Предотвращение вторжений

Система обнаружения и предотвращения вторжений.

Last updated 18 days ago

Was this helpful?

Предотвращение вторжений

Система обнаружения и предотвращения вторжений.

Название службы раздела Предотвращение вторжений: ideco-suricata-backend; ideco-suricata; ideco-suricata-event-syncer; ideco-suricata-profiles-syncer. Список имен служб для других разделов доступен по .

Видеоинструкцию смотрите по ссылкам:

;
.

Система Предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для:

Обнаружения;
Журналирования;
Предотвращения атак злоумышленников на сервер, интегрированные службы и локальную сеть.

Система Предотвращения вторжений доступна только в Enterprise-версии Ideco NGFW для пользователей с активной подпиской на обновления.

Включите систему в разделе Правила трафика -> Предотвращение вторжений:

Раздел состоит из трех вкладок:

Предустановленные группы правил (сигнатур) включают блокирование вредоносного ПО, P2P-сетей, криптомайнеров, средств для обхода правил фильтрации и т.д.

С 18 версии Ideco NGFW механизм работы системы Предотвращения вторжений изменился, появились возможности:

Работать с правилами IPS на уровне сигнатур, фильтровать их и просматривать в удобном виде;
Составлять независимые друг от друга наборы правил IPS и применять их только к необходимому трафику с помощью профилей системы Предотвращения вторжений, которые назначаются в правилах Файрвола.

В отбработке трафика не участвуют:

сигнатуры, не используемые в профилях;
профили, не используемые в правилах Файрвола.

Технические требования

Для работы системы Предотвращения вторжений требуются значительные вычислительные ресурсы. Предпочтительным являются многоядерные (4 и более) процессоры. Минимальное количество оперативной памяти для использования системы: 16 Гб.

Особенности обработки трафика системой Предотвращения вторжений

Файрвол Ideco NGFW анализирует трафик для поиска подходящего правила и применяет его. Если в таблице есть несколько правил с одними и теми же условиями, применяется правило, стоящее выше по списку. Запрещающие правила Файрвола сразу блокируют соответствующий трафик, он не проходит дополнительную проверку в модуле Предотвращение вторжений.

Чтобы через модуль Предотвращение вторжений проходил трафик, для которого нет разрешающего правила в таблице FORWARD или INPUT, рекомендуем создать и включить в файрволе правило с источником Любой и назначением Любой, разместив его в конец таблицы. В этом случае трафик, который не был найден в правилах Файрвола, но соответствует профилям IPS, пройдет проверку системой Предотвращения вторжений.

Если в одном правиле Файрвола включены проверки и Контролем приложений, и системой Предотвращения вторжений, трафик сначала попадет в обработку DPI, затем - IPS.

Чтобы трафик фильтровался системой Предотвращение вторжений, создайте для всех локальных интерфейсов правило FORWARD, содержащее нужный профиль безопасности.

Важно: при включенной опции Перехват пользовательских DNS-запросов в разделе Сервисы -> Защита и управление DNS -> Внешние DNS-серверы трафик обрабатывается не как FORWARD, а как INPUT:

Если опция Перехват пользовательских DNS-запросов включена (по умолчанию включена), создайте правила INPUT для протоколов TCP и UDP с тем же профилем безопасности, источником и портом 53 в разделе Назначение.

PreviousАнтивирус NextГруппы сигнатур

Last updated 18 days ago

Was this helpful?

Видеоинструкцию смотрите по ссылкам:

;
.

Система Предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для:

Обнаружения;
Журналирования;
Предотвращения атак злоумышленников на сервер, интегрированные службы и локальную сеть.

Включите систему в разделе Правила трафика -> Предотвращение вторжений:

Раздел состоит из трех вкладок:

- содержит список предустановленных групп сигнатур, либо распределенных по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак), либо в табличном виде;
- позволяет добавить сигнатуры для обработки системой Предотвращения вторжений;
- содержит информацию об обновлении баз IPS и сетях, защищенных от вторжений.

С 18 версии Ideco NGFW механизм работы системы Предотвращения вторжений изменился, появились возможности:

Работать с правилами IPS на уровне сигнатур, фильтровать их и просматривать в удобном виде;
Составлять независимые друг от друга наборы правил IPS и применять их только к необходимому трафику с помощью профилей системы Предотвращения вторжений, которые назначаются в правилах Файрвола.

Чтобы модуль обрабатывал трафик, необходимо сначала создать профили IPS в разделе Профили безопасности -> , а затем использовать их в правилах Файрвола.

В отбработке трафика не участвуют:

сигнатуры, не используемые в профилях;
профили, не используемые в правилах Файрвола.

Технические требования

После включения системы проконтролируйте, что мощности вашего процессора достаточно для проверки трафика, следующего через шлюз. В разделе Мониторинг -> выберите параметр средняя загрузка (за 1, 5 и 15 минут).

Подробнее о .