Взаимодействие со средствами обнаружения вторжений

ФПСУ-IP поддерживает взаимодействие со сторонними средствами обнаружения вторжений (далее СОВ). На ФПСУ-IP реализован специальный SysLog сервер, принимающий сообщения по протоколу syslog, отправленные с одного, указанного администратором ФПСУ-IP, IP-адреса СОВ. Полученные с одобренного СОВ syslog-сообщения анализируются, и, если в них содержится текст заранее определенного администратором ФПСУ-IP шаблона, то указанный в syslog сообщении IP-адрес заносится в стоп-лист межсетевого экрана ФПСУ-IP на заданное администратором ФПСУ-IP время.

Интерфейс настройки взаимодействия с СОВ вызывается по нажатию кнопку <СОВ> вкладки Flood-атака параметров трафика межсетевого экрана. Переключатель "Flood control" должен быть задействован для работы c СОВ.

В появившемся окне настройки взаимодействия с СОВ, администратор ФПСУ-IP может указать следующие параметры:

Взять из шаблона – выбрать один из предложенных шаблонов взаимодействия с известными ФПСУ-IP средствами обнаружения вторжений. Поддерживается шаблон взаимодействия со средством защиты информации "Межсетевой экран и система обнаружения вторжений "Рубикон"" версии 2.2.0. (Примечание: шаблон рассчитан на сообщение об обнаружении подозрительного трафика по протоколу IP№53, для анализа других сообщений потребуется изменение шаблона).

IP-адрес – обязательная настройка; в этом поле указывается IP-адрес средства обнаружения вторжений, с которого ФПСУ-IP будет принимать и анализировать syslog-сообщения. Syslog-сообщения с других IP-адресов будут сброшены.

Регулярное выражение – обязательная настройка; несущий информацию о событии СОВ текст, наличие которого будет искаться в syslog-сообщении от СОВ. Если в syslog-сообщении будет найден текст из поля "Регулярное выражение", IP-адрес источника СОВ-события будет внесен в стоп-лист на указанное время блокировки.

Время блокировки (мин.) – таймер блокировки, в минутах, на которое будет помещен в стоп-лист IP-адрес, вызвавший событие СОВ. Устанавливается в пределах от 1 до 65535.

Активно – обязательная настройка; переключатель, указывающий на включенный режим взаимодействия с СОВ. Если переключатель снят, syslog-сообщения от СОВ не принимаются.

По окончании установки параметров, нажмите кнопку "Сохранить <F2>" для выхода из окна с сохранением выполненных настроек. Выход без сохранения осуществляется по клавише <Esc>.

Факты получений управляющих сообщений от СОВ могут быть отслежены в статистике по событию «Статистика IPS» (см. рисунок ниже).

События блокировки передач абонентов по причине получения управляющего сообщения от СОВ (в случае совпадения полученного сообщения с заданным администратором ФПСУ-IP шаблоном) будут сопровождаться обменом от IP-адреса СОВ к IP-адресу порта ФПСУ (на рисунке это обмен между от IP 192.168.016.020 к IP 192.168.016.055) записью «Статистика IPS» с комментарием «В черном списке до %ДД.ММ.ГГГГ% %чч.мм.сс%».