IDS

Настройка IDS

Настройки системы обнаружения вторжений открываются из режима редактирования конфигурации ФПСУ-IP по выбору пункта меню «Дополнения → ids».

В окне «ids» находятся вкладки с настраиваемыми параметрами системы IDS. Переход с активной вкладки на соседнюю осуществляется установлением курсора на вкладку и нажатием сочетаний клавиш <Ctrl →> и <Ctrl ←> или клавиш <→> и <←>.

По умолчанию система IDS отключена на ФПСУ-IP.

Для включения системы необходимо включить флаг «IDS включен» на вкладке «Базовые», задать значение адреса HOME_NET на вкладке «Адреса», рекомендуется настроить источник обновления правил на вкладке «Правила».

На вкладке Базовые включается система обнаружения вторжений, задаются параметры для ведения статистики, действия при срабатывании правил.

IDS включен – установленный флаг включает систему обнаружения вторжений при запуске ФПСУ-IP.

Сообщения угроз безопасности и статистики IDS отсылаются на внешний Syslog-сервер и записываются в локальную БД IDS, а также в локальную статистику ФПСУ-IP, отображаются в консоли администратора сети. Локальная БД IDS используется для работы эвристики и накопительной статистики. Локальная БД IDS хранит статистические данные IDS и позволяет осуществлять мониторинг сетевой активности и угроз безопасности в программе «Удаленный администратор ФПСУ-IP» (см. подробнее в руководстве «Удаленный администратор ФПСУ-IP»).

Отправлять в syslog – при установлении флага система IDS будет отправлять сообщения MARK с заданным интервалом на Syslog-сервер. Формат сообщения MARK системы IDS указан в пункте «Формат отправляемых SysLog сообщений». В сообщении MARK содержится информация о количестве обработанных пакетов, о количестве срабатываний правил, а также количестве сброшенных пакетов с момента предыдущего сообщения MARK. Необходимо, чтобы была настроена отправка сообщений о происходящих на ФПСУ-IP событиях по протоколу Syslog (см. пункт «Syslog-клиент на ФПСУ-IP»). Для системы IDS может быть использован системный Syslog-сервер или задан отдельный Syslog-сервер на вкладке «Логи». В настройках ФПСУ-IP должен быть задан IP-адрес Syslog-сервера, для Syslog-сервера настроен приём сообщений извне.

Записывать в локальную БД – при установлении флага включается ведение статистики системы IDS, в локальную БД IDS записываются инциденты, сработавшие правила с детализацией IP-адресов источника и назначения пакета c обнаруженной угрозой.

Ограничение размера БД – размер локальной БД может быть ограничен процентным соотношением занимаемого места локальной базы данных от места на диске ФПСУ-IP, выделенного системе IDS, или явным указанием занимаемого места локальной базы данных IDS в мегабайтах.

При включении системы IDS необходимо учитывать как долго нужно хранить данные в локальной БД IDS, какие подсистемы и дополнения включены и сколько места на диске ФПСУ-IP занимают. Ограничение размера локальной БД в этом случае устанавливается индивидуально. Для платформ с объёмом диска 1 ГБ рекомендуется ограничить размер локальной БД 100 МБ.

При превышении ограничений – в случае увеличения размера локальной БД выше установленного, необходимо задать действие с БД, остановить ведение статистики или удалять устаревшие записи из БД. Эвристический анализ проводится на основе сведений из локальной БД IDS, при прекращении ведения статистики эвристика отключается.

Система IDS анализирует пакеты на портах ФПСУ-IP на наличие угроз с помощью правил и при срабатывании правила IDS отправляет оповещения администратору сети, может также отправить сообщение МЭ ФПСУ-IP для блокировки IP-адрес источника угрозы.

Уровень серьёзности угрозы задан для каждого правила, числовое значение в диапазоне от 1 до 255, по умолчанию - 3. Наивысший уровень серьёзности угрозы - 1. Правила с более высоким уровнем проверяются в первую очередь. Наиболее часто встречающийся уровень серьёзности угрозы от 1 до 4. В правиле IDS ключевое слово priority задает уровень серьёзности. Уровень серьёзности может быть задан для класса правил, который указывается параметром classtype. Priority для них определены в файле конфигурации classification.config. Если в правиле уровень серьёзности не определен, то используется значение по умолчанию.

Примечание. Файл конфигурации classification.config находится в архиве предустановленных правил, загружаемом от источника обновления, может быть просмотрен в программе «Удаленный администратор ФПСУ-IP» (см. подробнее в руководстве «Удаленный администратор ФПСУ-IP»).

При срабатывании правил выдается сообщение:

Сообщение в syslog, если уровень от/до – при установлении флага система IDS отправит сообщение на Syslog-сервер. Сообщения IDS приведены в таблице syslog-сообщений в пункте «Настройка SysLog событий ФПСУ-IP», формат сообщений IDS указан в пункте «Формат отправляемых SysLog сообщений».

Сообщение на экран, если уровень от/до – при установлении флага система IDS отправит сообщение на экран ФПСУ-IP локальному администратору ФПСУ-IP.

Подтверждение прочтения требует ТМ – в случае выдачи сообщения об угрозе на экране ФПСУ-IP может быть установлено требование предъявить права допущенного лица в виде ТМ-идентификатора для подтверждения прочтения сообщения, после подтверждения сообщение будет скрыто с экрана ФПСУ-IP. Права допущенного лица выбираются в соответствии с таблицей классов пользователей ФПСУ-IP (см. пункт «Разграничение доступа и пользователи»).

Сообщения в локальную статистику при установлении флага система IDS добавит сообщение в локальную статистику ФПСУ-IP (см. раздел «Статистика ФПСУ-IP»). Пример сообщений в локальной статистике приведен в пункте «Просмотр статистики IDS».

Блокировать IP-адрес, если уровень от/до – при установлении флага система IDS отправит сообщение МЭ ФПСУ-IP для блокировки IP-адреса источника угрозы, МЭ сбросит соединение источника угрозы и будет блокировать источник в течение установленного времени. На ФПСУ-IP должны быть дополнительно установлены следующие настройки: выбрать пункт меню «Отредактировать → Параметры доступа → Параметры» в окне «Параметры» на вкладке «Анти-флуд и СОВ» установить флаг «Анти-флуд включен», установить флаг «СОВ включена», установить переключатель «Чувствительность высокая». Время нахождения IP-адреса источника угрозы в стоп-листе устанавливается в настройках ФПСУ-IP: на той же вкладке «Анти-флуд и СОВ» задать время в поле «Время нахождения в стоп-листе (мин.)» (см. пункт «Дополнительные параметры и защита от flood-атак»). Для блокировки IP-адреса должен быть включён МЭ ФПСУ-IP (см. пункт «Правила трафика»).

На вкладке Эвристика включается эвристический анализ, задаются параметры блокирования IP-адреса источника угрозы, действия при обнаружении потенциальной угрозы.

Включена – установленный флаг включает эвристический анализ.

Для каждого IP-адреса за указанный промежуток времени, Интервал проверки, подсчитывается Количество срабатываний правил, начиная с заданного Уровня правил, если срабатываний больше указанного числа с учётом уровня правил, то IP-адрес считается потенциальной угрозой и блокируется МЭ ФПСУ-IP.

При обнаружении эвристикой источника угрозы отправляется уведомление:

Уведомление на экран – при установлении флага система IDS отправит сообщение на экран ФПСУ-IP локальному администратору ФПСУ-IP.

Уведомление в syslog – при установлении флага система IDS отправит сообщение на Syslog-сервер. Сообщения IDS приведены в таблице syslog-сообщений в пункте «Настройка SysLog событий ФПСУ-IP», формат сообщений IDS указан в пункте «Формат отправляемых SysLog сообщений».

Уведомление в локальную статистику – при установлении флага система IDS добавит сообщение в локальную статистику ФПСУ-IP (см. раздел «Статистика ФПСУ-IP»).

Заблокировать IP – при установлении флага система IDS отправит сообщение МЭ ФПСУ-IP для блокировки IP-адреса источника угрозы, МЭ сбросит соединение источника угрозы и будет блокировать источник в течение установленного времени. На ФПСУ-IP должны быть дополнительно установлены следующие настройки: выбрать пункт меню «Отредактировать → Параметры доступа → Параметры» в окне «Параметры» на вкладке «Анти-флуд и СОВ» установить флаг «Анти-флуд включен», установить флаг «СОВ включена», установить переключатель «Чувствительность высокая». Время нахождения IP-адреса источника угрозы в стоп-листе устанавливается в настройках ФПСУ-IP: на той же вкладке «Анти-флуд и СОВ» задать время в поле «Время нахождения в стоп-листе (мин.)» (см. пункт «Дополнительные параметры и защита от flood-атак»). Для блокировки IP-адреса должен быть включён МЭ ФПСУ-IP (см. пункт «Правила трафика»).

На вкладке Адреса определяются переменные для правил IDS.

На вкладке отображается список адресов для разных протоколов и для сетей.

Адрес содержит наименование и значение. Список адресов предопределён, так как по умолчанию заданы предустановленные правила и источник обновлений, список может быть расширен новыми адресами.

HOME_NET – в переменную записывается значение IP-адреса отслеживаемого интерфейса и всех защищаемых локальных сетей.

EXTERNAL_NET – в переменную записывается значение любого IP-адреса или сети, которые не являются локальными (например, все сети, не являющиеся локальными - «!$HOME_NET»).

Для изменения списка адресов предназначены кнопки «Добавить», «Изменить», «Удалить».

При добавлении/изменении адреса открываются следующие настройки:

Адрес – наименование переменной.

Значение – значение переменной ограничено 8190 символами, может содержать как переменную (например, «$HOME_NET»), так и список IP-адресов, чуть более 500 IP-адресов. По нажатию клавиши <Enter> в строке IP-адрес добавляется в список. По нажатию клавиши <Ins> добавляется строка для ввода нового значения. Для изменения значения IP-адреса в списке необходимо нажатием клавиш < ↑ > и < ↓ > выделить IP-адрес, значение IP-адреса под курсором отобразится в строке. Удаляется значение из списка комбинацией клавиш <Ctrl + Del>, либо удалением значения в строке.

Для внесения выполненных настроек следует выполнить команду «Сохранить» или нажать клавишу <F2>. Выход без сохранения настроек осуществляется по клавише <Esc> или командой «Отмена».

Экспорт – список адресов сохраняется в файл ids_addresses.ini на внешний носитель, необходимо предварительно подключить съемный носитель.

Импорт – cписок адресов загружается из файла ids_addresses.ini с внешнего носителя, необходимо предварительно подключить съемный носитель.

В файле ids_addresses.ini значение адреса, содержащего список IP-адресов, указывается в квадратных скобках , IP-адреса перечисляются через запятую. Пример файла:

[addresses]

NAME1=[127.0.0.0/8]

NAME2=[192.168.0.0/24, 10.100.0.0/8, 77.108.111.99]

NAME3=[192.168.150.0/8, $NAME2]

На вкладке Порты определяются переменные для правил IDS.

На вкладке отображается список портов для протоколов.

Порт содержит наименование и значение. Список портов предопределён, так как по умолчанию заданы предустановленные правила и источник обновлений, список может быть дополнен.

Для изменения списка портов предназначены кнопки «Добавить», «Изменить», «Удалить».

При добавлении/изменении порта необходимо задать наименование и значение:

Для сохранения настроек следует выполнить команду «Сохранить» или нажать клавишу <F2>. Выход без сохранения осуществляется по клавише <Esc> или командой «Отмена».

На вкладке Правила задаются источники обновлений правил IDS и правила, отключаемые при проверке пакетов.

Система IDS включает список предустановленных правил, который можно обновлять с сетевого ресурса, указав источник обновлений. По умолчанию источник обновлений предустановлен, используется открытый набор правил Emerging Threats для Suricata (подробнее см. пункт «Набор предустановленных правил»).

Действия правил обрабатываются в следующем порядке – «pass», «drop», «reject», «alert».

Для возможности обновлять список предустановленных правил, на ФПСУ-IP необходимо настроить DNS-серверы (см. пункт «DNS-серверы»), также разрешить доступ к источнику обновлений на одном из портов ФПСУ-IP, указанный источник обновления должен быть описан как абонент на порте ФПСУ-IP (см. пункт «Описание параметров абонентов»).

Автообновление, интервал – файл списка правил загружается из указанного источника и устанавливается в систему IDS в соответствии с заданным периодом автообновления в минутах.

При автообновлении необходимо учитывать список переменных, используемых в правилах, и добавлять в систему IDS новые адреса или порты. В случае добавления своих источников обновлений, необходимо перед обновлением заранее добавить свои адреса и порты на вкладки и сохранить.

Если задано автообновление источника правил, то правила будут периодически обновляться в соответствии с заданным интервалом. В случае ошибки автообновления, правила обновлены не будут, ошибка будет записана в локальную статистику и отправлена на Syslog-сервер (формат сообщений приведен в пункте «Формат отправляемых SysLog сообщений»), система IDS продолжит работу.

Если задан только источник обновления, то правила будут обновляться при запуске системы IDS. В случае ошибки обновления при запуске, IDS не запустится.

Для изменения списка источников обновлений предназначены кнопки «Добавить», «Изменить», «Удалить».

При добавлении/изменении источника обновлений открываются следующие настройки:

В строке указывается URL-путь к архиву правил, который будет являться источником обновления. В качестве сетевого протокола взаимодействия с источником обновлений рекомендуется указывать протокол HTTPS, чтобы загружать данные по защищенному соединению. Защищенное соединение гарантирует шифрование информации, передаваемой между источником обновления и ФПСУ-IP. В этом случае требуется предварительно установить корневой сертификат для подтверждения, что источник обновлений верифицирован, т.е. проверен и является доверенным (см. кнопку «Импортировать сертификат»).

Для обновления правил из указанного источника необходимо установить флаг «Включен». Данный источник обновления в списке на вкладке будет отмечен знаком «Х».

Корневой сертификат – файл, в котором указаны данные удостоверяющего центра. Если корневой сертификат задан, при обновлении списка правил проверяется, что сертификат источника обновлений был выдан этим корневым сертификатом. По нажатию кнопки открывается корневой сертификат для просмотра. По умолчанию корневой сертификат отсутствует.

Импортировать сертификат – Для загрузки корневого сертификата необходимо предварительно подключить внешний носитель к USB-порту ФПСУ-IP. На внешнем носителе в корне должен лежать файл ca-sertificates.crt с корневыми сертификатами.

Некоторые правила могут быть принудительно отключены, например, в случае ложных срабатываний системы IDS при проверке пакетов. Отключенное правило при проверке игнорируется.

В области «Отключить правила» отображаются встроенные группы правил. Список групп правил предустановлен, может быть дополнен. Отключена может быть как группа правил, так и одно правило с указанием SID.

Для отключения правила предназначены кнопки «Добавить», «Изменить», «Удалить».

Для отключения правила из списка, выделите группу правил или правило нажатием клавиш < ↑ > и < ↓ >, по кнопке <Tab> перейдите на кнопку «Изменить» и нажмите клавишу <Enter>, в открывшемся окне отключите группу правил или правило, установив флаг «Задействовать отключение».

Для добавления правила в список и его отключения, нажмите кнопку «Добавить», в открывшемся окне введите SID отключаемого правила или наименование группы и отключаемый файл, отключите правило или группу правил, установив флаг «Задействовать отключение».

Отключенное правило или группа правил в списке на вкладке будет отмечена знаком «Х».

На вкладке Логи задаются настройки Syslog-сервера и настройки логирования сиcтемы IDS.

Настройка Syslog-сервера:

Сервер – Syslog-сервера может быть задан как системный, так и свой. Системный Syslog-сервер настраивается в меню «Сетевые сервисы → SysLog/SNMP» (см. раздел «Syslog-клиент на ФПСУ-IP»). Свой Syslog-сервер настраивается только для системы IDS, отличный от системного.

Адрес – в поле указывается IP-адрес SysLog сервера, на него будут отправляться SysLog-сообщения.

Порт – поле выбора UDP-порта SysLog сервера, принимающего сообщения. По умолчанию - рекомендуемый UDP:514.

Отправитель – порт ФПСУ-IP, чей IP-адрес будет указан в качестве отправителя SysLog-сообщений. По умолчанию режим «Авто», в качестве отправителя будет указан тот порт, на котором описан принадлежащий Syslog-серверу IP-адрес. Администратор может безусловно указать, что сообщения следует отправлять от IP-адреса указанного порта ФПСУ-IP.

Система IDS создает журналы свершившихся событий и выполняемых системой действий в разных форматах.

Файлы логов пишутся только на съемный носитель, который должен быть подключен перед запуском.

Eve – логи Fast+Stats в json формате. В логе выводится информация о срабатываниях правил, краткая статистика об обработанных пакетах.

Fast – в логе выводится информация о срабатываниях правил.

Stats – в логе выводится краткая статистика об обработанных пакетах.

Pcap – пакет, который приняла система IDS, открывать программой Wireshark.

Alert-debug – лог для отладки правил.

TCP-data – необработанное содержимое пакетов TCP после установки соединений.

На вкладке Действия необходимо сохранить внесенные настройки системы IDS.

Для сохранения настроек следует выполнить команду «Сохранить» или нажать клавишу <F2>.

Экспорт настроек – настроенные параметры системы IDS сохраняются в файл ids_settings.json на внешний носитель, необходимо предварительно подключить съемный носитель.

Импорт настроек – параметры системы IDS загружаются из файла ids_settings.json с внешнего носителя, необходимо предварительно подключить съемный носитель.

Выход в меню без сохранения осуществляется по клавише <Esc>, в этом случае настройки на вкладках сохранены не будут.