Abbiamo Fortigate 100D che ha i profili antivirus abilitati come SMPT, POP3 e IMAP.
Come si può essere sicuri che l'antivirus funzioni come previsto?
Ad esempio sembra che Fortigate abbia già firmato il malware "Locky" ma uno dei nostri PC è stato infetto.
Quindi quali sono i migliori appraoch per testare l'efficacia dei firewall interni?
Se si verifica che il rilevamento sia configurato correttamente, è possibile utilizzare il virus di test EICAR . Questo virus è innocuo da solo ma ogni rilevamento di malware dovrebbe essere in grado di rilevarlo anche se non ha le firme correnti.
Ovviamente questo ti dirà solo se il firewall è configurato correttamente. Non fornisce alcuna informazione sull'efficacia della protezione, ovvero quanto è efficace contro il malware esistente e quanto velocemente raggiungerà il nuovo malware. Nessun firewall è in grado di offrirti una protezione completa a prescindere da ciò che rivendicano perché devono raggiungere anche nuovi ceppi di malware. Per scoprire quanto velocemente il venditore reagisce ai nuovi attacchi non puoi credere alle dichiarazioni di marketing, ma devi chiedere ad altri che hanno utilizzato i prodotti o i ricercatori indipendenti.
A parte questo, l'analisi di tali firewall (UTM, NGFW ...) può essere facilmente aggirata. Piccole modifiche al traffico sono in genere sufficienti a rendere ciechi tali firewall. In caso di traffico web puoi verificare le rivendicazioni di marketing utilizzando il mio sito di test dell'evader HTTP con il tuo browser (vedi questi dettagli per come funziona). E mentre non ho un analogo strumento di analisi automatizzato per SMTP, POP, IMAP ecc ancora ho fatto ricerca simile per mail che mostra anche semplici modi per aggirare l'analisi.
Leggi altre domande sui tag firewalls penetration-test antivirus