ОПИСАНИЕ УРОКА
Рады приветствовать всех читателей в предпоследней статье цикла «Континент 4 NGFW Getting Started 2.0»!
В предыдущей статье мы в подробностях рассмотрели организацию VPN-сети (Site-to-Site, Remote Access). А в данных материалах познакомимся с системой обнаружения и предотвращения вторжений.
В Континент 4 NGFW есть возможность проверять трафик, проходящий через узел безопасности, на наличие вторжений и нарушений безопасности сети. Для этого на УБ включается компонент «Детектор атак».
В предыдущей статье мы в подробностях рассмотрели организацию VPN-сети (Site-to-Site, Remote Access). А в данных материалах познакомимся с системой обнаружения и предотвращения вторжений.
В Континент 4 NGFW есть возможность проверять трафик, проходящий через узел безопасности, на наличие вторжений и нарушений безопасности сети. Для этого на УБ включается компонент «Детектор атак».
Статья 7: Система обнаружения и предотвращения вторжений
Детектор атак возможен в двух вариантах применения:
В Континент 4 NGFW «Детектор атак» применяется в двух режимах работы:
Сигнатурный анализ отслеживает определенные шаблоны в трафике. Для этого необходимо поддерживать сигнатуры в актуальном состоянии, обновляя базы как минимум раз в неделю.
Все используемые в данной статье виртуальные машины можно рассмотреть в представленной структурной схеме:
- Monitor: в этом режиме трафик зеркалируется на компонент СОВ со SPAN-порта маршрутизатора/УБ. При обнаружении атаки детектор атак зафиксирует ее и отправит сведения на ЦУС. В данном режиме использует только обнаружение вторжений.
- Inline: в этом режиме компонент СОВ устанавливается «в разрыв» сетевого соединения между внешним маршрутизатором и защищаемой сетью. В случае обнаружения атаки СОВ фиксирует атаку и, если прописано в политике СОВ, блокирует вредоносный трафик. В данном режиме может использоваться предотвращение или обнаружение вторжений.
В Континент 4 NGFW «Детектор атак» применяется в двух режимах работы:
- Детектор атак в составе UTM. Трафик сначала проверяется межсетевым экраном и, если он разрешен. передается в СОВ. Анализ трафика осуществляется сигнатурным методом.
- Узел безопасности в режиме «Детектор атак». Весь трафик сразу передается в СОВ. Анализ трафика осуществляется сигнатурным методом + поддерживается эвристический анализатор для контроля трафика приложений.
Сигнатурный анализ отслеживает определенные шаблоны в трафике. Для этого необходимо поддерживать сигнатуры в актуальном состоянии, обновляя базы как минимум раз в неделю.
Все используемые в данной статье виртуальные машины можно рассмотреть в представленной структурной схеме:
Структурная схема с VM для данной статьи
Детектор Атак
Для начала потребуется загрузить базы решающих правил (БРП).
Это можно сделать двумя способами: локально и дистанционно с сервера обновлений. Типовое имя файла с БРП «ids_update.json.gz».
В статье посвященной установке и настройке мы уже проделали данную операцию.
Это можно сделать двумя способами: локально и дистанционно с сервера обновлений. Типовое имя файла с БРП «ids_update.json.gz».
В статье посвященной установке и настройке мы уже проделали данную операцию.
Вендорские сигнатуры делятся на следующие классы:
Есть также возможность создания и редактирования пользовательских решающих правил и их групп. В качестве основы пользовательского правила может выступить любое вендорское правило.
Для загрузки собственных сигнатур необходимо во вкладке «Пользовательские сигнатуры» импортировать сигнатуры в формате txt. Одновременно можно загрузить не более 50 000 сигнатур. Импортированные сигнатуры отобразятся в списке.
Если сигнатура прошла проверку, ей присвоен статус «Верно». В противном случае сигнатуре присвоен статус «Ошибка».
- Рекламное ПО. Рекламное программное обеспечение (баннеры, перенаправление пользователя на рекламные сайты, загрузка/установка рекламного контента).
- Повышение привилегий. Попытка получения привилегий пользователя/администратора.
- Бэкдоры. Вредоносное программное обеспечение позволяющее получить скрытый несанкционированный доступ в систему.
- Уязвимые приложения. Различное программное обеспечение, имеющее уязвимости.
- Потенциально опасные ssl-сертификаты. Черный список SSL сертификатов, используемых управляющими серверами ботнетов.
- Вредоносные командные центры. Активность известных управляющих серверов ботнетами.
- Криптолокеры. Вредоносное программное обеспечение, предназначенное для вымогательства.
- Криптомайнеры. Вредоносное программное обеспечение для скрытой генерации криптовалюты.
- DoS-атаки. Атаки на систему способом перегрузки большим количеством запросов с целью ее отказа/недоступности/медленной работы.
- Эксплойты. Вредоносное программное обеспечение, использующее данные или исполняемый код для эксплуатации уязвимости на удаленной системе.
- Ложные антивирусы. Вредоносное программное обеспечение, которое маскируется под легальное антивирусное ПО.
- Утечка информации. Возможная утечка данных.
- Программы-загрузчики вредоносных файлов. Вредоносное программное обеспечение, скрытно загружающее дополнительные вредоносные компоненты на систему.
- Вредоносное ПО для мобильных приложений. Различное вредоносное программное обеспечение для мобильных платформ под управление ОС Android/IOS.
- Сетевые сканеры. Активность различного программного обеспечения для сканирования сети.
- Сетевые черви. Вредоносное программное обеспечение, обладающее способностью саморазмножения в сети.
- Фишинг. Различная фишинговая сетевая активность.
- Нарушение политики безопасности. Нарушение политики безопасности.
- Шелл-коды. Исполняемый код, позволяющий получить доступ к командному интерпретатору.
- Шпионское ПО. Вредоносное программное обеспечение, которое скрытно собирает данные о системе/пользователе.
- Веб-атаки. Сетевая активность различных веб-атак (SQL-инъекции, XSS и т. п.)
- Потенциально опасный трафик. Потенциально опасный трафик.
Есть также возможность создания и редактирования пользовательских решающих правил и их групп. В качестве основы пользовательского правила может выступить любое вендорское правило.
Для загрузки собственных сигнатур необходимо во вкладке «Пользовательские сигнатуры» импортировать сигнатуры в формате txt. Одновременно можно загрузить не более 50 000 сигнатур. Импортированные сигнатуры отобразятся в списке.
Если сигнатура прошла проверку, ей присвоен статус «Верно». В противном случае сигнатуре присвоен статус «Ошибка».
Активируем компонент "Детектор атак" и настроим его параметры:
- EXTERNAL_NET — $HOME_NET,
- HOME_NET — уберем подсеть 10.0.0.0/8;
Сохраним настройки и установим политику.
Переходим «Система обнаружения вторжений» — «Профили СОВ». Профиль СОВ определяет работу детектора атак.
По умолчанию уже существует три профиля:
Мы создадим свой новый профиль с названием «Ultimate». В него мы включим все имеющиеся сигнатуры. Данный профиль будем использовать для защиты DMZ.
Переходим «Система обнаружения вторжений» — «Профили СОВ». Профиль СОВ определяет работу детектора атак.
По умолчанию уже существует три профиля:
- Оптимальный;
- Полный;
- Рекомендованный
Мы создадим свой новый профиль с названием «Ultimate». В него мы включим все имеющиеся сигнатуры. Данный профиль будем использовать для защиты DMZ.
При использовании всех сигнатур возрастет нагрузка на устройство. Нужно ограничиться лишь необходимыми сигнатурами в состоянии «блокировать». Классы сигнатур, которые маловероятны в инфраструктуре, можно отключить.
Если требуется, чтобы профиль блокировал сигнатуры, связанные с определенным сервисом, то необходимо воспользоваться строкой поиска и заблокировать данные сигнатуры.
Если требуется, чтобы профиль блокировал сигнатуры, связанные с определенным сервисом, то необходимо воспользоваться строкой поиска и заблокировать данные сигнатуры.
После создания профилей необходимо сформировать политику, т. е. правило, определяющее, какой профиль какому детектору атак будет назначен. На каждый УБ можно применить только одну политику СОВ.
Политику СОВ можно применять к определенным правилам на межсетевом экране. СОВ будет применяться после того, как трафик будет обработан межсетевым экраном. Если трафик отбрасывается на МЭ, то на СОВ он уже не переходит.
Запустим сканирование NMAP в агрессивном режиме на стороне Удаленного пользователя.
Запустим сканирование NMAP в агрессивном режиме на стороне Удаленного пользователя.
Проверим события в Системе мониторинга:
По детальной информации можно определить класс сигнатуры и ее идентификатор. Данный идентификатор поможет найти сигнатуру в БРП.
Модуль поведенческого анализа
Помимо детектора атак, который обнаруживает/предотвращает угрозы, в Континент 4 NGFW есть компонент «Модуль поведенческого анализа». Самообучаемый модуль, для обнаружения сетевых атак сканирования и угроз типа «отказ в обслуживании» (DoS).
Модуль поведенческого анализа (МПА) поддерживает следующие типы атак:
Модуль поведенческого анализа (МПА) поддерживает следующие типы атак:
Модуль обрабатывает трафик, создает правила фильтрации и запоминает среднюю нагрузку узлов сети. И в случае обнаружения атаки передает команду на МЭ о блокировки трафика.
Давайте активируем и настроим данный модуль:
Давайте активируем и настроим данный модуль:
Запустим еще раз NMAP в агрессивном режиме.
Данный режим себя включает SYN-flood атаку.
Данный режим себя включает SYN-flood атаку.
Обратимся к Системе мониторинга. В ней будет видно, что идет сработка Модуля поведенческого анализа
Откроем каждое событие более подробно.
Первое событие^ обнаружение.
МПА увидел аномалию в трафике:
Первое событие^ обнаружение.
МПА увидел аномалию в трафике:
После того как МПА увидел аномалию в трафике, было принято решение заблокировать трафик от источника зловреда.
Заключение
Подведём итоги седьмой статьи нашего цикла: мы рассмотрели принцип работы системы обнаружения и предотвращения вторжений, а также провзаимодействовали с модулем поведенческого анализа.
Рассказываем дополнительную полезную информацию и напоминаем важные моменты:
В следующей, последней статье цикла мы подробно рассмотрим работу с Системой мониторинга.
Рассказываем дополнительную полезную информацию и напоминаем важные моменты:
- Использование механизма IDPS существенно повышает нагрузку на Узел безопасности. Рекомендуется включать только те сигнатуры, которые действительно необходимы. Установка политик на УБ при включенном ДА может занимать в 2−5 раз больше времени, чем обычно.
- В случае если необходимо фильтровать ДА большие объемы трафика, настоятельно рекомендуется использовать отдельное устройство.
- Для МПА и ДА необходимо осуществлять проверку и донастройку механизма. В случае если нет возможности осуществлять данную процедуру, мы не рекомендуем отходить от стандартных пресетов.
В следующей, последней статье цикла мы подробно рассмотрим работу с Системой мониторинга.
- До встречи на TS University!
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
