Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (СОВ) или Intrusion Detection and Prevention System (IDPS) позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется компанией Entensys при наличии соответствующей лицензии. Система IDPS отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал.

Для начала работы СОВ необходимо:

Наименование

Описание

Шаг 1. Включить модуль СОВ

Включите модуль СОВ в разделе Настройка

Шаг 2. Настроить политику СОВ

Смотрите раздел Настройка политики СОВ

Шаг 3. Создать правила СОВ

Смотрите раздел Настройка правил СОВ

Для настройки политики СОВ необходимо нажать на кнопку Политика СОВ в разделе Политики безопасностиà СОВ и заполнить поля:

Наименование

Описание

Угрозы низкого риска

Угрозы, определенные компанией Entensys как угрозы с низким уровнем риска. Как правило, это угрозы, не представляющие опасности, например, сканирование портов

Угрозы среднего риска

Угрозы, определенные компанией Entensys как угрозы со средним уровнем риска. Эти угрозы представляют собой средний уровень опасности, например, хорошо известные эксплоиты, для которых вендоры выпустили исправления достаточно давно

Угрозы высокого риска

Угрозы, определенные компанией Entensys как угрозы с высоким уровнем риска. Эти угрозы представляют собой высокий уровень опасности, например, новые эксплоиты, для которых вендоры еще не выпустили исправления или сделали это недавно

Пропускать

Действие, которое пропускает данные угрозы СОВ

Журналировать

Действие, которое записывает информацию об угрозе в журнал

Блокировать

Действие, которое записывает информацию об угрозе в журнал и блокирует трафик, содержащий атаку

Администратор может установить различные действия для угроз разного риска. Рекомендуемая политика СОВ:

Наименование

Описание

Угрозы низкого риска

Пропускать

Угрозы среднего риска

Журналировать

Угрозы высокого риска

Блокировать

Правила СОВ определяют трафик, к которому применяется политика СОВ.

Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил.

Важно! Если не создано ни одного правила, то СОВ не работает.

Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Для настройки правил СОВ необходимо нажать на кнопку Добавить в разделе Политики безопасностиà СОВ и заполнить поля правила.

Наименование

Описание

Вкл/Выкл

Включает или отключает правило

Название

Название правила

Описание

Описание правила

Источник

Зона(ы) и IP-адреса источника трафика

Назначение

Зона(ы) и IP-адреса назначения трафика

Сервис

Тип сервиса, например, HTTP, DNS или другие

Приложение

Список приложений, для которых применяется данное правило