8.4. Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (СОВ), или Intrusion Detection and Prevention System (IDPS), позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется разработчиками UserGate при наличии соответствующей лицензии. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал.

Для начала работы СОВ необходимо:

Наименование

Описание

Шаг 1. Создать необходимые профили СОВ

Профиль СОВ - это набор сигнатур, релевантных для защиты определенных сервисов. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.

Шаг 2. Создать требуемые правила СОВ

Правила СОВ определяют действие СОВ для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями СОВ.

Для настройки профилей СОВ необходимо создать профиль в разделе Библиотеки --> Профили СОВ и затем добавить в него необходимые сигнатуры. Сигнатуры СОВ поставляются и постоянно обновляются UserGate при наличии соответствующей подписки. Каждая сигнатура имеет определенные поля:

Наименование

Описание

Сигнатура

Название сигнатуры.

Риск

Риск сигнатуры по 5-бальной шкале

Протокол

Протокол, для которого разработана данная сигнатура:

  • IP

  • ICMP

  • TCP

  • UDP

Категория

Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен.

  • attack_response - сигнатуры, определяющие ответы на известные сетевые атаки.

  • botcc - трафик, направленный к известным IP-адресам ботнетов.

  • botcc.portgrouped - трафик, направленный к известным IP-адресам и портам ботнетов.

  • ciarmy - трафик к топ-хакерам, определяемый командой www.ciarmy.com.

  • compromised - трафик к известным скомпрометированным хостам.

  • current_events - сигнатуры событий, вызываемых различными известными эксплоитами.

  • dns - известные уязвимости DNS.

  • dos - сигнатуры известных Denial of services атак.

  • drop - трафик к сетям, перечисленным в www.spamhaus.org.

  • dshield - трафик к топ-хакерам, определяемых командой www.dshield.org.

  • exploit - сигнатуры известных эксплоитов.

  • ftp - известные FTP-уязвимости.

  • icmp - известные ICMP-уязвимости.

  • icmp_info - ICMP-информация, потенциально предоставляющая излишнюю информацию.

  • imap - известные IMAP-уязвимости.

  • info - потенциальная утечка информации.

  • malware - скачивание, установка, деятельность известных malware.

  • misc - другие известные сигнатуры.

  • mobile_malware - сигнатуры известных malware для мобильных платформ.

  • netbios - известные уязвимости протокола NETBIOS.

  • p2p - сигнатуры протокола P2P.

  • policy - сигнатуры событий, потенциально нарушающие политику информационной безопасности (утечки информации).

  • pop3 - известные уязвимости протокола POP3.

  • rpc - известные уязвимости протокола RPC.

  • scada - известные уязвимости протокола SCADA.

  • scan - сигнатуры, определяющие попытки сканирования сети на известные приложения.

  • shellcode - сигнатуры, определяющие известные попытки запуска программных оболочек.

  • smtp - известные уязвимости протокола SMTP.

  • snmp - известные уязвимости протокола SNMP.

  • sql - известные уязвимости SQL.

  • telnet - известные попытки взлома по протоколу telnet.

  • tftp - известные уязвимости протокола TFTP.

  • tor - сигнатуры, определяющие tor-активность в сети.

  • trojan - сигнатуры известных троянов.

  • user_agents - сигнатуры подозрительных Useragent.

  • voip - известные уязвимости протокола VoIP.

  • web_client - сигнатуры, определяющие известные попытки взлома различных веб-клиентов, например, Adobe Flash Player.

  • web_server - сигнатуры, определяющие известные попытки взлома различных веб-серверов.

  • web_specific_apps - сигнатуры, определяющие известные попытки взлома различных веб приложений.

  • worm - сигнатуры, определяющие сетевую активность известных сетевых червей.

Класс

Класс сигнатуры определяет тип атаки, которая детектируется данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Поддерживаются следующие классы:

  • attempted-admin - попытка получения административных привилегий.

  • attempted-dos - попытка совершения атаки Denial of Service.

  • attempted-recon - попытка атаки, направленной на утечку данных.

  • attempted-user - попытка получения пользовательских привилегий.

  • bad-unknown - потенциально плохой трафик

  • default-login-attempt - попытка логина с именем/паролем по умолчанию.

  • denial-of-service - обнаружена атака Denial of Service.

  • misc-activity - прочая активность.

  • misc-attack - обнаружена атака.

  • network-scan - обнаружено сканирование сети.

  • non-standard-protocol - обнаружен нестандартный протокол.

  • not-suspicious - не подозрительный трафик.

  • policy-violation - потенциальное нарушение корпоративной политик ИБ.

  • protocol-command-decode - декодирована команда протокола.

  • rpc-portmap-decode - декодирован запрос RPC.

  • shellcode-detect - обнаружен исполняемый код.

  • string-detect - обнаружена подозрительная строка.

  • successful-admin - успешное получение административных привилегий.

  • successful-recon-largescale - утечка большого количества информации.

  • successful-recon-limited - утечка информации.

  • successful-user - успешное получение пользовательских привилегий.

  • suspicious-filename-detect - обнаружено подозрительное имя файла.

  • suspicious-login - попытка логина с использованием подозрительного имени пользователя.

  • system-call-detect - обнаружен системный вызов.

  • trojan-activity - обнаружен сетевой троян.

  • unsuccessful-user - неуспешная попытка получения пользовательских привилегий.

  • web-application-activity - обнаружен доступ к потенциально уязвимому веб-приложению.

  • web-application-attack - обнаружена атака на веб-приложение.

При добавлении сигнатур в профиль СОВ администратор может использовать гибкую возможность фильтрации сигнатур, например, выбрать только те сигнатуры, которые имеют очень высокий риск, протокол - TCP, категория - botcc, класс - все.

Правила СОВ определяют трафик, к которому применяется профиль СОВ и действие, которое модуль СОВ должен предпринять при срабатывании сигнатуры.

Примечание

Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.

Примечание

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.

Примечание

Если не создано ни одного правила, то СОВ ничего не анализирует и не защищает от угроз.

Для настройки правил СОВ необходимо нажать на кнопку Добавить в разделе Политики безопасности --> СОВ и заполнить поля правила.

Наименование

Описание

Вкл/Выкл

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Возможны следующие варианты:

  • Разрешить - не блокировать трафик.

  • Журналировать - не блокировать и записать в журнал.

  • Запретить - блокировать и записать в журнал.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Сервис

Тип сервиса, например, HTTP, DNS или другие.

Профили

Список профилей СОВ, созданных на предыдущем шаге.