10. Antivirus Flashcards
(8 cards)
10.2.1 Pourquoi utiliser un antivirus sur un FW ? (Dans quel cas de figure avons-nous besoin d’un antivirus sur un FW ?)
10.2.1 Pourquoi utiliser un antivirus sur un FW ? (Dans quel cas de figure avons-nous besoin d’un antivirus sur un FW ?)
On active l’antivirus sur le FortiGate pour scanner en périphérie et bloquer toute menace (malware ou grayware) avant qu’elle n’atteigne les segments internes vulnérables, tout en préservant la réputation de l’IP publique et en couvrant les terminaux non gérés ou non protégés.
10.2.2 Expliquer le principe d’une analyse par signature.
10.2.2 Expliquer le principe d’une analyse par signature.
L’analyse par signatures repose sur une base de données de motifs (fragments de code, hash, attributs) représentant des malwares connus, que le FortiGate met à jour via FortiGuard ; il scanne ensuite chaque fichier transmis (HTTP, FTP, e-mail, etc.) en comparant son contenu à ces signatures et bloque immédiatement ceux qui correspondent.
10.2.3 Citer 3 limites de l’analyse par signatures.
10.2.3 Citer 3 limites de l’analyse par signatures.
Base de signatures massive et à jour en continu : impossible de créer et distribuer une signature pour chaque nouveau malware avant sa propagation.
Incapacité face aux menaces zero-day : sans signature préalable, les nouveaux malwares passent inaperçus, laissant une fenêtre d’exposition.
Vulnérabilité aux obfuscations : packers, chiffrement, polymorphisme ou dead code modifient la forme binaire et échappent aux signatures classiques.
10.2.4 Citer 3 techniques d’obfuscation de malware.
10.2.4 Citer 3 techniques d’obfuscation de malware.
Polymorphisme : le code malveillant se réécrit à chaque propagation pour changer d’apparence tout en conservant son comportement.
Packer/crypteur : l’exécutable est compressé ou chiffré, dissimulant sa structure interne et ses motifs binaires.
Dead code : insertion d’instructions inutiles (nop, boucles vides…) pour altérer la forme binaire sans modifier la logique.
10.2.5 Expliquer la notion de Sandbox dans le cadre de l’analyse antivirus.
10.2.5 Expliquer la notion de Sandbox dans le cadre de l’analyse antivirus.
Une sandbox exécute un fichier suspect dans un environnement isolé (local ou cloud) pour en observer le comportement (modifications système, connexions réseau, etc.) et détecter des menaces inconnues, avant de générer éventuellement des signatures, au prix de contraintes de performance et de taille de fichier.
10.2.6 Citer 3 techniques d’évasion d’une Sandbox.
10.2.6 Citer 3 techniques d’évasion d’une Sandbox.
Détection de la sandbox : le malware identifie la présence d’un environnement virtualisé (drivers, processus, horloge, etc.) et reste inactif pour éviter d’être analysé.
Interaction humaine requise : il n’exécute son code malveillant qu’après un clic, un mouvement de souris ou une saisie clavier, non reproduits par les sandboxes automatisées.
Fragmentation temporelle : il reporte ou fractionne son comportement malveillant sur une durée supérieure à la fenêtre d’analyse pour échapper à la détection.
10.2.7 FortiGate est-il capable de scanner des fichiers compressés (zip, rar, …) ?
10.2.7 FortiGate est-il capable de scanner des fichiers compressés (zip, rar, …) ?
Oui. Le FortiGate décompresse automatiquement les archives (ZIP, RAR…) pour analyser chaque fichier interne.
Vous pouvez limiter le nombre de niveaux d’imbrication et la taille du buffer pour éviter l’épuisement des ressources.
Les archives protégées par mot de passe ou trop volumineuses sont bloquées ou mises en quarantaine.
10.2.8 Sur quels types de trafic réseau un FortiGate peut-il rechercher des virus ?
10.2.8 Sur quels types de trafic réseau un FortiGate peut-il rechercher des virus ?
Le FortiGate détecte et bloque les virus sur :
Trafic Web (HTTP/HTTPS/FTP/FTPS) : le FortiGate extrait ou bufferise le flux (incluant HTTPS après « deep inspection ») pour y scanner exécutables, documents Office, PDF, etc.
Trafic e-mail (SMTP, IMAP, POP3, MAPI) : pièces jointes examinées via les mappings de ports et protocoles (notamment pour Exchange en RPC over HTTP).
Transferts FTP/FTPS : scan à la volée avec oversize-log et buffering progressif.
Partage de fichiers P2P et autres protocoles de transfert : le flux est bufferisé et analysé si un profil antivirus est appliqué à la règle correspondante.
Trafic chiffré SSL/SSH : en mode « deep inspection », le FortiGate déchiffre, scanne puis rechiffre les flux (HTTPS, SFTP, etc.).
