Служба предотвращения вторжений доступна только в Enterprise версии Ideco NGFW VPP для пользователей с активной подпиской на обновления.
Правила блокировки трафика включают в себя:
Активности троянских программ;
Spyware;
Бот-сетей и анонимайзеров;
Клиентов p2p;
Торрент-трекеров;
Вирусов и сетей TOR.
Служба предотвращения вторжений работает за счет анализа DNS-запросов пользователей. Учтите это при настройке DNS-cервера на пользовательских компьютерах.
Не используйте DNS-серверы, находящиеся в User интерфейсе, для компьютеров пользователей, поскольку служба предотвращения вторжений определяет зараженные устройства по DNS-запросам, проходящим через нее.
Первоначальные действия для работы службы предотвращения вторжений
Без созданного FORWARD правила служба Предотвращения вторжений не будет работать в независимости от ее включения в разделе Правила трафика -> Предотвращение вторжений.
Для работы службы предотвращения вторжений на всех интерфейсах выполните действия:
Перейдите в раздел Правила трафика -> Предотвращение вторжений и переведите опцию в положение включен:
Перейдите в раздел Правила трафика -> Файрвол -> FORWARD.
Нажмите Добавить.
Выберите действие Разрешить.
Включите опцию Предотвращение вторжений:
Нажмите сохранить.
Для корректной работы службы Предотвращения вторжений правило с ней должно быть выше правила с Контролем приложений.
Журнал
Для просмотра логов службы Предотвращения вторжений перейдите в веб-интерфейсе в раздел Правила трафика -> Предотвращение вторжений -> Журнал.
В столбце Уровень угрозы отображаются следующие значения:
Критично
Опасно
Предупреждение
Не распознано
Не классифицировано
Логи службы предотвращения вторжений можно отправлять на удаленный сервер при настроенном Syslog. Подробнее в статье Логирование.
Пример анализа логов
Предупреждение службы предотвращения вторжений:
alert http $EXTERNAL_NET any -> any any (msg:"ET SCAN Zmap User-Agent (Inbound)"; flow:established,to_server; http.user_agent; content:"Mozilla/5.0 zgrab/0.x"; depth:21; endswith; classtype:network-scan; sid:2029054; rev:2; metadata:created_at 2019_11_26, former_category SCAN, updated_at 2020_10_23;)
Можно проанализировать IP-адрес, с которым была попытка подозрительного соединения, через whois.
Импорт логов службы предотвращения вторжений в MS Excel
Скачайте CSV-файл по соответствующей кнопке во вкладке Журнал в разделе Правила трафика -> Предотвращение вторжений.
Откройте CSV-файл в MS Excel и выделите весь первый столбец.
Перейдите во вкладку Данные и нажмите Текст по столбцам.
В открывшемся окне выберите с разделителями и нажмите Далее.
Выберите в качестве разделителя запятую и нажмите Далее.
Выберите текстовый формат данных столбца и нажмите Готово.
Правила
Для просмотра всех правил модуля Предотвращение вторжений и их настройки перейдите в веб-интерфейс в раздел Правила трафика -> Предотвращение вторжений -> Правила.
Описание правил
Блокирование утечек информации - обнаруживает/блокирует попытки получить данные и информацию.
Атаки на получение прав пользователя - обнаруживает/блокирует попытки получить учетные данные пользователя.
Попытки получения привилегий администратора - обнаруживает/блокирует попытки повысить привилегии до администратора и полученить учетные данные администратора.
Попытки проведения DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack).
Попытки получения системных файлов - обнаруживает/блокирует системные конфигурации.
Попытки получения привилегий пользователя - обнаруживает/блокирует попытки повысить привилегии и получить учетные данные пользователей.
Пулы криптомайнеров - обнаруживает/блокирует взаимодействие с сетями криптомайнеров и обращения для передачи нагрузки, которые криптомайнеры используют для майнинга.
Блокирование крупных утечек информации - обнаруживает/блокирует попытки получить данные и информацию.
Управление вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2), которую злоумышленники используют для управления зараженными устройствами и кражи конфиденциальных данных.
Обнаружение успешных краж учетных данных - обнаруживает/блокирует кражи учетных данных.
Попытки авторизации с логином и паролем по-умолчанию - обнаруживает/блокирует попытки зайти под учетными данными с простыми паролями (аналогично Bruteforce).
Обнаружение DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack).
Использование DNS-трафика для управления вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2).
Эксплойты - обнаруживает/блокирует использование уязвимостей систем (с индификатором CVE-XXXX-XXXXX).
Определение внешнего IP-адреса - обнаруживает/блокирует попытки взаимодействия с инфраструктурой из внешних сетей.
Расширенная база правил (от Лаборатории Касперского) - набор правил по обнаружению/блокировке от Лаборатории Касперского.
DNS поверх HTTPS - обнаруживает/блокирует попытки сокрытия DNS-запросов по седьмому уровню TLS/SSL.
GeoIP Территории Африки и зависимые территории - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.
GeoIP Страны Восточной Европы - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.
GeoIP Страны Юго-Восточной Азии - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.
GeoIP Южная Америка и зависимые территории - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.
Чёрный список IP-адресов - обнаруживает/блокирует трафик к IP-адресам из баз safe-surf.ru и cinsarmy.com.
SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает/блокирует связь с командными цетрами злоумышленников (С2).
Телеметрия Windows - обнаруживает/блокирует Телеметрию Windows.
Обнаружение подозрительной сетевой активности - обнаруживает/блокирует аномалии или нестандартные действия легитимных пользователей в сети.
Попытки сканирования сети - обнаруживает/блокирует сканирование сети.
Обнаружение нарушений стандартов сетевых протоколов - обнаруживает/блокирует обращения по нестандартным/прошитым протоколам.
Трафик устаревшего уязвимого ПО - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).
Запросы на скомпрометированные ресурсы - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).
Ошибки в сетевых протоколах - обнаруживает/блокирует ошибки сетевых протоколов.
Нежелательное программное обеспечение - обнаруживает/блокирует вредоносное ПО.
Блокирование подозрительных RPС-запросов - обнаруживает/блокирует удаленный вызов процедур (обычно используется для вызова удаленных функций на сервере, требующих результата действия).
Попытки использования социальной инженерии - обнаруживает/блокирует "атаку на человека".
Обнаружение подозрительных команд - обнаруживает/блокирует нестандартные команды, не характерные системам.
Атаки на получение привилегий администратора - обнаруживает/блокирует попытки получить привилегии администратора.
Подозрительное обращение к файлам - обнаруживает/блокирует нестандартное обращение к файлам системы.
Авторизация с подозрительным логином
Целевое использование вредоносного ПО - обнаруживает/блокирует вредоносное программное обеспечение.
Блокирование активности троянских программ - обнаруживает/блокирует вредоносные трояны.
Неизвестный тип трафика - обнаруживает/блокирует неопознаный/вредоносный трафик.
Блокирование некорректных попыток получения привилегий пользователя - обнаруживает/блокирует попытки получить привелегии пользователя.
Нецелевое использование стандартных портов - обнаруживает/блокирует использование стандартных портов в нелегетимных целях.
Исключения из правил
Для добавления правила в исключения службы Предотвращения вторжений перейдите в раздел веб-интерфейса Правила трафика -> Предотвращение вторжений -> Исключения из правил.
Добавить правила в исключения можно двумя способами:
Узнать ID правила в Журнале, перейти во вкладку Исключения из правил и после нажатия на кнопку Добавить ввести в соответствующее поле ID:
Как исключить узел из обработки системой IDS/IPS через терминал
Задача: Необходимо исключить из обработки узел 192.168.154.7.
Решение:
В файл /var/opt/ideco/suricata-backend/custom.rules добавьте следующую строку: pass ip 192.168.154.7 any <> any any (sid:1;).
Затем в разделе Терминал выполните команду systemctl restart ideco-suricata-backend.service.
При создании нескольких ручных правил обязательно изменяйте ID-правила (sid:2;), иначе служба предотвращения вторжений прекратит работу из-за наличия нескольких правил с одним sid.
Настройки
Для добавления сетей в обработку службы Предотвращения вторжений и обновления баз службы перейдите в раздел Правила трафика -> Предотвращение вторжений -> Настройки.
Не указывайте сети, принадлежащие внешним сетевым интерфейсам NGFW и внешним сетям. Указанные здесь сети участвуют в правилах службы предотвращения вторжения как локальные. Локальный межсегментный трафик не исключается из проверок системы.
При блокировке пакета в столбце Результат анализа будет .
Другой результат в этом столбце говорит о том, что пакет прошел проверку службы Предотвращения вторжений.
На вкладке Правила можно открыть найденную группу по Событию безопасности, нажать на и в ней найти сработавшее правило по его ID:
Для отключения или включения группы правил нажмите на соответствующую кнопку напротив группы.
Для просмотра группы правил нажмите .
