Что такое Fortinet intelligent-mode

Что такое Fortinet intelligent-mode
По-умолчанию во всех устройствах Fortinet (FortiGate) включен режим проверки движком защиты от атак (IPS) только первых байт каждой сессии. Этот режим красиво назван intelligent-mode (умный). Раньше он назывался ignore-session-bytes - режим (игнорировать данные сессии).

Выключить этот режим можно только в командной строке.

Этот режим хорошо подходит для того, чтобы проходить тесты на скорость, поскольку тестовые устройства, например, IXIA, как правило, посылают атаки сразу. В реальной жизни хакер с удовольствием воспользуется данной возможностью и пошлет атаку, сделав заполнение перед атакой на нужное число байт.

Документация по функции intelligent-mode общедоступна
https://kb.fortinet.com/kb/documentLink.do?externalID=FD39369


Мне не удалось найти в документации какое число байт проверяет Fortigate в intelligent-mode, могу лишь предположить, что число 204800 байт написано не просто так. Сессии обычно несколько мегабайт в сети и, конечно, проверять только первые 200 Кбайт - это сильно разгружает процессора устройства и позволяет показывать высокую производительность.

Эту функцию нужно выключать, если ваша задача защищать вашу сеть.

config ips global
   set intelligent-mode disable
end

Также intelligent-mode нужно выключать, если вы проводите сравнение на производительность с другими IPS или NGFW, которые анализируют все сессии полностью.
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ksiva

Пусть будет утренний в честь того, что я его создал утром.