следующий раз я так и сделаю, так как ИКС’ы есть у меня на Ubuntu-лептопе дома, вот через него можно.

Теперь давайте уделим внимание каждому из пунктов:

1) На iPhone есть 3G-интернет, openSSH и Terminal, но можно, и даже нужно, просто использовать любой другой компьютер со свободным доступом в интернет, конечно это актуально если дома у вас есть сервер или компьютер на Linux который смотрит в сеть, у меня Linux Debian 6.0 RC2 с openssh демоном на борту.

Всё в том же iPhone через Terminal и openSSH я подключаюсь на внешний IP-адрес моего домашнего сервера и запускаю там консольный браузер lynx. Создаю директорию uploads и загружаю туда программы:

putty.exe
winscp.exe
tor-browser.exe

3) Всё через тот же Terminal в iPhone пакую все три файла в ZIP-архив:

zip data.zip tor-browser-1.3.24_en-US.exe putty.exe winscp432setup.exe

Теперь прошу запущенный сервер слушать мой внешний IP-адрес:

5) Помня про порт номер 80, я иду в /etc/ssh/sshd_config на сервере:

sudo nano /etc/ssh/sshd_config

И меняю там порт на 80, сохраняю конфиг и рестартую SSH-демон:

sudo /etc/init.d/ssh restart

Теперь SSH-демон слушает соединения на 80-ом порту.

8) Все три утилиты работают без установки, а соответственно мне не нужны права админа что-бы их запустить, вот пример того как я успешно зашел на запрещенные сайты:

9) Сделать через putty.exe туннель между локальным компьютером и удаленным домашним сервером и получить доступ к SCP/SFTP протоколу для обмена файлами между двумя машинами и на скриншоте четко видно что я соединение по 80 порту прошло успешно, а вот 21 откровенно забанен, хотя я пытаюсь на него ломиться.

Запускаю winSCP для обмена файлами

10) уже демонстрировался выше, запускаешь утилиту tor-browser.exe и получаешь через Tor доступ куда угодно в интернете и насрать на FortiGuard. Что-бы там злые админы из Министерства не делали, а путь к халявному порно найден будет!

How to Bypass FortiGuard Web Filtering? 3 Quick Methods (2020)

Bypass FortiGuard in five minutes:

If you want to get started right away, simply follow these instructions to bypass FortiGuard web filtering in about five minutes:

Click here to visit ExpressVPN and sign up
Get the ExpressVPN Chrome or FireFox extension
Open the extension and choose USA from the map
Go to any website previously blocked by FortiGuard
Enjoy full access to all web content

Important: You will have to use the ExpressVPN Chrome or FireFox extension to unblock FortiGuard. FortiGuard will not allow you to install any VPN apps on your computer, but you can still add browser extensions.

You may have to connect to several different servers before it will unblock FortiGuard, as many VPN servers and IPs are blocked. Also, remember to install the browser extension and not the app itself, as otherwise, it will not work.

What is FortiGuard Web Filtering?

FortiGuard Web Filtering is used by schools and businesses to block access to a variety of websites. It could be that school or business administrators want to filter out inappropriate, offensive, or illegal content; or prevent media streaming sites from using up too much bandwidth and slowing down the network.

FortiGuard is particularly effective because it uses both hardware and software controls to block content. It’s especially effective at preventing malware downloads from malicious or hacked websites.
Unfortunately, FortiGuard can also inadvertently block sites that provide safe and useful content.

Probably so you can stay productive. When you’re studying or working, your teacher or business manager doesn’t want you to be distracted by social media feeds, live-streamed sports, or shopping sites. Nor do IT administrators want you to infect their systems with malware you inadvertently downloaded. Hence, it shouldn’t be too surprising for networks to use website-blocking tools FortiGuard Web Filtering.

And networks use FortiGuard Web Filtering for good reason: to prevent virus-laden files or abusive content from infiltrating your network! But if you absolutely must bypass FortiGuard Web Filtering, you’ll be glad to know that doing so is fairly straightforward.

Before getting to that, let’s discuss how a website might get blocked in the first place. There are numerous techniques, such as by including that site’s address to the blocklist of a firewall, or by disabling the access of a router to the website host server’s IP address.

FortiGuard Web Filtering works by using DNS web filtering — employing DNS lookups to get webpage ratings that determine whether webpages will be blocked or redirected. DNS filtering services are available to manage the process. They block access to malicious and risky websites, prevent the downloading of malware, and stop users from accessing content that could hamper productivity or cause offence. This technique prevents the use of simple tricks entering a site’s IP address instead of its URL to bypass a block.

Any attempt to access a blocked site will result in the user receiving a message from FortiGuard indicating that access is blocked. Log files generated by the FortiGuard application record all access attempts.

FortiGuard Web Filtering will block particular websites. If you want to unblock them (for legitimate reasons, of course), you’ve got several techniques at your disposal:

Just request that the person managing the FortiGuard Web Filtering tool grant access to the specific sites you need. Theoretically, this is the most straightforward technique; however, opening up the filtering such that dangerous websites are also made available may be impossible.

Use mobile data to access the website. Don’t forget that you’ll consume some of your data allowance, but this technique is the fastest and maybe the most convenient.
Access a copy of the website you’re looking for using an alternate domain name if such a copy exists. You’ll need to search online to find out whether an alternative domain name exists. And if it does, hope that this isn’t blocked as well. This method is a bit hit-and-miss, with no guarantee of success.
Open an SSH tunnel between your networked computer and a second computer that’s not on a filtered network to create a bypass path. Unfortunately, this is a very complicated and highly technical solution that works only if you have sufficient know-how and access to a suitable second computer.
Utilize a proxy server. This will enable you to disguise your accessing of a site that’s blocked and bypass FortiGuard. Many proxy servers are available, but keep in mind that your internet connection speed will markedly diminish. Moreover, if you use a free proxy server, be prepared to be inundated with ads and to have your internet browsing data recorded and sold to third parties.
Use a VPN to hide your network’s traffic. This way, you can also avoid the drawbacks of using a proxy server, which are harder to set up, slower, and less secure. A VPN will make it look you’re not accessing a FortiGuard-blocked site. Just be sure to avoid free VPN services, because they, too, will gather data about your internet usage and sell it to third parties. You’ll want to stick to a reputable VPN provider that offers a premium service.

Please keep in mind that techniques that don’t encrypt network traffic, SmartDNS, won’t help if you try to enter a blocked website. You’ll be stopped dead in your tracks.

To unblock your network and access blocked websites such as and SoundCloud, just install a VPN app on your device.

You’ll get a secure, encrypted tunnel between the VPN’s servers and your device. Then your internet traffic data will be protected as it moves through the VPN tunnel.

Your encrypted connection will prevent FortiGuard Web Filtering from detecting the sites you browse. From the filtering tool’s perspective, all your data will be nonsense. It won’t understand the kinds of sites you visited.

One caveat: You might be breaching terms of use if you utilize a VPN to bypass FortiGuard content-filtering. This can result in certain disciplinary actions against you if you’re caught. It can also increase the chance of your inadvertently downloading viruses if you visit a dangerous site — so be careful. Visit only reputable websites and stay safe online.

What VPN Should I Use?

To get access to FortiGuard-blocked websites, ExpressVPN is our top recommendation, for its exceptional privacy features and encryption. Please check out our beginner’s guide to VPNs if you want to find out more about ExpressVPN and how it works.

How Can I Unblock a Website Using ExpressVPN?

First, download and install the VPN app. As mentioned, you’ll want to avoid anything free. Generally, they’re painfully slow and will typically sell your info to advertisers and various organizations.

Again, our recommendation would be ExpressVPN, a premium product. Its high-speed servers will allow you to view HD videos, and you won’t notice any issues with buffering! Nor will you have latency problems if you want to have fun with some online games.

Once the VPN app is installed, just turn it on and select the country that you prefer to connect through. For the best internet speed, it’s ideal to connect to the closest server nearby, preferably in your own country. This is the most surefire option if the only thing you want to do is unlock your network. It will be problematic if you want to see content that your country’s ISPs restrict.

After you’ve connected to your selected server, you’re free to visit all the websites you want to see.

Ugh, the Network Has a Block on VPNs. Now What??

FortiGuard Web Filtering may prevent access to VPN websites to stop users from downloading and installing such software. If you don’t have VPN software pre-installed and access to the ExpressVPN website is blocked, then you need a different solution.

In this case, you can install a browser addon the ExpressVPN Chrome or Firefox extension instead. This solution doesn’t provide the full functionality offered by the ExpressVPN app, but it will still give you excellent service with all the functions you’ll ly need.

This solution will also work if your computer is completely locked down and you can’t install applications without an admin username and password.

What If There’s a Block on VPN Traffic on the Network?

FortiGuard Web Filtering may detect and prevent encrypted traffic if it recognizes that it’s coming from a VPN. In this situation, you’ll want to utilize the “VPN obfuscation” capabilities of a Stealth VPN to make it seem you’re not using a VPN. This is the best way to circumvent blocks to VPNs.

You might have heard about the Tor network and how it can route VPN traffic through a number of encrypted proxy layers. VPN-over-Tor is actually supported by only a relatively small number of VPN providers.

But if you availed, this technique would give you maximal unblocking power and privacy. However, setup can be complicated. Your internet speed would also become excruciatingly slow, and you’d have to say goodbye to your favourite games or video streams.

I Want to Use a VPN on My Network — But Will I Be Spotted?

Actually, using a VPN won’t mean that the network’s automatic monitoring systems will “catch” you. You just need to be mindful of anyone too close for comfort over your shoulder.

The top VPNs ExpressVPN are equipped with advanced encryption capabilities. Moreover, a crucial point is that they’ll store encryption keys on your device locally. So with no physical access to your device, no one can detect the websites you enter — at least not without certain advanced technologies typically accessible only to governments.

This encryption is another reason why FortiGuard Web Filtering can be bypassed by a VPN. Filters aren’t triggered because the content of data sent and received online is hidden.

If you can’t install the ExpressVPN app, first try adding either the ExpressVPN Chrome extension or the ExpressVPN Firefox extension to your browser.

If that doesn’t work and FortiGuard still prevents you from accessing the website you want to visit, you’ll need to find a server that works. Just trial-and-error multiple servers until you get lucky! It’s definitely not atypical for certain VPN IP addresses to be blocked by FortiGuard software. But you’ll find something that works eventually if you have a little patience.

Alternatively, ExpressVPN supports several different network protocols. If FortiGuard Web Filtering is blocking your VPN, then try changing protocols until you find one that works.

кредит: nd3000 / iStock / GettyImages

FortiGuard Web Filtering

Вы можете столкнуться с программным обеспечением в вашей школе, на рабочем месте или в других местах, где вы используете Интернет.

В обход веб-фильтрации FortiGuard

Служба блокирует определенные сайты по разным причинам, поэтому иногда вы можете обнаружить, что веб-сайт, к которому вы хотите получить доступ по профессиональным или личным причинам, запрещен правилами FortiGuard.

Если вам нужен доступ к сайту по профессиональным причинам или по какой-то другой причине, вам необходимо получить доступ к нему в сети с установленным FortiGuard, вы можете поговорить с теми, кто работает в сети, о том, как найти способ доступа к сайту. Это может включать использование компьютера со специальными сетевыми правилами, использование виртуальной частной сети или поиск другого решения.

Работа с ошибочно классифицированными сайтами

Если вы считаете, что FortiGuard классифицировала сайт по ошибке, вы можете попросить компанию реклассифицировать сайт. Вы можете сделать это, используя форму на сайте, указав более подходящую категорию для сайта, чем его текущая категория FortiGuard, и любые ваши комментарии.

Форма FortiGuard действительно запрашивает компанию, в которой вы получаете доступ к Интернету через FortiGuard, поэтому вы можете обсудить это с вашим работодателем, если вы делаете это на работе.

В поисках взлома FortiGuard

Иногда можно найти способы взломать или иным образом уклониться от программного обеспечения веб-фильтрации на компьютере.

Если у вас возникнет искушение найти пути обхода FortiGuard таким образом, вы, вероятно, захотите рассмотреть потенциальные профессиональные и юридические последствия этого. Ваш работодатель или кто-либо еще, кто установил FortiGuard, может быть обеспокоен проблемами безопасности, связанными с обходом инструмента, и может не любезно относиться к кому-то, кто находит неофициальные обходные пути.

Веб-фильтрация (Web Filtering)

Что такое веб-фильтрация? Зачем она необходима? И как ее настроить на FortiGate? Именно такие вопросы стали основной причиной написания данной статьи.

Что такое веб-фильтрация?

Это довольно небольшой обзор проблем, которые призвана решать веб-фильтрация. Думаю, в целесообразности ее использования у вас не осталось сомнений. Поэтому, теперь необходимо рассмотреть принцип ее работы и настройку на FortiGate.

Как работает веб-фильтрация?

Настройка веб-фильтрации

Рассмотрим настройку веб-фильтрации на FortiGate. Она доступна во всех режимах инспекции — Flow Based и Proxy. Однако режим Flow Based поддерживает меньше функций

Веб-фильтр, как и рассмотренный в прошлый статьях функционал, работает как профиль безопасности. Аналогично с остальными профилями безопасности, он отдельно настраивается и применяется к политикам брандмауэра.

Рассмотрим настройку веб-фильтрации в режиме Flow-Based. Для этого настроим режим работы FortiGate (см. рис. 1).

Рисунок 1. Настройка режима работы FortiGate

Теперь, необходимо перейти во вкладку Security Profiles→ Web Filter (см. рис. 2).

Рисунок 2. Меню в разделе Web Filter

Web Filter может быть по умолчанию скрыт. Чтобы его включить, необходимо зайти в меню System→Feature Visibility и возле поля Web Filter перевести ползунок в состояние enable.

• Allow — разрешить доступ к веб сайту;
• Block — запретить доступ к веб сайту;
• Monitor — следить за трафиком данного веб сайта.

На данный момент эта фильтрация нам не нужна, поэтому в поле FortiGuard category based filter переводим ползунок в состояние disable.

Так же присутствует возможность блокировки веб-сайтов, содержащих определенный контент. (см. рис. 3)

Рисунок 3. Пример настройки профиля

Теперь применим созданный профиль безопасности к политике, которую мы создали в одной из прошлых статей.

Рассмотрим работу веб-фильтра в режиме Proxy Based

Для того, чтобы начать настройку, необходимо переключить FortiGate в режим прокси. Это можно сделать в меню System → Settings. Теперь заходим в меню Security Profiles → Web Filter и выбираем ранее созданный нами профиль DenyFacebook. Настройка абсолютно аналогична, однако режим прокси поддерживает дополнительные функции, такие как: поисковые системы, опции прокси, разрешения для определенных пользователей (см. рис. 4).

Рисунок 4. Настройка веб-фильтра Proxy Based

При умелом использовании веб-фильтрации можно значительно укрепить безопасность сети. Поэтому я советую вам практиковаться, используя различные методы и разные регулярные выражения для определения шаблонов, которые подойдут именно вам и обеспечат максимальную безопасность вашей сети.

Первоначальная настройка Fortinet Fortigate 60e (FireWall), web, VPN и сброс настроек Fortigate 60e

Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
WAF: Barracuda WAF;
DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

Fortigate-60e представляет собой комплексное решение по обеспечению безопасности среднего офиса.

К его возможностям можно отнести: межсетевой экран, система предотвращения вторжений, VPN, а также веб-фильтрация. Данный функционал в полной мере гарантирует максимальную безопасность с условием экономии на дополнительных устройствах.

Удобное управление и легкость в развертывании платформы – еще одно преимущество Fortigate-60e. Даже начинающему администратору будет просто разобраться с функционалом устройства и его настройкой.

Настройка базовая

Итак, первые шаги, будем надеяться, пользователь уже выполнил. Теперь, используя веб-интерфейс, необходимо настроить основной функционал. Доступ к веб-интерфейсу происходит по защищенному протоколу SSH.

Для входа в панель используются логин и пароль, указанные администратором на первоначальном этапе.

Главное окно веб-интерфейса разделено на несколько частей: слева меню функционала, справа – основная информация и настройки текущего раздела.

Как видите, производитель позаботился об удобстве в использовании – интерфейс выглядит привычно для многих сетевых администраторов и отображает всю необходимую информацию.

Для того чтобы определить, какие функции уже включены и в особой настройке не нуждаются, необходимо перейти в раздел Policy.

Чтобы увидеть очередность использования политик, необходимо выбрать вид отображения Global View. Выглядит это следующим образом:

Колонки, начиная с AV до IPS, указывают на использование стандартных профилей безопасности. При необходимости их можно изменить при помощи раздела в меню Security Profiles.

Базовая настройка заключалась в знакомстве с веб-интерфейсом Fortigate и проверки настроек, введенных при настройке с нуля. Можно идти глубже.

Антивирус

В веб-интерфейсе присутствует возможность выбора протоколов, которые нуждаются в особой защите. В том числе это распространяется и на защищенные протоколы, поскольку количество и масштабы хакерских атак растут с огромной силой.

Окно настройки профиля антивирусной защиты выглядит так:

Также возможно указать типы файлов, которые автоматически идут на проверку антивирусом. Когда пользователь попытается загрузить зараженный файл, выскочит предупреждение и загрузка заблокируется. В данном случае лучше всего иметь при себе либо определенный опыт, либо – статистику атак.

Благодаря этому можно заранее выбрать те типы файлов, которые наиболее подвержены вирусам. Это сэкономит время, поскольку проверяться будут только определенные файлы.

Настройка web

Еще один мощный функционал Fortigate – веб-фильтрация. Возможно использовать стандартные профили, либо создать свои. Существует также фильтрация контента на обнаружение определенных шаблонов в передаваемых данных. Приятное дополнение – функция блокировки по времени. И еще здесь можно создать запись журнала доступа (как раз для этого пригодится жесткий диск).

Окно настройки профиля веб-фильтрации:

Именно на примере данной настройки можно убедиться в мощных возможностях Fortigate-60E. Действительно большой выбор профилей, которые учитывают многочисленные факторы. Для работы в среднем офисе это может использоваться как для обеспечения высокого уровня защиты от внешних атак, так и для защиты внутренней сети.

Настройка VPN

Устройства Fortigate работают с двумя типами VPN: IPSec и SSL. Оба варианта гарантируют надежное соединение между пользователя без вмешательства посторонних глаз. Также это способствует удаленному доступу к корпоративной сети с различных устройств вне офиса.

То есть, возможно сразу настроить VPN-туннель для защиты внутри сети, а также – обеспечить защищенный доступ к веб-интерфейсу, например, для сетевых администраторов. Гибкость Forigate-60E позволяет действительно многое.

Сброс настроек

Чтобы это выполнить, необходимо в консоли или эмуляторе консоли в веб-интерфейсе прописать команду:

Для сохранения же настроек в веб-интерфейсе нужно перейти в раздел:

System -> Dashboard -> Status

Выбрать путь сохранения конфигураций. Готово.

Таким образом, основные настройки устройства проводятся «здесь и сейчас» посредством удобного интерфейса. Возможностей для расширенной защиты достаточно много, самое главное – определить вектор безопасности, т.е. от чего именно необходимо защищать какую-то конкретную сеть.

кредит: nd3000 / iStock / GettyImages

FortiGuard Web Filtering

В обход веб-фильтрации fortiguard

Работа с ошибочно классифицированными сайтами

В поисках взлома fortiguard

FortiGuard Web Filtering Service

Protect your organization by blocking access to malicious, hacked, or inappropriate websites with FortiGuard Web Filtering. Web filtering is the first line of defense against web-based attacks. Malicious or hacked websites, a primary vector for initiating attacks, trigger downloads of malware, spyware, or risky content.

FortiGuard Web Filtering is the only web filtering service in the industry that is VBWeb certified for security effectiveness by Virus Bulletin. It blocked 97.7% of direct malware downloads and stopped 83.5% of malware served through all tested methods in Virus Bulletin’s 2015 VBWeb security testing. According to Virus Bulletin, Fortinet is the only vendor in the 2016 VBWeb tests confident enough in our security solution to share results in a public test.

The web filtering service is available through FortiGate next generation firewall, FortiSandbox, FortiClient, and FortiCache solutions, letting you easily see and control what websites your users are visiting.

Improves security by blocking access to malicious and risky websites

Prevents malware downloads from malicious or hacked websites

Keeps your defense current with automatic intelligence tools, targeted threat analysis, and continuous updates

Controls access through policy-based controls with highly granular blocking and filtering

Lowers your entry and maintenance costs through device-based licensing

Customizes your implementation with the flexibility of both push and pull update options

Meets compliance requirements for both CIPA and BECTA

Every minute of every day FortiGuard Labs processes approximately 43 million URL categorization requests and blocks 160,000 malicious websites. The web filtering service rates over 250 million websites and delivers nearly 1.5 million new URL ratings every week.

You can easily manage your protection with the ability to apply targeted and specific policies six major categories and nearly 80 micro-categories with ratings continuously updated via the FortiGuard Distribution Network (FDN).

Knowledge of the threat landscape combined with the ability to respond quickly at multiple levels is the foundation for providing effective security. Hundreds of researchers at FortiGuard Labs scour the cyber landscape every day to discover emerging threats and develop effective countermeasures to protect organizations around the world. More than 250,000 organizations globally use FortiGuard security.

fortiguard web filtering как отключить

FortiGuard Web Filtering – это служба, которая ограничивает доступ к определенным веб-сайтам в сети, независимо от того, имеют ли они нежелательный контент, вредоносное ПО или другие проблемы. Вы можете попросить FortiGuard реклассифицировать сайт, если вы считаете, что он был заблокирован по ошибке. Как правило, если вам нужен доступ к сайту, заблокированному FortiGuard, вы также можете обратиться в ИТ-отдел, где бы вы ни находились, или обратиться к нему во внешней сети. Использование взлома FortiGuard или инженерного обхода FortiGuard может работать, но это может быть рискованно.

В этой статье описывается конечное решение по защите от современных угроз, так называемый Fortinet ATP (Advanced Threat Protection) Framework, позиционируется как полноценное модульное решение для кибербезопасности. Ниже приводится обзор решения для автоматизированной идентификации, предотвращения, подавления вредоносного ПО и обеспечения защиты всей экосистемы.

Продвинутое вредоносное ПО может нанести огромный вред организациям, от воровства данных через скомпрометированные личности до прекращения работы важных операций. Атаки кибер-преступников это сложные, постоянно развивающиеся разработки, направленные на создание новых и коварных методов проникновения и нападения.

Отчасти из-за постоянно возрастающей частоты публичных атак, большинство организаций осознали необходимость совершенствования инфраструктуры безопасности IT. Согласно исследованиям компании ESG, 37% опрошенных организаций возводят совершенствование в области кибербезопасности на первое место среди приоритетов по развитию IT инфраструктуры на 2016 год.

Организации должны оценивать, как способность выявлять угрозы для своей IT инфраструктуры, так и способность противостоять им. Большая часть из продвинутого вредоносного ПО является скрытой либо ПО «нулевого дня». Скрытые угрозы построены для того чтобы проникать в системы незамеченными, иногда хранятся в системе в неактивном состоянии в течении определенного периода времени. Угрозы нулевого дня — это атаки, которые используют ранее неизвестные уязвимости сети, операционной системы или приложения, затрудняя при этом борьбу с ними.

Традиционно, безопасность была реализована на основе брандмауэра периметра в совокупности со сканерами конечных точек (рабочих станций). Брандмауэры периметра блокировали простые типы атак, предотвращали неавторизированный доступ к внутренним системам в то время, когда антивирус на конечных точках сканировал пользовательские устройства согласно сигнатур ранее известных или предполагаемый вредоносных программ. Брандмауэры нового поколения и ПО для защиты конечных точек увеличивают глубину инспекции как на периметре, так и на конечном устройстве, но они все еще опираются на поиск уже известных атак. Они просто не спроектированы для обнаружения новейших, ранее неизвестных атак. Слишком часто, организации не знают о таких угрозах то того момента пока не будет нанесен существенный ущерб.

Фреймворк Fortinet для предотвращения продвинутых угроз

Fortinet разработал собственный Фреймворк для защиты от продвинутых угроз с целью обеспечения исчерпывающей видимости всех активностей в сети, использую существующие и новые методы, с помощью модульного подхода к интеграции своих продуктов безопасности для сети, приложений, конечных точек и облачных сервисов.

Фреймворк по защите от продвинутых угроз включает:

FortiGate, FortiWeb и FortiMail — наиболее распространенные решения, представлены как в аппаратной, так и программной форме, в совокупности с приложением FortiClient которое используется на конечных устройствах удовлетворяют потребности организаций всех размеров. Каждый продукт ATP Фреймворка может выступать в качестве отдельного решения или может быть объединён с другими продуктами для расширенной защиты благодаря совместимости. В полностью интегрированном Фреймворке, продукты защиты от угроз сети и конечных точек отсылают потенциально опасные данные на FortiSandbox для анализа, который в свою очередь возвращает инструкции по действиям с данными обратно этим продуктам, а также в лабораторию FortiGuard для распространения среди продуктов Fortinet.

Fortinet описывает три фазы работы своих продуктов для обеспечения скоординированной защиты: предотвращение, выявление и смягчение.
• Предотвращение – предотвратить атаки от множества известных и сильно подозрительных угроз.
• Выявление – выявить ранее неизвестные угрозы и распространить информацию об угрозе для ускоренной реакции.
• Смягчение – исследовать и анализировать новые данные; создать сигнатуру и превратить неизвестное в известное для предотвращения в будущем.

Основной подход Фреймворка от Fortinet по выявлению продвинутых угроз это выявление неизвестных угроз и перенаправление их на FortiSandbox для раскрытия поведения, тактики, техник и процедур которые используются в кибератаках. FortiSandbox использует виртуальные машины как инструменты для оценки потенциальных угроз от исполняемых файлов, сжатых файлов (zip файлы), данных приложений таких как Adobe Flash, Adobe PDF и JavaScript и т.д. Тем не менее, исполнение каждого подозрительного файла на виртуальной машине может быть ресурсоемким и занимать определенное время. Это может ограничить общее количество подозрительных файлов которые могут быть оценены, со значительным влиянием на производительность.

Fortinet использует множество различных методик для повышения эффективности. До исполнения в песочнице, подозрительные файлы могут быть предварительно отфильтрованы, включая отбор антивирусным движком, запросами к облачному сервису FortiGuard, симуляция независимая от ОС, которая возможна благодаря запатентованному Fortinet языку распознавания компактных паттернов (CPRL). CPRL – это система для глубокой инспекции кода и распознавания паттернов, которая позволяет значительно расширить возможности методик защиты от продвинутых угроз (APT) и распознавания продвинутых техник обхода (AET) которые возможны с традиционным сигнатурным анализом.

Каждая угроза, определенная на Sandbox включает информацию о методе использованном для идентификации:
• AV scan – угроза была определена с помощью сопоставления файла сигнатурам известным FortiClient (FortiGate/FortiMail) и соответствие подтвердилось.
• Cloud Query – если сигнатура файла не известна FortiClient (FortiGate/ FortiMail), то она может быть сопоставлена с сигнатурами FortiGuard, облачного сервиса Fortinet с базой знаний продвинутых угроз.
• Sandboxing – угроза была определена, когда FortiSandbox оценивал поведение файла.

Кроме методов идентификации так же указывается рейтинг риска (clean, low risk, high risk или malicious). Результаты теста включают множество деталей о коде и его рейтинге, в том числе суммарную оценку поведения, снимки экрана вредоносной программы, и возможность загрузить дополнительную информацию в форме лога.

FortiSandbox также является расширением для FortiClient. Администраторы могут вручную настроить FortiClient либо они могут настроить профиль защиты конечной точки централизованно на FortiGate или FortiClient EMS. Такой профиль будет применен к группе конечных точек в текущей среде.

Единый подход Fortinet к защите спроектирован для смягчения ранее неизвестных угроз и атак, обнаруженных с помощью FortiSandbox. В контексте кибербезопасности, смягчение определяется как уменьшение вероятности нежелательных явлений и/или уменьшение влияния и последствий. Все продукты Fortinet, которые могут работать с FortiSandbox отправляют объекты для анализа и используют данные полученные от FortiSandbox для ускорения реакции и смягчения выявленных угроз.

Для примера приведен снимок интерфейса FortiSandbox с выводом отчета о пяти фактах подозрительного поведения. Со снимка видно, что вредоносное ПО ведет себя как руткит, создает копии себя и удаляет себя после выполнения. Так как такое поведение может быть достаточно разрушительным, оно выделено красным цветом.

В разделе Files Created показано все файлы которые были созданы вредоносным ПО с их чек суммами MD5. Потенциально опасная активность, такая как создание копии себя, выделена красным.

Вкладка результатов также позволяет администратору скачать копию оригинального файла из FortiSandbox, кроме этого журнал с детальным описанием всех активностей анализируемого файла, снимки экрана и все перехваченные пакеты из траффика инициированного вредоносным ПО.

Как только принято позитивное решение о том, что файл является вредоносным, действие по смягчению может быть автоматическим либо на основе политик, которые могут быть установлены на каждой контрольной точке. На следующем снимке показаны возможные настройки на FortiClient.

Смягчение может быть применено в любой точке экосистемы. FortiGate, FortiWeb и FortiMail предоставляют опцию карантина. На следующем снимке показано что FortiGate имеет возможность изолировать как зараженное устройство, так и источник. FortiWeb имеет такие-же опции.

Почему это важно: комплексная экосистема безопасности Fortinet предоставляет консолидированное смягчение и восстановление последствий активности вредоносного ПО в то время как администратор имеет возможность осуществлять автоматизированную реакцию на инциденты требующие вмешательства. Взаимодействие продуктов Fortinet с FortiSandbox позволяет реализовать такую автоматизацию по всем векторам угроз. Основываясь на информации от контрольных точек происходит очистка и изоляция зараженных систем.

Предотвращение

Наименее проблематичная атака та, которая была предотвращена. Фреймворк Fortinet по защите от продвинутых угроз автоматизирует и консолидирует анализ подозрительных файлов на всех контрольных точках от нескольких потенциальных векторов используя техники включающие непосредственное инспектирование траффика и взаимодействие с FortiGate, FortiClient, FortiWeb и FortiMail. При взаимодействии с другими продуктами Fortinet снижается нагрузка на FortiSandbox и сводится к минимуму необходимость ручной, трудоемкой реакции по предотвращению атак.

В дополнение к использованию традиционных технологий предотвращения угроз в этих продуктах для блокировки известных угроз и атак (например, контроль приложений, предотвращение вторжений, веб фильтрация, антивирус и анти спам), FortiSandbox играет очень важную роль в предотвращении самых передовых и неизвестных угроз.

FortiMail и FortiClient автоматически удерживают неизвестные файлы и ждут анализа от FortiSandbox до разрешения доставки или установки, обходя необходимость в смягчении угроз.

FortiGate и FortiClient могут быть сконфигурированы для получения обновлений сигнатур непосредственно от FortiSandbox. Это полезно для предотвращения распространения нацеленных атак и многоступенчатых атак, чьи компоненты активно раскрываются FortiSandbox прежде чем они повлияют на конечных пользователей.

Наконец, FortiSandbox имеет возможность опционально передавать данные об анализе сервису FortiGuard, позволяя распространить сигнатуры среди всего портфолио продуктов безопасности Fortinet, а не только в пределах конкретной экосистемы. Такой подход укрепляет защиту всего комьюнити пользователей Fortinet.

Почему это важно: нарушения безопасности становятся все более распространенными, при этом с направленными атаками и атаками нулевого дня «zero-day» борются традиционные, автономные решения. Организации, опирающиеся на такой тип решений, потенциально могут быть уязвимыми к атакам с серьезными финансовыми и операционными последствиями. Предотвращение позволяет организациям выйти из реактивного режима и сфокусироваться на про активных, стратегических мероприятиях по укреплению уровня безопасности. Используя расширенные возможности детектирования FortiSandbox и глубокие знания об атаках от FortiGuard Labs у организаций появляются инструменты которые нужны для предотвращения атак, прежде чем они произойдут.

В заключение

Любое вычислительное устройство корпоративной инфраструктуры, от смартфонов и планшетов до ноутбуков, настольных компьютеров и сервисов приложений подвержены нарушениям безопасности. Атаки влияют на организации любых размеров без разбора, последствия могу быть разрушительными для операций, репутации компании и банковских счетов. Расходы, вытекающие из успешных атак могу включать не только возобновление операций и решение проблем безопасности, но и юридическую ответственность и нормативные штрафы.

Фреймворк Fortinet по защите от продвинутых угроз прост в понимании и управлении. Модульный подход компании Fortinet с автономными продуктами которые могут быть объединены для реализации предотвращения, выявления и смягчения может улучшить выявление и защиту от продвинутых атак в сравнении с отдельными системами безопасности других производителей. Объединение продуктов Fortinet в целую экосистему довольно просто в плане конфигурации благодаря интуитивно понятному интерфейсу и множеству общедоступной документации. После настройки, анализ неизвестных файлов, независимо от того как они попали в экосистему, происходит автоматически. Графический интерфейс FortiSandbox предоставляет интуитивный доступ к понятной и четкой информации. FortiSandbox делает понимание текущего уровня безопасности четким и легким для понимания.

Решение Fortinet предлагает функциональные возможности, особенности и возможность объединения которые позволяют решить весь спектр требований безопасности организации, предоставляя командам безопасности возможность обнаруживать, предотвращать и смягчать угрозы. Возможность работы в качестве автономных продуктов или объединятся в полный Фреймворк обеспечивает гибкость для внедрению в почти любую систему. Компании, которые ищут более гибкие, эффективные решения для улучшения состояния безопасности будут удовлетворены Фреймворком Fortinet по защите от продвинутых угроз.

Читайте также: