Содержание

Детектор атак

Модуль «Детектор атак» расположен в Меню «Защита». Данный модуль предназначен для запуска, настройки и конфигурирования используемого в «ИКС» open source IPS/IDS системы – Suricata. Данная система была разработана Open Information Security Foundation в 2009 году. Intrusion Prevention System (IPS, система предотвращения вторжений) — это система сетевой безопасности, обнаруживающая вторжения или нарушения безопасности. IPS отслеживает сетевой трафик в реальном времени и применяет различные меры – сброс соединения, логирование выявленных сигнатур или пропускает его. Также IPS может выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами. Система Suricata поддерживает многозадачность, как следствие обладает высокой производительностью, позволяющая обрабатывать трафик до 10Gbit на обычном оборудовании, и многое другое, в том числе полная поддержка формата правил Snort. При входе в модуль отображается его состояние, кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале.

Настройки

Для корректного применения базы сигнатур модуля детектора атак, необходимо в данной вкладке указать расположение объектов (сетей, серверов и портов) подверженных проверке. Здесь можно указать внутренние и внешние сети, диапазоны адресов различных серверов, а также используемые порты. Всем этим переменным присвоены значения по умолчанию, с которыми детектор атак может корректно запуститься. Для изменения конфигурации по умолчанию необходимо открыть выпадающий список в соответствующей ячейки и выбрать необходимые значения из известных «ИКС» портов или диапазона адресов, заданных Пользователем «ИКС». Либо в соответствующей ячейки в ручную указать необходимое значение. Для ячеек «сети» и «сервера» допустимыми являются следующие значения: доменное имя (host.ru); ip-адрес (192.168.1.1); ip-адрес/префикс (192.168.1.1/24); ip-адрес:маска (192.168.1.1:255.255.255.0); диапазон ip-адресов (192.168.1.1 - 192.168.1.254); пользователь; группа; локальная, внутренняя, VPN, OpenVPN, WiFi сети; и другие объекты, которыми оперирует «ИКС». Для ячеек «порты» допустимыми являются следующие значения: номер порта (25, 110), диапазон портов (1000-2000), объекты порт заведенные на «ИКС». Для ячейки «SHELLCODE-порты» также допустимо исключение портов, например, !80. По умолчанию, анализируется трафик на внешних интерфейсах. Для анализа трафика локальной сети необходимо добавить в поле «Внешние сети» объект «Локальные сети».

Правила

В данной вкладке отображаются возможные базы модуля детектора атак. Существует три базы правил: правила с сайта snort.org, прекомпилированные правила с сайта snort.org и правила Emerging Threats. Каждая база содержит в себе набор скачиваемых файлов, в каждом файле содержится набор правил, объединенных по цели защиты. Для работы набора правил из базы, необходимо чтобы данная база была скачена (см. описание вкладки «настройка обновлений»), если база не скачена, то напротив каждого файла будет надпись «не загружено». Если база была загружена, то возможно выбрать применение всей базы целиком, отметив флажок в столбце «применить». Если необходимо применить определенный файл или наоборот не применять его, то необходимо отметить флажком в столбце «применить» соответствующий файл. Напротив каждого файла показано какое количество правил тот содержит. В правом верхнем углу располагается поиск по названию или по количеству правил в файле. Для просмотра правил и выбора действия необходимо кликнуть по имени файла, будет открыто новое окно с таблицей. Таблица имеет следующие поля: id правила – номер правила; приоритет – значение угрозы; предупреждение – описание производимой атаки; классификация – к какому классу относится атака; действие – определяет, что необходимо сделать при обнаружении данной атаки (alert – запишет в собственный лог обнаружение и пропустит, drop – уничтожит пакет, allow - пропустит, reject – уничтожит пакет и уведомит отправителя о данном событии); включение/выключение соответствующего правила.

Настройки обновлений

Существует 2 компании, которые активно занимаются разработкой правил для систем предотвращения вторжений – Sourcefire и Emerging Threats. Для того чтобы скачать базы «Правила с сайта snort.org» и «Прекомпилированные правила с сайта snort.org», необходимо:

Правила можно скачать при условии наличия одного лишь кода. Обратите внимание на отличие прав подписчика от обычного зарегистрированного пользователя. После удачного скачивания правил от данного разработчика, они будут отображаться во вкладке «Правила» без пометки (не загружено).

Для того чтобы скачать базу «Правила Emerging Threats» достаточно поставить флажок «Устанавливать правила Emerging Threats» и сохранить изменения. Ещё один параметр, который возможно настроить в данной вкладке - это возможность ежедневно проверять обновления правил, которые были загружены. По умолчанию, флажок установлен, при необходимости его можно изменить. После того, как всё настроено, можно нажимать кнопку «Обновить сейчас».

Журнал

Отображает сводку всех системных сообщений модуля с указанием даты и времени. Журнал разделен на страницы, кнопками «вперед» и «назад» возможно переходить со страницы на страницу, либо ввести номер требуемой страницы. Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом, сообщения о состоянии системы (включение/выключение, подключение пользователя) - зеленым, предупреждения – желтым, ошибки - красным. В правом верхнем углу модуля находится строка поиска. А также возможность выбора периода отображения журнала событий. По умолчанию журнал отображает события за текущую дату. При необходимости можно сохранить данные журнала в файл, нажав кнопку «Экспорт» или удалить данные журнала, за определенный период, нажав кнопку «Удалить логи».