Предотвращение вторжений
Система обнаружения и предотвращения вторжений.
Last updated
Was this helpful?
Система обнаружения и предотвращения вторжений.
Last updated
Was this helpful?
Название службы раздела Предотвращение вторжений: ideco-suricata-backend
; ideco-suricata
; ideco-suricata-event-syncer
; ideco-suricata-profiles-syncer
.
Список имен служб для других разделов доступен по ссылке.
Система Предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для:
Система Предотвращения вторжений доступна только в Enterprise-версии Ideco NGFW для пользователей с активной подпиской на обновления.
Включите систему в разделе Правила трафика -> Предотвращение вторжений:
Раздел состоит из трех вкладок:
Группы сигнатур - содержит список предустановленных групп сигнатур, либо распределенных по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак), либо в табличном виде;
Пользовательские сигнатуры - позволяет добавить сигнатуры для обработки системой Предотвращения вторжений;
Настройки - содержит информацию об обновлении баз IPS и сетях, защищенных от вторжений.
Предустановленные группы правил (сигнатур) включают блокирование вредоносного ПО, P2P-сетей, криптомайнеров, средств для обхода правил фильтрации и т.д.
С 18 версии Ideco NGFW механизм работы системы Предотвращения вторжений изменился, появились возможности:
Чтобы модуль обрабатывал трафик, необходимо сначала создать профили IPS в разделе Профили безопасности -> Предотвращение вторжений, а затем использовать их в правилах Файрвола.
В отбработке трафика не участвуют:
сигнатуры, не используемые в профилях;
профили, не используемые в правилах Файрвола.
Файрвол Ideco NGFW анализирует трафик для поиска подходящего правила и применяет его. Если в таблице есть несколько правил с одними и теми же условиями, применяется правило, стоящее выше по списку. Запрещающие правила Файрвола сразу блокируют соответствующий трафик, он не проходит дополнительную проверку в модуле Предотвращение вторжений.
Чтобы через модуль Предотвращение вторжений проходил трафик, для которого нет разрешающего правила в таблице FORWARD или INPUT, рекомендуем создать и включить в файрволе правило с источником Любой и назначением Любой, разместив его в конец таблицы. В этом случае трафик, который не был найден в правилах Файрвола, но соответствует профилям IPS, пройдет проверку системой Предотвращения вторжений.
Чтобы трафик фильтровался системой Предотвращение вторжений, создайте для всех локальных интерфейсов правило FORWARD, содержащее нужный профиль безопасности.
Важно: при включенной опции Перехват пользовательских DNS-запросов в разделе Сервисы -> Защита и управление DNS -> Внешние DNS-серверы трафик обрабатывается не как FORWARD, а как INPUT:
Если опция Перехват пользовательских DNS-запросов включена (по умолчанию включена), создайте правила INPUT для протоколов TCP и UDP с тем же профилем безопасности, источником и портом 53 в разделе Назначение.