Предотвращение вторжений

Служба обнаружения и предотвращения вторжений

Название службы раздела Предотвращение вторжений: ideco-suricata-backend; ideco-suricata; ideco-suricata-event-syncer; ideco-suricata-event-to-syslog. Список имен служб для других разделов доступен по ссылке.

Служба предотвращения вторжений доступна только в Enterprise-версии Ideco NGFW для пользователей с активной подпиской на обновления.

Правила Предотвращения вторжений, Контроля приложений и Ограничения скорости не обрабатывают трафик между локальными сетями и сетями филиалов.

Для исключения пользователя или групп пользователей из обработки служб Предотвращения вторжений добавьте соответствующее правило в Правила трафика -> Исключения из правил.

Служба предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для:

Правила блокировки трафика включают в себя блокирование активности троянских программ, spyware, бот-сетей, клиентов p2p и торрент-трекеров, вирусов, сети TOR (используемой для обхода правил фильтрации), анонимайзеров и т. д.

Для настройки службы перейдите на вкладку Правила трафика -> Предотвращение вторжений. Включите или выключите службу, переведя выключатель в соответствующее положение:

Раздел состоит из четырех вкладок:

  • Журнал - фиксирует логи срабатывания правил службы;

  • Правила - содержит список предустановленных правил;

  • Исключения из правил - фиксирует в таблицу список отключенных правил службы предотвращения вторжений;

  • Настройки - во вкладке создаются правила для службы предотвращения вторжений.

На вкладках Журнал, Правила и Исключения из правил доступна фильтрация правил с помощью кнопки Фильтры.

Примеры использования

Пример анализа логов

Предупреждение службы предотвращения вторжений:

На вкладке Правила можно открыть найденную группу по Событию безопасности, нажать на и в ней найти сработавшее правило по его ID:

alert http $EXTERNAL_NET any -> any any (msg:"ET SCAN Zmap User-Agent (Inbound)"; flow:established,to_server; http.user_agent; content:"Mozilla/5.0 zgrab/0.x"; depth:21; endswith; classtype:network-scan; sid:2029054; rev:2; metadata:created_at 2019_11_26, former_category SCAN, updated_at 2020_10_23;)

Можно проанализировать IP-адрес, с которым была попытка подозрительного соединения, через whois.

Как исключить узел из обработки системой IDS/IPS через терминал

Можно исключить узел из обработки в веб-интерфейсе в разделе Правила трафика -> Исключения из правил.

Задача: Необходимо исключить из обработки узел 192.168.154.7.

Решение:

  1. В файл /var/opt/ideco/suricata-backend/custom.rules добавьте следующую строку: pass ip 192.168.154.7 any <> any any (sid:1;).

  2. Затем в разделе Терминал выполните команду systemctl restart ideco-suricata-backend.service.

При создании нескольких ручных правил обязательно изменяйте ID-правила (sid:2;), иначе служба предотвращения вторжений прекратит работу из-за наличия нескольких правил с одним sid.

Технические требования

Для работы службы предотвращения вторжений требуются значительные вычислительные ресурсы. Предпочтительным являются многоядерные (4 и более ядер) процессоры. Минимальное количество оперативной памяти для использования системы: 16 Гб.

После включения системы проконтролируйте, что мощности вашего процессора достаточно для проверки трафика, следующего через шлюз. В разделе Мониторинг -> Графики загруженности выберите параметр средняя загрузка (за 1, 5 и 15 минут).

Подробнее о Load Average.

Last updated