Система обнаружения и предотвращения вторжений (СОВ), или Intrusion Detection and Prevention System (IDPS), позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется разработчиками UserGate при наличии соответствующей лицензии. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал.
Для начала работы СОВ необходимо:
Наименование |
Описание |
---|---|
Шаг 1. Создать необходимые профили СОВ |
Профиль СОВ - это набор сигнатур, релевантных для защиты определенных сервисов. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора. |
Шаг 2. Создать требуемые правила СОВ |
Правила СОВ определяют действие СОВ для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями СОВ. |
Для настройки профилей СОВ необходимо создать профиль в разделе Библиотеки --> Профили СОВ и затем добавить в него необходимые сигнатуры. Сигнатуры СОВ поставляются и постоянно обновляются UserGate при наличии соответствующей подписки. Каждая сигнатура имеет определенные поля:
Наименование |
Описание |
---|---|
Сигнатура |
Название сигнатуры. |
Риск |
Риск сигнатуры по 5-бальной шкале |
Протокол |
Протокол, для которого разработана данная сигнатура:
|
Категория |
Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен.
|
Класс |
Класс сигнатуры определяет тип атаки, которая детектируется данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Поддерживаются следующие классы:
|
При добавлении сигнатур в профиль СОВ администратор может использовать гибкую возможность фильтрации сигнатур, например, выбрать только те сигнатуры, которые имеют очень высокий риск, протокол - TCP, категория - botcc, класс - все.
Правила СОВ определяют трафик, к которому применяется профиль СОВ и действие, которое модуль СОВ должен предпринять при срабатывании сигнатуры.
Примечание
Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.
Примечание
Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.
Примечание
Если не создано ни одного правила, то СОВ ничего не анализирует и не защищает от угроз.
Для настройки правил СОВ необходимо нажать на кнопку Добавить в разделе Политики безопасности --> СОВ и заполнить поля правила.
Наименование |
Описание |
---|---|
Вкл/Выкл |
Включает или отключает правило. |
Название |
Название правила. |
Описание |
Описание правила. |
Действие |
Возможны следующие варианты:
|
Источник |
Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Назначение |
Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Сервис |
Тип сервиса, например, HTTP, DNS или другие. |
Профили |
Список профилей СОВ, созданных на предыдущем шаге. |