Предотвращение вторжений

Система обнаружения и предотвращения вторжений

Название службы раздела Предотвращение вторжений: ideco-suricata-backend; ideco-suricata; ideco-suricata-event-syncer; ideco-suricata-event-to-syslog. Список имен служб для других разделов, доступен по ссылке.

Система предотвращения вторжений доступна только в Enterprise версии Ideco UTM для пользователей с активной подпиской на обновления.

Правила Предотвращения вторжений, Контроля приложений и Ограничение скорости не обрабатывают трафик между локальными сетями и сетями филиалов.

Система предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для обнаружения, журналирования и предотвращения атак злоумышленников на сервер, интегрированные службы (почта, веб-сайт и др.) и, защищаемую интернет-шлюзом, локальную сеть.

Правила блокировки трафика включают в себя блокирование активности троянских программ, spyware, бот-сетей, клиентов p2p и торрент-трекеров, вирусов, сети TOR (используемой для обхода правил фильтрации), анонимайзеров и т.д.

Настроить службу можно на вкладке Правила доступа -> Предотвращение вторжений.

Передвинув выключатель (слева от названия раздела) вправо или влево можно соответственно включить/выключить службу предотвращения вторжений.

Для добавления правила нажмите кнопку Добавить и в поле Подсеть добавьте локальные сети, обслуживаемые UTM. Как правило, это сети локальных интерфейсов UTM, а также маршрутизируемые на них сети удаленных сегментов локальной сети предприятия.

Ни в коем случае не указывайте сети, принадлежащие внешним сетевым интерфейсам UTM и внешним сетям. Указанные здесь сети участвуют в правилах службы предотвращения вторжения как локальные, характеризуя трафик в/из локальных сетей. Локальный межсегментный трафик не исключается из проверок системы.

При использовании системы предотвращения вторжений не рекомендуется использовать внутренние DNS-серверы для компьютеров сети, т.к. система анализирует проходящие через нее DNS-запросы и определяет по ним зараженные устройства. В случае использования внутреннего домена AD, рекомендуется на компьютерах указывать DNS-сервер Ideco UTM в качестве единственного DNS-сервера, а в настройках DNS-сервера на UTM указать Forward-зону для локального домена.

Журнал

В подразделе Журнал можно просмотреть логи предупреждения системы предотвращения вторжений.

Поле Результат анализа отображает действие системы, Blocked — пакет блокирован, любая другая информация в этом поле означает Allowed, информирование.
В поле Уровень угрозы могут отображаться следующие значения:
- 1 - критично;
- 2- опасно;
- 3 - предупреждение;
- 4 - не распознано;
- 255 - не классифицировано.

Скачайте CSV-файл с логами системы предотвращения вторжений за определенный период по соответствующей кнопке.

Действия для корректного отображения информации из CSV-файла в MS Excel

1. Откройте CSV-файл в MS Excel и выделите весь первый столбец.

2. Перейдите во вкладку Данные и нажмите кнопку Текст по столбцам.

3. В открывшемся окне выберите с разделителями и нажмите Далее:

4. В блоке Символом-разделителем является: выберите запятая и нажмите Далее:

5. В блоке Формат данных столбца выберите Текстовый и нажмите Готово:

Правила

На вкладке Правила доступны для просмотра и включения/отключения группы правил системы предотвращения вторжений. При включении/отключении группы правил настройки применяются мгновенно без необходимости перезапускать службу.

История изменений правил

26.10.2022:

Удалена отдельная категория правил Список НКЦКИ \ Источник данных атакующих НКЦКИ остается в составе баз, являясь частью Черного списка IP-адресов

21.10.2022:

Удалена группа Активные ботнеты \ Актуальные угрозы блокируются с помощью Чёрных списков IP-адресов

Исключения

Отключите определенные правила системы предотвращения вторжений, в случае их ложных срабатываний или по другим причинам.

На вкладке Исключения можно добавить ID правила (его номер, см. пример анализа логов ниже).

Внимание! Со временем при обновлении баз ID правил могут меняться.

Пример анализа логов

Предупреждение системы предотвращения вторжений:

Таким образом, на вкладке Правила можно открыть найденную группу и в ней найти сработавшее правило по его ID:

drop dns $HOME_NET any -> any any (msg:"ET DNS Query for .cc TLD"; dns.query; content:".cc"; endswith; fast_pattern; classtype:bad-unknown; sid:2027758; rev:5; metadata:affected_product Any, attack_target Client_Endpoint, created_at 2019_07_26, deployment Perimeter, former_category DNS, signature_severity Minor, updated_at 2020_09_17;)

Можно проанализировать IP-адрес, с которым была попытка подозрительного соединения, через whois.

Как исключить узел из обработки системой IDS/IPS

Задача: Необходимо исключить из обработки узел 192.168.154.7.

Решение:

В файл /var/opt/ideco/suricata-backend/custom.rules необходимо добавить следующую строку: pass ip 192.168.154.7 any <> any any (sid:1;). Для редактирования этого файла перейдите в раздел Терминал и введите команду mcedit /var/opt/ideco/suricata-backend/custom.rules.
Затем в разделе Терминал выполнить команду systemctl restart ideco-suricata-backend.service.

При создании нескольких ручных правил обязательно изменяйте ID-правила (sid:2;), иначе система предотвращения вторжений прекратит работу из-за наличия нескольких правил с одним sid.

Технические требования

Для работы системы предотвращения вторжений требуются значительные вычислительные ресурсы. Предпочтительным являются многоядерные (4 и более ядер) процессоры. Минимальное количество оперативной памяти для использования системы: 8 Гб.

После включения системы желательно проконтролировать, что мощности процессора достаточно для проверки следующего через шлюз трафика.

В разделе Мониторинг -> Графики загруженности. Параметр средняя загрузка (за 1, 5 и 15 минут). Подробнее о Load Average.

PreviousАнтивирусы веб-трафика NextОбъекты

Last updated 1 year ago