Предотвращения вторжений

Служба предотвращения вторжений доступна только в Enterprise версии Ideco UTM VPP для пользователей с активной подпиской на обновления.

Правила блокировки трафика включают в себя:

Активности троянских программ;
Spyware;
Бот-сетей и анонимайзеров;
Клиентов p2p;
Торрент-трекеров;
Вирусов и сетей TOR.

Служба предотвращения вторжений работает за счет анализа DNS-запросов пользователей. Учтите это при настройке DNS-cервера на пользовательских компьютерах.

Не используйте DNS-серверы, находящиеся в User интерфейсе, для компьютеров пользователей, поскольку служба предотвращения вторжений определяет зараженные устройства по DNS-запросам, проходящим через нее.

Первоначальные действия для работы службы предотвращения вторжений

Без созданного FORWARD правила служба Предотвращения вторжений не будет работать в независимости от ее включения в разделе Правила трафика -> Предотвращение вторжений.

Для работы службы предотвращения вторжений на всех интерфейсах выполните действия:

Перейдите в раздел Правила трафика -> Предотвращение вторжений и переведите опцию в положение включен:

Перейдите в раздел Правила трафика -> Файрвол -> FORWARD.
Нажмите Добавить.
Выберите действие Разрешить.
Включите опцию Предотвращение вторжений:

Нажмите сохранить.

Для корректной работы службы Предотвращения вторжений правило с ней должно быть выше правила с Контролем приложений.

Журнал

Для просмотра логов службы Предотвращения вторжений перейдите в веб-интерфейсе в раздел Правила трафика -> Предотвращение вторжений -> Журнал.

При блокировке пакета в столбце Результат анализа будет . Другой результат в этом столбце говорит о том, что пакет прошел проверку службы Предотвращения вторжений.

В столбце Уровень угрозы отображаются следующие значения:

Критично
Опасно
Предупреждение
Не распознано
Не классифицировано

Логи службы предотвращения вторжений можно отправлять на удаленный сервер при настроенном Syslog. Подробнее в статье Логирование.

Пример анализа логов

Предупреждение службы предотвращения вторжений:

На вкладке Правила можно открыть найденную группу по Событию безопасности, нажать на и в ней найти сработавшее правило по его ID:

alert http $EXTERNAL_NET any -> any any (msg:"ET SCAN Zmap User-Agent (Inbound)"; flow:established,to_server; http.user_agent; content:"Mozilla/5.0 zgrab/0.x"; depth:21; endswith; classtype:network-scan; sid:2029054; rev:2; metadata:created_at 2019_11_26, former_category SCAN, updated_at 2020_10_23;)

Можно проанализировать IP-адрес, с которым была попытка подозрительного соединения, через whois.

Импорт логов службы предотвращения вторжений в MS Excel

Скачайте CSV-файл по соответствующей кнопке во вкладке Журнал в разделе Правила трафика -> Предотвращение вторжений.
Откройте CSV-файл в MS Excel и выделите весь первый столбец.
Перейдите во вкладку Данные и нажмите Текст по столбцам.
В открывшемся окне выберите с разделителями и нажмите Далее.

Выберите в качестве разделителя запятую и нажмите Далее.

Выберите текстовый формат данных столбца и нажмите Готово.

Правила

Для просмотра всех правил модуля Предотвращение вторжений и их настройки перейдите в веб-интерфейс в раздел Правила трафика -> Предотвращение вторжений -> Правила.

Для отключения или включения группы правил нажмите на соответствующую кнопку напротив группы. Для просмотра группы правил нажмите .

Исключения из правил

Для добавления правила в исключения службы Предотвращения вторжений перейдите в раздел веб-интерфейса Правила трафика -> Предотвращение вторжений -> Исключения из правил.

Добавить правила в исключения можно двумя способами:

Нажать на во вкладке Журнал:

Узнать ID правила в Журнале, перейти во вкладку Исключения из правил и после нажатия на кнопку Добавить ввести в соответствующее поле ID:

Как исключить узел из обработки системой IDS/IPS через терминал

Задача: Необходимо исключить из обработки узел 192.168.154.7.

Решение:

В файл /var/opt/ideco/suricata-backend/custom.rules добавьте следующую строку: pass ip 192.168.154.7 any <> any any (sid:1;).
Затем в разделе Терминал выполните команду systemctl restart ideco-suricata-backend.service.

При создании нескольких ручных правил обязательно изменяйте ID-правила (sid:2;), иначе служба предотвращения вторжений прекратит работу из-за наличия нескольких правил с одним sid.

Настройки

Для добавления сетей в обработку службы Предотвращения вторжений и обновления баз службы перейдите в раздел Правила трафика -> Предотвращение вторжений -> Настройки.

Не указывайте сети, принадлежащие внешним сетевым интерфейсам UTM и внешним сетям. Указанные здесь сети участвуют в правилах службы предотвращения вторжения как локальные. Локальный межсегментный трафик не исключается из проверок системы.

PreviousФайрвол NextУправление сервером и его настройка

Last updated 6 months ago