8.5. Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (СОВ), или Intrusion Detection and Prevention System (IDPS), позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется разработчиками UserGate при наличии соответствующей лицензии. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал.

Для начала работы СОВ необходимо:

Наименование

Описание

Шаг 1. Создать необходимые профили СОВ.

Профиль СОВ - это набор сигнатур, релевантных для защиты определенных сервисов. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.

Шаг 2. Создать требуемые правила СОВ.

Правила СОВ определяют действие СОВ для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями СОВ.

Для настройки профилей СОВ необходимо создать профиль в разделе Библиотеки --> Профили СОВ и затем добавить в него необходимые сигнатуры. Сигнатуры СОВ поставляются и постоянно обновляются UserGate при наличии соответствующей подписки. Каждая сигнатура имеет определенные поля:

Наименование

Описание

Сигнатура

Название сигнатуры.

Уровень угрозы

Риск сигнатуры по 5-бальной шкале.

Протокол

Протокол, для которого разработана данная сигнатура:

  • IP.

  • ICMP.

  • TCP.

  • UDP.

OC

Операционная система, для которой разработана данная сигнатура.

Категория

Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен.

  • adware pup.

  • attack_response - сигнатуры, определяющие ответы на известные сетевые атаки.

  • coinminer - скачивание, установка, деятельность известных майнеров.

  • dns - известные уязвимости DNS.

  • dos - сигнатуры известных Denial of services атак.

  • exploit - сигнатуры известных эксплоитов.

  • ftp - известные FTP-уязвимости.

  • imap - известные IMAP-уязвимости.

  • info - потенциальная утечка информации.

  • ldap - известные LDAP-уязвимости.

  • malware - скачивание, установка, деятельность известных malware.

  • misc - другие известные сигнатуры.

  • netbios - известные уязвимости протокола NETBIOS.

  • phishing - сигнатуры известных phishing атак.

  • pop3 - известные уязвимости протокола POP3.

  • rpc - известные уязвимости протокола RPC.

  • scada - известные уязвимости протокола SCADA.

  • scan - сигнатуры, определяющие попытки сканирования сети на известные приложения.

  • shellcode - сигнатуры, определяющие известные попытки запуска программных оболочек.

  • smtp - известные уязвимости протокола SMTP.

  • snmp - известные уязвимости протокола SNMP.

  • sql - известные уязвимости SQL.

  • telnet - известные попытки взлома по протоколу telnet.

  • tftp - известные уязвимости протокола TFTP.

  • user_agents - сигнатуры подозрительных Useragent.

  • voip - известные уязвимости протокола VoIP.

  • web_client - сигнатуры, определяющие известные попытки взлома различных веб-клиентов, например, Adobe Flash Player.

  • web_server - сигнатуры, определяющие известные попытки взлома различных веб-серверов.

  • web_specific_apps - сигнатуры, определяющие известные попытки взлома различных веб приложений.

  • worm - сигнатуры, определяющие сетевую активность известных сетевых червей.

Класс

Класс сигнатуры определяет тип атаки, которая детектируется данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Поддерживаются следующие классы:

  • arbitrary-code-execution - попытка запуска произвольного кода.

  • attempted-admin - попытка получения административных привилегий.

  • attempted-dos - попытка совершения атаки Denial of Service.

  • attempted-recon - попытка атаки, направленной на утечку данных.

  • attempted-user - попытка получения пользовательских привилегий.

  • bad-unknown - потенциально плохой трафик.

  • command-and-control - попытка общения с C&C центром

  • default-login-attempt - попытка логина с именем/паролем по умолчанию.

  • denial-of-service - обнаружена атака Denial of Service.

  • exploit-kit - обнаружен exploit kit

  • misc-activity - прочая активность.

  • misc-attack - обнаружена атака.

  • shellcode-detect - обнаружен исполняемый код.

  • string-detect - обнаружена подозрительная строка.

  • suspicious-login - попытка логина с использованием подозрительного имени пользователя.

  • trojan-activity - обнаружен сетевой троян.

  • web-application-attack - обнаружена атака на веб-приложение.

Описание

Более подробное описание сигнатуры.

При добавлении сигнатур в профиль СОВ администратор может использовать гибкую возможность фильтрации сигнатур, например, выбрать только те сигнатуры, которые имеют очень высокий риск, протокол - TCP, категория - botcc, класс - все.

Правила СОВ определяют трафик, к которому применяется профиль СОВ и действие, которое модуль СОВ должен предпринять при срабатывании сигнатуры. При срабатывании сигнатуры доступна запись трафика. Настройка захвата пакетов производится в разделе UserGate --> Настройки --> Настройка PCAP. Загрузка и просмотр файлов PCAP доступны в журнале СОВ.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Примечание

Если не создано ни одного правила, то СОВ ничего не анализирует и не защищает от угроз.

Для настройки правил СОВ необходимо нажать на кнопку Добавить в разделе Политики безопасности --> СОВ и заполнить поля правила.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Возможны следующие варианты:

  • Разрешить - не блокировать трафик.

  • Журналировать - не блокировать и записать в журнал.

  • Запретить - блокировать и записать в журнал.

Источник

Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.

Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Назначение

Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика.

Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Сервис

Тип сервиса, например, HTTP, DNS или другие.

Профили

Список профилей СОВ, сигнатуры которых будут использованы в данном правиле СОВ.

Профили СОВ задаются для правил с действиями Запретить и Журналировать. Для разрешающих правил задать профиль СОВ невозможно; такая реализация позволяет настроить исключения для определённого типа трафика.

Профили исключения

Список профилей СОВ, сигнатуры которых будут исключены из сигнатур, указанных в профилях в разделе Профили СОВ; могут быть использованы только в правилах с действием Запретить или Журналировать.

Данная возможность позволяет использовать централизованно создаваемые профили сигнатур, например, Профиль UserGate, изменять содержимое которых администратор не может, но при этом исключить из этого профиля ряд сигнатур, которые избыточны или создают ложные срабатывания.