Предотвращение вторжений
Служба обнаружения и предотвращения вторжений
Название службы раздела Предотвращение вторжений:
ideco-suricata-backend
; ideco-suricata
; ideco-suricata-event-syncer
; ideco-suricata-event-to-syslog
.
Список имен служб для других разделов, доступен по ссылке.Служба предотвращения вторжений доступна только в Enterprise верси и Ideco UTM для пользователей с активной подпиской на обновления.
Правила Предотвращения вторжений, Контроля приложений и Ограничения скорости не обрабатывают трафик между локальными сетями и сетями филиалов.
Для исключения пользователя или групп пользователей из обработки служб Предотвращения вторжений , добавьте соответствующее правило в Правила трафика -> Исключения из правил.
Служба предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для:
- Обнаружения;
- Журналирования;
- Предотвращения атак злоумышленников на сервер, интегрированные службы и локальную сеть.
Правила блокировки трафика включают в себя блокирование активности троянских программ, spyware, бот-сетей, клиентов p2p и торрент-трекеров, вирусов, сети TOR (используемой для обхода правил фильтрации), анонимайзеров и т.д.
Для настройки службы перейдите на вкладку Правила трафика -> Предотвращение вторжений. Для включения или выключения службы переведите выключатель в соответствующее положение.

Для добавления правила перейдите на вкладку Настройки, нажмите Добавить и в поле Подсеть укажите локальные сети, обслуживаемые UTM (сети локальных интерфейсов UTM, маршрутизируемые на них сети удаленных сегментов локальной сети предприятия).
Не указывайте сети, принадлежащие внешним сетевым интерфейсам UTM и внешним сетям. Указанные здесь сети участвуют в правилах службы предотвращения вторжения как локальные. Локальный межсегментный трафик не исключается из проверок системы.
При работе службы предотвращения вторжений не используйте сторонние DNS-серверы для компьютеров , т.к. служба определяет зараженные устройства по DNS-запросам, проходящим через нее.
При использовании внутреннего домена AD рекомендуется:
- В компьютерах указать DNS-сервер Ideco UTM в качестве единственного DNS-сервера;
- В настройках DNS-серв ера на UTM указать Forward-зону для локального домена.
Предупреждение службы предотвращения вторжений:

На вкладке Правила можно открыть найденную группу по Событию безопасности, нажать на
и в ней найти сработавшее правило по его ID:

alert http $EXTERNAL_NET any -> any any (msg:"ET SCAN Zmap User-Agent (Inbound)"; flow:established,to_server; http.user_agent; content:"Mozilla/5.0 zgrab/0.x"; depth:21; endswith; classtype:network-scan; sid:2029054; rev:2; metadata:created_at 2019_11_26, former_category SCAN, updated_at 2020_10_23;)
Можно исключить узел из обработки в веб-интерфейсе в разделе
Правила трафика -> Исключения из правил.
Задача: Необходимо исключить из обработки узел
192.168.154.7
.Решение:
- 1.В файл
/var/opt/ideco/suricata-backend/custom.rules
добавьте следующую строку:pass ip 192.168.154.7 any <> any any (sid:1;)
. - 2.Затем в разделе Терминал выполните команду
systemctl restart ideco-suricata-backend.service
.
При создании нескольких ручных правил обязательно изменяйте ID-правила (sid:2;), иначе служба предотвращения вторжений прекратит работу из-за наличия нескольких правил с одним sid.
Для работы службы предотвращения вторжений требуются значительные вычислительные ресурсы. Предпочтительным являются многоядерные (4 и более ядер) процессоры. Минимальное количество оперативной памяти для использования системы: 16 Гб.
После включения системы проконтролируйте, что мощности вашего процессора достаточно для проверки трафика, следующего через шлюз.
В разделе Мониторинг -> Графики загруженности выберите параметр средняя загрузка (за 1, 5 и 15 минут).
Last modified 1mo ago