23 июня 2023
Защита от вторжений
Best Practices по Континент 4
Статья 1. Введение
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
Приветствую всех читателей! Сегодня мы с вами рассмотрим модуль поведенческого анализа, систему обнаружения вторжений и модуль GeoProtection.
Данная статья написана в обучающих целях. Автор не призывает читателей к нарушению законодательства РФ. Не повторяйте действия, описанные в данной статье, предварительно не ознакомившись с главой 28 УК РФ.
МПА
МПА в комплексе Континент 4 это – обучаемый программный модуль, который позволяет обнаруживать атаки:
В основе работы модуля лежат методики анализа характеристик сетевого трафика с учетом их изменений во времени с помощью набора шаблонов атак. Ниже представлены шаблоны атак:
- Сканирования;
- Атаки на основе корректности протоколов;
- Отказ в обслуживании.
В основе работы модуля лежат методики анализа характеристик сетевого трафика с учетом их изменений во времени с помощью набора шаблонов атак. Ниже представлены шаблоны атак:
С описанием шаблонов можно ознакомиться в документации.
Обнаруживая атаку МПА выполняет одно из действий:
Для активации функционала модуль поведенческого анализа необходимо включить соответствующий компонент в свойствах узла безопасности.
Обнаруживая атаку МПА выполняет одно из действий:
- регистрирует событие в журнале сетевой безопасности и временно блокирует источник атаки;
- регистрирует событие в журнале сетевой безопасности;
- собирает статистику.
Для активации функционала модуль поведенческого анализа необходимо включить соответствующий компонент в свойствах узла безопасности.
Далее необходимо настроить МПА в разделе «Поведенческий анализ».
В данном разделе необходимо настроить время обучения, действие при обнаружении (пока оставим оповещение), время блокировки и интерфейсы, для которых будет применяться МПА. Обучение возможно только для следующих атак:
Для остальных атак используются шаблоны с параметрами, которые можно настроить самостоятельно в разделе «Шаблон атак». Например, так выглядят параметры шаблон атаки «SMURF Attack»:
- SYN-scan;
- SYN-flood;
- FIN/RST-flood.
Для остальных атак используются шаблоны с параметрами, которые можно настроить самостоятельно в разделе «Шаблон атак». Например, так выглядят параметры шаблон атаки «SMURF Attack»:
Включим все шаблоны. Для этого необходимо отметить чекбокс в столбце состояние. При необходимости можно добавить сетевые объекты в исключение для конкретного шаблона. Также модифицируем шаблон «UDP Scan».
Т.к цель данной статьи продемонстрировать эффективность применения МПА, создадим правила, разрешающие весь трафик от сетевого объекта SRV до KALI. Далее необходимо сохранить изменения и установить политику.
Выполним на ВМ Kali следующую команду:
С ВМ kali будут отправляться ICMP-пакеты, состоящие только из заголовков. В журнале безопасности будет следующая запись:
Проведем UDP-сканирование. Для это на ВМ Kali выполним команду:
В журнале сетевой безопасности можно подробнее ознакомиться со сработавшей сигнатурой.
Перейдем в настройки МПА и в качестве действия при обнаружении установим «Блокировать».
Установите политику и запустите повторное UDP-сканирование. Проверьте события в журнале сетевой безопасности. Там будет 2 новых записи, одна из них о сработавшей сигнатуре UDP scan. Вторая запись о блокировке данного трафика для этого хоста. В нашем случае на 300 секунд.
Просматривать и удалять заблокированные адреса можно в локальном меню УБ. В разделе «Инструменты»-«Диагностика»-«Командная строка».
Для просмотра списка IP-адресов, которые были заблокированы МПА, введите команду ipset list RS_dos_protect.
Для просмотра списка IP-адресов, которые были заблокированы МПА, введите команду ipset list RS_dos_protect.
В разделе «Members» мы видим заблокированный адрес и время, оставшееся до разблокировки в секундах. Максимальное время блокировки 24 часа.
Для удаления адреса из списка используется команда ipset del RS_dos_protect <IP-адрес>. Для очистки всего списка ipset flush RS_dos_protect.
После завершения тестирования МПА отключите данный компонент.
Для удаления адреса из списка используется команда ipset del RS_dos_protect <IP-адрес>. Для очистки всего списка ipset flush RS_dos_protect.
После завершения тестирования МПА отключите данный компонент.
СОВ
C описанием системы обнаружения вторжений и базовыми настройками можно ознакомиться в курсе Континент 4 Getting Started. Я же дам некоторые рекомендации по использованию СОВ.
Комплекс Континент позволяет точечно использовать систему предотвращения вторжений. Не обязательно активировать СОВ во всех правила фильтрации. Рекомендуется использовать СОВ только для конкретных сервисов. Например, включать СОВ в правиле, разрешающем доступ к сегменту DMZ. Данная возможность существенно снижает нагрузку на УБ.
Также база решающих правил комплекса Континент содержит несколько антивирусных групп сигнатур, что позволяет использовать СОВ для обнаружения различных вирусов.
Для активации функционала системы обнаружения вторжений необходимо включить соответствующий компонент в свойствах узла безопасности.
Комплекс Континент позволяет точечно использовать систему предотвращения вторжений. Не обязательно активировать СОВ во всех правила фильтрации. Рекомендуется использовать СОВ только для конкретных сервисов. Например, включать СОВ в правиле, разрешающем доступ к сегменту DMZ. Данная возможность существенно снижает нагрузку на УБ.
Также база решающих правил комплекса Континент содержит несколько антивирусных групп сигнатур, что позволяет использовать СОВ для обнаружения различных вирусов.
Для активации функционала системы обнаружения вторжений необходимо включить соответствующий компонент в свойствах узла безопасности.
Настроим внутренние сети в переменных СОВ.
Далее создадим собственный профиль, в качестве действия выберем оповещение. Установим наш профиль на узел в разделе «Политика СОВ».
Активируем СОВ в правиле на межсетевом экране и установим политику.
Перейдем на ВМ KALI и создадим вредоносный файл.
Мы создали вредоносный файл, который позволит подключиться к удаленному компьютеру при запуске файла нем.
Далее необходимо доставить вредоносный файл. Вредоносный файл может быть доставлен разными способами. Т.к наша цель продемонстрировать функционал комплекса опустим этот момент и запустим на ВМ KALI веб сервер.
Далее необходимо доставить вредоносный файл. Вредоносный файл может быть доставлен разными способами. Т.к наша цель продемонстрировать функционал комплекса опустим этот момент и запустим на ВМ KALI веб сервер.
На ВМ SRV перейдем по адресу http://10.10.41.85:8080 и скачаем файл malicious.exe.
Посмотрите записи в журнале сетевой безопасности после загрузки файла.
На ВМ KALI запустим прослушиватель, на который будет обращаться вредоносный файл. Для этого запустим Metasploit Framework и выполним следующие команды:
Перейдем на ВМ SRV и запустим вредоносный файл. После запуска файла на ВМ KALI откроется удаленная сессия.
Посмотрите записи в журнале сетевой безопасности после открытия сессии.
Сейчас сессия открыта от имени администратора, для получения полного доступа необходимы права системы. Воспользуемся эксплоитом для повышения полномочий. Введите в терминале ВМ KALI следующие команды:
Теперь с помощью команды getsystem можем получить права системы.
Получив права системы, мы имеем неограниченный доступ к управлению машиной.
Далее вы можете самостоятельно установить действие «Блокировать» для профиля СОВ и произвести попытку получения удаленного доступа.
Далее вы можете самостоятельно установить действие «Блокировать» для профиля СОВ и произвести попытку получения удаленного доступа.
GeoProtection
В случае публикации каких-либо сервисов рекомендуется воспользоваться компонентом GeoProtection. GeoProtection использует географическую принадлежность ip-адресов в правилах межсетевого экрана. Например, мы можем разрешить доступ до какого-то ресурса только из России.
Для активации функционала GeoProtection необходимо включить соответствующий компонент в свойствах узла безопасности.
Для активации функционала GeoProtection необходимо включить соответствующий компонент в свойствах узла безопасности.
После активации данного компонента в списке сетевых объектов ЦУС станет доступна для использования вкладка «Страны». Страны можно использовать в качестве отправителя и получателя в правилах фильтрации. Также можно создавать группы стран. Для добавления объекта страны в правило необходимо нажать на значок «добавить» в поле отправитель или получатель и перейти на вкладку «Страны».
Ниже приведено правило, в котором разрешается подключение к объекту SRV только из России и Беларуси.
В данной статье мы рассмотрели компоненты МПА, СОВ и GeoProtection. Мы убедились в необходимости настройки каждого компонента безопасности комплекса Континент.
Автор: Никита Семёнов, инженер TS Solution.
Автор: Никита Семёнов, инженер TS Solution.