13 мая 2021
Континент 4 Getting Started
05. Система обнаружения или предотвращения вторжений
Содержание статьи
Приветствую читателей в пятой статье цикла Континент Getting Started. Сегодня речь пойдет о таком механизме как обнаружение и предотвращение вторжений.
В Континент 4.1 есть возможность проверять трафик, проходящий через узел безопасности, на наличие вторжений и нарушений безопасности сети. Для этого на УБ включается компонент «Детектор атак».
Детектор атак возможен в двух вариантах применения:
В Континент 4 «Детектор атак» применяется в двух режимах работы:
Сигнатурный анализ отслеживает определенные шаблоны в трафике. Для этого необходимо поддерживать сигнатуры в актуальном состоянии, обновляя базы как минимум раз в неделю.
В Континент 4.1 есть возможность проверять трафик, проходящий через узел безопасности, на наличие вторжений и нарушений безопасности сети. Для этого на УБ включается компонент «Детектор атак».
Детектор атак возможен в двух вариантах применения:
- Monitor
- Inline
В Континент 4 «Детектор атак» применяется в двух режимах работы:
- Детектор атак в составе UTM. Трафик сначала проверяется межсетевым экраном и, если он разрешен передается в СОВ. Анализ трафика осуществляется сигнатурным методом.
- Узел безопасности в режиме «Детектор атак». Весь трафик сразу передается в СОВ. Анализ трафика осуществляется сигнатурным методом + поддерживается эвристический анализатор для контроля трафика приложений.
Сигнатурный анализ отслеживает определенные шаблоны в трафике. Для этого необходимо поддерживать сигнатуры в актуальном состоянии, обновляя базы как минимум раз в неделю.
Настройка компонента «Детектор атак»
Для начала потребуется загрузить базы решающих правил (БРП). Это можно сделать двумя способами: локально и дистанционно с сервера обновлений. Типовое имя файла с БРП «ids_update.json.gz». Загрузим файл локально.
Переходим «Система обнаружения вторжений» – «База решающих правил» – «Импортировать» и загружаем файл с БРП. После успешной загрузки правила отобразятся в разделе БРП.
Переходим «Система обнаружения вторжений» – «База решающих правил» – «Импортировать» и загружаем файл с БРП. После успешной загрузки правила отобразятся в разделе БРП.
База решающих правил
Вендорские сигнатуры делятся на следующие классы:
Рекламное ПО – Рекламное программное обеспечение (баннеры, перенаправление пользователя на рекламные сайты, загрузка/установка рекламного контента).
Повышение привилегий – Попытка получения привилегий пользователя/администратора.
Бэкдоры – Вредоносное программное обеспечение позволяющее получить скрытый несанкционированный доступ в систему.
Уязвимые приложения – Различное программное обеспечение, имеющее уязвимости.
Потенциально опасные ssl-сертификаты – Черный список SSL сертификатов, используемых управляющими серверами ботнетов.
Вредоносные командные центры – Активность известных управляющих серверов ботнетами.
Криптолокеры – Вредоносное программное обеспечение, предназначенное для вымогательства.
Криптомайнеры – Вредоносное программное обеспечение для скрытой генерации криптовалюты.
DoS-атаки – Атаки на систему способом перегрузки большим количеством запросов с целью ее отказа/недоступности/медленной работы.
Эксплойты – Вредоносное программное обеспечение, использующее данные или исполняемый код для эксплуатации уязвимости на удаленной системе.
Ложные антивирусы – Вредоносное программное обеспечение, которое маскируется под легальное антивирусное ПО.
Утечка информации – Возможная утечка данных.
Программы-загрузчики вредоносных файлов – Вредоносное программное обеспечение, скрытно загружающее дополнительные вредоносные компоненты на систему.
Вредоносное ПО для мобильных приложений – Различное вредоносное программное обеспечение для мобильных платформ под управление ОС Android/IOS.
Сетевые сканеры – Активность различного программного обеспечения для сканирования сети.
Сетевые черви – Вредоносное программное обеспечение, обладающее способностью саморазмножения в сети.
Фишинг – Различная фишинговая сетевая активность.
Нарушение политики безопасности – Нарушение политики безопасности.
Шелл-коды – Исполняемый код позволяющий получить доступ к командному интерпретатору.
Шпионское ПО – Вредоносное программное обеспечение, которое скрытно собирает данные о системе/пользователе.
Веб-атаки – Сетевая активность различных веб-атак(SQL-инъекции, XSS и т.п.)
Потенциально опасный трафик – Потенциально опасный трафик.
Повышение привилегий – Попытка получения привилегий пользователя/администратора.
Бэкдоры – Вредоносное программное обеспечение позволяющее получить скрытый несанкционированный доступ в систему.
Уязвимые приложения – Различное программное обеспечение, имеющее уязвимости.
Потенциально опасные ssl-сертификаты – Черный список SSL сертификатов, используемых управляющими серверами ботнетов.
Вредоносные командные центры – Активность известных управляющих серверов ботнетами.
Криптолокеры – Вредоносное программное обеспечение, предназначенное для вымогательства.
Криптомайнеры – Вредоносное программное обеспечение для скрытой генерации криптовалюты.
DoS-атаки – Атаки на систему способом перегрузки большим количеством запросов с целью ее отказа/недоступности/медленной работы.
Эксплойты – Вредоносное программное обеспечение, использующее данные или исполняемый код для эксплуатации уязвимости на удаленной системе.
Ложные антивирусы – Вредоносное программное обеспечение, которое маскируется под легальное антивирусное ПО.
Утечка информации – Возможная утечка данных.
Программы-загрузчики вредоносных файлов – Вредоносное программное обеспечение, скрытно загружающее дополнительные вредоносные компоненты на систему.
Вредоносное ПО для мобильных приложений – Различное вредоносное программное обеспечение для мобильных платформ под управление ОС Android/IOS.
Сетевые сканеры – Активность различного программного обеспечения для сканирования сети.
Сетевые черви – Вредоносное программное обеспечение, обладающее способностью саморазмножения в сети.
Фишинг – Различная фишинговая сетевая активность.
Нарушение политики безопасности – Нарушение политики безопасности.
Шелл-коды – Исполняемый код позволяющий получить доступ к командному интерпретатору.
Шпионское ПО – Вредоносное программное обеспечение, которое скрытно собирает данные о системе/пользователе.
Веб-атаки – Сетевая активность различных веб-атак(SQL-инъекции, XSS и т.п.)
Потенциально опасный трафик – Потенциально опасный трафик.
Имеется возможность создания и редактирования пользовательских решающих правил и их групп. В качестве основы пользовательского правила может выступить любое вендорское правило.
Для загрузки собственных сигнатур необходимо во вкладке «Пользовательские сигнатуры» импортировать сигнатуры в формате txt. Одновременно можно загрузить не более 50000 сигнатур. Импортированные сигнатуры отобразятся в списке. Если сигнатура прошла проверку, ей присвоен статус «Верно». В противном случае сигнатуре присвоен статус «Ошибка».
Для загрузки собственных сигнатур необходимо во вкладке «Пользовательские сигнатуры» импортировать сигнатуры в формате txt. Одновременно можно загрузить не более 50000 сигнатур. Импортированные сигнатуры отобразятся в списке. Если сигнатура прошла проверку, ей присвоен статус «Верно». В противном случае сигнатуре присвоен статус «Ошибка».
Пользовательские сигнатуры
Активируем компонент «Детектор атак» и настроим его параметры:
EXTERNAL_NET – any,
HOME_NET – заменим фрагмент 172.16.0.0/12 на 172.16.20.0/24.
EXTERNAL_NET – any,
HOME_NET – заменим фрагмент 172.16.0.0/12 на 172.16.20.0/24.
Переменные СОВ
Сохраним настройки и установим политику.
Переходим «Система обнаружения вторжений» – «Профили СОВ». Профиль СОВ определяет работу детектора атак. По дефолту уже есть три профиля: оптимальный, полный и рекомендованный. Создадим новый профиль. Данный профиль будем использовать для защиты DMZ.
Переходим «Система обнаружения вторжений» – «Профили СОВ». Профиль СОВ определяет работу детектора атак. По дефолту уже есть три профиля: оптимальный, полный и рекомендованный. Создадим новый профиль. Данный профиль будем использовать для защиты DMZ.
Привязка правил
При использовании всех сигнатур возрастет нагрузка на устройство. Нужно ограничиться лишь необходимыми сигнатурами в состоянии «блокировать». Классы сигнатур, которые маловероятны в инфраструктуре можно отключить.
Если требуется, чтобы профиль блокировал сигнатуры, связанные с определенным сервисом, то необходимо воспользоваться строкой поиска и заблокировать данные сигнатуры.
Если требуется, чтобы профиль блокировал сигнатуры, связанные с определенным сервисом, то необходимо воспользоваться строкой поиска и заблокировать данные сигнатуры.
БРП
Для проведения тестирования IPS переведем все сигнатуры в состояние «Блокировать» (за исключением маловероятных).
После создания профилей необходимо сформировать политику, т.е. правило, определяющее, какой профиль какому детектору атак будет назначен. На каждый УБ можно применить только одну политику СОВ.
После создания профилей необходимо сформировать политику, т.е. правило, определяющее, какой профиль какому детектору атак будет назначен. На каждый УБ можно применить только одну политику СОВ.
Политика СОВ
Политику СОВ можно применять к определенным правилам на межсетевом экране. СОВ будет применяться, после того как трафик будет обработан межсетевым экраном. Если трафик отбрасывается на МЭ, то на СОВ он уже не переходит.
Тестирование IPS будет происходить с помощью атакующей машины Kali Linux. Атакованной машиной будет выступать сервер DMZ.
Тестирование IPS будет происходить с помощью атакующей машины Kali Linux. Атакованной машиной будет выступать сервер DMZ.
Схема
Создадим правило, открывающее доступ к DMZ из внешней сети по протоколам icmp, tcp, udp.
Правило
С ВМ Kali просканируем DMZ и проверим логи.
Логи 1
Логи 2
По детальной информации можно определить класс сигнатуры и ее идентификатор. Данный идентификатор поможет найти сигнатуру в БРП.
Детальная информация
Теперь проведем атаку SYN-flood. Без активированного СОВ DMZ успешно атакуется и существенно возрастает нагрузка на процессор.
Нагрузка
При активированном СОВ данная атака блокируется, и нагрузка на сервере не повышается.
Логи 3
Теперь попробуем загрузить на наш сервер вредоносный файл EICAR. IPS обнаружил данную угрозу и заблокировал загрузку файла.
Логи 4
Модуль поведенческого анализа
Помимо детектора атак, который обнаруживает/предотвращает угрозы, в Континент 4 есть компонент «Модуль поведенческого анализа» – самообучаемый модуль, для обнаружения сетевых атак сканирования и угроз типа «отказ в обслуживании» (DoS).
Модуль поведенческого анализа (МПА) поддерживает следующие типы атак:
Модуль поведенческого анализа (МПА) поддерживает следующие типы атак:
Модуль обрабатывает трафик, создает правила фильтрации и запоминает среднюю нагрузку узлов сети и, в случае обнаружения атаки, передает команду на МЭ о блокировки трафика.
Активируем и протестируем данный компонент. Организуем DoS-атаку на сервер DMZ.
Атака
МПА обнаружил ICMP scan и заблокировал данный трафик
Логи 5
Атака 2
Логи 6
Отметим, что данные атаки могут быть обнаружены/заблокированы детектором атак, но МПА опирается на статистику и блокирует только протокольные атаки, которые не влияют на пропускную способность устройства.
Логи 7
Заключение
В данной статье разобрали принцип работы системы обнаружения/ предотвращения вторжений и модуль поведенческого анализа. Настроили политику на предотвращение атак на DMZ. В следующей статье рассмотрим компонент VPN.
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
