Предотвращение вторжений

Модуль Предотвращение вторжений доступен только в Enterprise версии Ideco NGFW VPP для пользователей с активной подпиской на обновления.

Модуль Предотвращение вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначен для:

Обнаружения;
Журналирования;
Предотвращения атак злоумышленников на сервер, интегрированные службы и локальную сеть.

Предустановленные группы правил - сигнатур - включают блокирование активности троянских программ, шпионского ПО, бот-сетей, клиентов P2P и торрент-трекеров, вирусов, сети TOR (используемой для обхода правил фильтрации), анонимайзеров и т. д.

Для настройки модуля перейдите на вкладку Правила трафика -> Предотвращение вторжений, включите или выключите опцию:

Раздел состоит из двух вкладок:

Группы сигнатур - содержит список предустановленных групп сигнатур;
Настройки - содержит информацию об обновлении баз IPS и сетях, защищенных от вторжений.

С 18 версии Ideco NGFW VPP механизм работы Предотвращения вторжений изменился, появились возможности:

Работать с правилами IPS на уровне сигнатур, фильтровать их и просматривать в удобном виде.
Составлять независимые друг от друга наборы правил IPS и применять их только к необходимому трафику. Это стало возможным за счет появления профилей Предотвращения вторжений, которые назначаются на правила Файрвола.

Чтобы модуль обрабатывал трафик, необходимо сначала создать профили IPS в разделе Профили безопасности -> Предотвращение вторжений, а затем использовать их в правилах Файрвола.

Сигнатуры, не используемые в профилях, и профили, не используемые в правилах Файрвола, не участвуют в обработке трафика!

Модуль Предотвращение вторжений работает в том числе за счет анализа DNS-запросов пользователей. Обратите на это внимание при настройке DNS-cервера на пользовательских компьютерах.

При работе Предотвращения вторжений не используйте сторонние DNS-серверы для компьютеров, т.к модуль определяет часть атак по DNS-запросам, проходящим через него.

При использовании внутреннего домена AD рекомендуется:

В компьютерах указать DNS-сервер Ideco NGFW VPP в качестве единственного DNS-сервера;
В настройках DNS-сервера на Ideco NGFW VPP указать Forward-зону для локального домена.

Для просмотра логов Предотвращения вторжений перейдите в веб-интерфейсе в раздел Отчеты и журналы -> События безопасности -> Журнал IPS.

Группы сигнатур

На вкладке Группы сигнатур доступны для просмотра предустановленные группы правил Предотвращения вторжений, распределенные по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак):

Описание групп сигнатур

DNS поверх HTTPS - обнаруживает/блокирует попытки сокрытия DNS-запросов по седьмому уровню TLS/SSL.
GeoIP Страны Восточной Европы - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.
SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает/блокирует связь с командными цетрами злоумышленников (С2).
Авторизация с подозрительным логином
Анонимайзеры - обнаруживает/блокирует анонимайзеры.
Атаки на получение прав пользователя - обнаруживает/блокирует попытки получить учетные данные пользователя.
Атаки на получение привилегий администратора - обнаруживает/блокирует попытки получить привилегии администратора.
Блокирование активности троянских программ - обнаруживает/блокирует вредоносные трояны.
Блокирование атак - обнаруживает/блокирует подозрительные IP-адреса (IP Reputation).
Блокирование крупных утечек информации - обнаруживает/блокирует попытки получить данные и информацию.
Блокирование некорректных попыток получения привилегий пользователя - обнаруживает/блокирует попытки получить привелегии пользователя.
Блокирование подозрительных RPС-запросов - обнаруживает/блокирует удаленный вызов процедур (обычно используется для вызова удаленных функций на сервере, требующих результата действия).
Блокирование попыток запуска исполняемого кода - обнаруживает/блокирует Remote Code Execution (RCE).
Блокирование утечек информации - обнаруживает/блокирует попытки получить данные и информацию.
Запросы на скомпрометированные ресурсы - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).
Использование DNS-трафика для управления вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2).
Нежелательное программное обеспечение - обнаруживает/блокирует вредоносное ПО.
Неизвестный тип трафика - обнаруживает/блокирует неопознаный/вредоносный трафик.
Нецелевое использование стандартных портов - обнаруживает/блокирует использование стандартных портов в нелегетимных целях.
Обнаружение нарушений стандартов сетевых протоколов - обнаруживает/блокирует обращения по нестандартным/прошитым протоколам.
Обнаружение подозрительной сетевой активности - обнаруживает/блокирует аномалии или нестандартные действия легитимных пользователей в сети.
Обнаружение подозрительных команд - обнаруживает/блокирует нестандартные команды, не характерные системам.
Обнаружение успешных краж учетных данных - обнаруживает/блокирует кражи учетных данных.
Определение внешнего IP-адреса - обнаруживает/блокирует попытки взаимодействия с инфраструктурой из внешних сетей.
Ошибки в сетевых протоколах - обнаруживает/блокирует ошибки сетевых протоколов.
Подозрительное обращение к файлам - обнаруживает/блокирует нестандартное обращение к файлам системы.
Попытки авторизации с логином и паролем по-умолчанию - обнаруживает/блокирует попытки зайти под учетными данными с простыми паролями (аналогично Bruteforce).
Попытки использования социальной инженерии - обнаруживает/блокирует "атаку на человека".
Попытки получения привилегий администратора - обнаруживает/блокирует попытки повысить привилегии до администратора и полученить учетные данные администратора.
Попытки получения привилегий пользователя - обнаруживает/блокирует попытки повысить привилегии и получить учетные данные пользователей.
Попытки получения системных файлов - обнаруживает/блокирует системные конфигурации.
Попытки проведения DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack).
Попытки сканирования сети - обнаруживает/блокирует сканирование сети.
Потенциально опасный трафик - обнаруживает/блокирует зашифрованный или запутанный трафик, нестандартные запросы.
Пулы криптомайнеров - обнаруживает/блокирует взаимодействие с сетями криптомайнеров и обращения для передачи нагрузки, которые криптомайнеры используют для майнинга.
Расширенная база правил (от Лаборатории Касперского) - набор правил по обнаружению/блокировке от Лаборатории Касперского.
Телеметрия Windows - обнаруживает/блокирует Телеметрию Windows.
Трафик устаревшего уязвимого ПО - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).
Управление вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2), которую злоумышленники используют для управления зараженными устройствами и кражи конфиденциальных данных.
Целевое использование вредоносного ПО - обнаруживает/блокирует вредоносное программное обеспечение.
Чёрный список IP-адресов - обнаруживает/блокирует трафик к IP-адресам из баз safe-surf.ru и cinsarmy.com.
Эксплойты - обнаруживает/блокирует использование уязвимостей систем (с индификатором CVE-XXXX-XXXXX).

Настройки

Для добавления сетей в обработку Предотвращения вторжений и обновления баз модуля перейдите в раздел Правила трафика -> Предотвращение вторжений -> Настройки.

Не указывайте сети, принадлежащие внешним сетевым интерфейсам NGFW VPP и внешним сетям. Указанные сети участвуют в правилах службы предотвращения вторжения как локальные. Локальный межсегментный трафик не исключается из проверок системы.

PreviousОграничение скорости NextОбъекты

Last updated 8 days ago

Группы сигнатур

Чтобы увидеть сигнатуры, входящие в группу, нажмите на . Чтобы увидеть содержание сигнатуры, наведите курсор мыши на SID:

Описание групп сигнатур

DNS поверх HTTPS - обнаруживает/блокирует попытки сокрытия DNS-запросов по седьмому уровню TLS/SSL.
GeoIP Страны Восточной Европы - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.
SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает/блокирует связь с командными цетрами злоумышленников (С2).
Авторизация с подозрительным логином
Анонимайзеры - обнаруживает/блокирует анонимайзеры.
Атаки на получение прав пользователя - обнаруживает/блокирует попытки получить учетные данные пользователя.
Атаки на получение привилегий администратора - обнаруживает/блокирует попытки получить привилегии администратора.
Блокирование активности троянских программ - обнаруживает/блокирует вредоносные трояны.
Блокирование атак - обнаруживает/блокирует подозрительные IP-адреса (IP Reputation).
Блокирование крупных утечек информации - обнаруживает/блокирует попытки получить данные и информацию.
Блокирование некорректных попыток получения привилегий пользователя - обнаруживает/блокирует попытки получить привелегии пользователя.
Блокирование подозрительных RPС-запросов - обнаруживает/блокирует удаленный вызов процедур (обычно используется для вызова удаленных функций на сервере, требующих результата действия).
Блокирование попыток запуска исполняемого кода - обнаруживает/блокирует Remote Code Execution (RCE).
Блокирование утечек информации - обнаруживает/блокирует попытки получить данные и информацию.
Запросы на скомпрометированные ресурсы - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).
Использование DNS-трафика для управления вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2).
Нежелательное программное обеспечение - обнаруживает/блокирует вредоносное ПО.
Неизвестный тип трафика - обнаруживает/блокирует неопознаный/вредоносный трафик.
Нецелевое использование стандартных портов - обнаруживает/блокирует использование стандартных портов в нелегетимных целях.
Обнаружение нарушений стандартов сетевых протоколов - обнаруживает/блокирует обращения по нестандартным/прошитым протоколам.
Обнаружение подозрительной сетевой активности - обнаруживает/блокирует аномалии или нестандартные действия легитимных пользователей в сети.
Обнаружение подозрительных команд - обнаруживает/блокирует нестандартные команды, не характерные системам.
Обнаружение успешных краж учетных данных - обнаруживает/блокирует кражи учетных данных.
Определение внешнего IP-адреса - обнаруживает/блокирует попытки взаимодействия с инфраструктурой из внешних сетей.
Ошибки в сетевых протоколах - обнаруживает/блокирует ошибки сетевых протоколов.
Подозрительное обращение к файлам - обнаруживает/блокирует нестандартное обращение к файлам системы.
Попытки авторизации с логином и паролем по-умолчанию - обнаруживает/блокирует попытки зайти под учетными данными с простыми паролями (аналогично Bruteforce).
Попытки использования социальной инженерии - обнаруживает/блокирует "атаку на человека".
Попытки получения привилегий администратора - обнаруживает/блокирует попытки повысить привилегии до администратора и полученить учетные данные администратора.
Попытки получения привилегий пользователя - обнаруживает/блокирует попытки повысить привилегии и получить учетные данные пользователей.
Попытки получения системных файлов - обнаруживает/блокирует системные конфигурации.
Попытки проведения DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack).
Попытки сканирования сети - обнаруживает/блокирует сканирование сети.
Потенциально опасный трафик - обнаруживает/блокирует зашифрованный или запутанный трафик, нестандартные запросы.
Пулы криптомайнеров - обнаруживает/блокирует взаимодействие с сетями криптомайнеров и обращения для передачи нагрузки, которые криптомайнеры используют для майнинга.
Расширенная база правил (от Лаборатории Касперского) - набор правил по обнаружению/блокировке от Лаборатории Касперского.
Телеметрия Windows - обнаруживает/блокирует Телеметрию Windows.
Трафик устаревшего уязвимого ПО - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).
Управление вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2), которую злоумышленники используют для управления зараженными устройствами и кражи конфиденциальных данных.
Целевое использование вредоносного ПО - обнаруживает/блокирует вредоносное программное обеспечение.
Чёрный список IP-адресов - обнаруживает/блокирует трафик к IP-адресам из баз safe-surf.ru и cinsarmy.com.
Эксплойты - обнаруживает/блокирует использование уязвимостей систем (с индификатором CVE-XXXX-XXXXX).

Настройки