Система обнаружения и предотвращения вторжений (СОВ) или Intrusion Detection and Prevention System (IDPS) позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется компанией Entensys при наличии соответствующей лицензии. Система IDPS отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал.
Для начала работы СОВ необходимо:
|
Наименование |
Описание |
|
Шаг 1. Включить модуль СОВ |
Включите модуль СОВ в разделе Настройка |
|
Шаг 2. Настроить политику СОВ |
Смотрите раздел Настройка политики СОВ |
|
Шаг 3. Создать правила СОВ |
Смотрите раздел Настройка правил СОВ |
Для настройки политики СОВ необходимо нажать на кнопку Политика СОВ в разделе Политики безопасностиà СОВ и заполнить поля:
|
Наименование |
Описание |
|
Угрозы низкого риска |
Угрозы, определенные компанией Entensys как угрозы с низким уровнем риска. Как правило, это угрозы, не представляющие опасности, например, сканирование портов |
|
Угрозы среднего риска |
Угрозы, определенные компанией Entensys как угрозы со средним уровнем риска. Эти угрозы представляют собой средний уровень опасности, например, хорошо известные эксплоиты, для которых вендоры выпустили исправления достаточно давно |
|
Угрозы высокого риска |
Угрозы, определенные компанией Entensys как угрозы с высоким уровнем риска. Эти угрозы представляют собой высокий уровень опасности, например, новые эксплоиты, для которых вендоры еще не выпустили исправления или сделали это недавно |
|
Пропускать |
Действие, которое пропускает данные угрозы СОВ |
|
Журналировать |
Действие, которое записывает информацию об угрозе в журнал |
|
Блокировать |
Действие, которое записывает информацию об угрозе в журнал и блокирует трафик, содержащий атаку |
Администратор может установить различные действия для угроз разного риска. Рекомендуемая политика СОВ:
|
Наименование |
Описание |
|
Угрозы низкого риска |
Пропускать |
|
Угрозы среднего риска |
Журналировать |
|
Угрозы высокого риска |
Блокировать |
Правила СОВ определяют трафик, к которому применяется политика СОВ.
Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил.
Важно! Если не создано ни одного правила, то СОВ не работает.
Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.
Для настройки правил СОВ необходимо нажать на кнопку Добавить в разделе Политики безопасностиà СОВ и заполнить поля правила.
|
Наименование |
Описание |
|
Вкл/Выкл |
Включает или отключает правило |
|
Название |
Название правила |
|
Описание |
Описание правила |
|
Источник |
Зона(ы) и IP-адреса источника трафика |
|
Назначение |
Зона(ы) и IP-адреса назначения трафика |
|
Сервис |
Тип сервиса, например, HTTP, DNS или другие |
|
Приложение |
Список приложений, для которых применяется данное правило |