IDS > Настройка IDS
Previous 

Базовые настройки

 Next

На вкладке Базовые включается система обнаружения вторжений, задаются параметры для ведения статистики, действия при срабатывании правил.

IDS включен – установленный флаг включает систему обнаружения вторжений при запуске ФПСУ.

Сообщения угроз безопасности и статистики IDS отсылаются на внешний Syslog-сервер и записываются в локальную БД IDS, а также в локальную статистику ФПСУ, отображаются в консоли администратора сети. Локальная БД IDS используется для работы эвристики и накопительной статистики. Локальная БД IDS хранит статистические данные IDS и позволяет осуществлять мониторинг сетевой активности и угроз безопасности в программе «Удаленный администратор ФПСУ-IP» (см. подробнее в руководстве «Удаленный администратор ФПСУ-IP»).

Установка/снятие флага осуществляется клавишей <Пробел>.

Интервал сбора – устанавливается время в секундах, в течение которого производится сбор статистических данных для отправки в syslog. Периодичность отправки определяется заданным интервалом.

Отправлять «mark» в syslog – при установлении флага система IDS будет отправлять сообщения MARK с заданным интервалом на Syslog-сервер. Формат сообщения MARK системы IDS указан в пункте «Формат отправляемых SysLog сообщений». В сообщении MARK содержится информация о количестве обработанных пакетов, о количестве срабатываний правил, а также количестве сброшенных пакетов с момента предыдущего сообщения MARK. Необходимо, чтобы была настроена отправка сообщений о происходящих на ФПСУ событиях по протоколу Syslog (см. пункт «Syslog-клиент на ФПСУ»). Для системы IDS может быть использован системный Syslog-сервер или задан отдельный Syslog-сервер на вкладке «Логи». В настройках ФПСУ должен быть задан IP-адрес Syslog-сервера, для Syslog-сервера настроен приём сообщений извне.

Записывать в локальную БД – при установлении флага включается ведение статистики системы IDS, в локальную БД IDS записываются инциденты, сработавшие правила с детализацией IP-адресов источника и назначения пакета c обнаруженной угрозой.

Ограничение размера БД – размер локальной БД может быть ограничен процентным соотношением занимаемого места локальной базы данных от места на диске ФПСУ, выделенного системе IDS, или явным указанием занимаемого места локальной базы данных IDS в мегабайтах.

При включении системы IDS необходимо учитывать как долго нужно хранить данные в локальной БД IDS, какие подсистемы и дополнения включены и сколько места на диске ФПСУ занимают. Ограничение размера локальной БД в этом случае устанавливается индивидуально. Для платформ с объёмом диска 1 ГБ рекомендуется ограничить размер локальной БД 100 МБ.

При превышении ограничений – в случае увеличения размера локальной БД выше установленного, необходимо задать действие с БД, остановить ведение статистики или удалять устаревшие записи из БД. Эвристический анализ проводится на основе сведений из локальной БД IDS, при прекращении ведения статистики эвристика отключается.

Система IDS анализирует пакеты на портах ФПСУ на наличие угроз с помощью правил и при срабатывании правила IDS отправляет оповещения администратору сети, может также отправить сообщение МЭ ФПСУ для блокировки IP-адрес источника угрозы.

Уровень серьёзности угрозы задан для каждого правила, числовое значение в диапазоне от 1 до 255, по умолчанию - 3. Наивысший уровень серьёзности угрозы - 1. Правила с более высоким уровнем проверяются в первую очередь. Наиболее часто встречающийся уровень серьёзности угрозы от 1 до 4. В правиле IDS ключевое слово priority задает уровень серьёзности. Уровень серьёзности может быть задан для класса правил, который указывается параметром classtype. Priority для них определены в файле конфигурации classification.config. Если в правиле уровень серьёзности не определен, то используется значение по умолчанию.

Примечание. Файл конфигурации classification.config находится в архиве предустановленных правил, загружаемом от источника обновления, может быть просмотрен в программе «Удаленный администратор ФПСУ-IP» (см. подробнее в руководстве «Удаленный администратор ФПСУ-IP»).

При срабатывании правил выдается сообщение:

Сообщение в syslog, если уровень от/до – при установлении флага система IDS отправит сообщение на Syslog-сервер. Сообщения IDS приведены в таблице syslog-сообщений в пункте «Настройка SysLog событий ФПСУ», формат сообщений IDS указан в пункте «Формат отправляемых SysLog сообщений».

Показывать URL (если правило http) – при установлении флага в syslog-сообщении включается URL, на который сработало правило IDS.

Показывать мета-информацию правила – при установлении флага в syslog-сообщении выводятся мета-данные правила.

Сообщение на экран, если уровень от/до при установлении флага система IDS отправит сообщение на экран ФПСУ локальному администратору ФПСУ.

Подтверждение прочтения требует ТМ – в случае выдачи сообщения об угрозе на экране ФПСУ может быть установлено требование предъявить права допущенного лица в виде ТМ-идентификатора для подтверждения прочтения сообщения, после подтверждения сообщение будет скрыто с экрана ФПСУ. Права допущенного лица выбираются в соответствии с таблицей классов пользователей ФПСУ (см. пункт «Разграничение доступа и пользователи»).

Сообщения в локальную статистику при установлении флага система IDS добавит сообщение в локальную статистику ФПСУ (см. раздел «Статистика ФПСУ»). Пример сообщений в локальной статистике приведен в пункте «Просмотр статистики IDS».

Блокировать IP-адрес, если уровень от/до – при установлении флага система IDS отправит сообщение МЭ ФПСУ для блокировки IP-адреса источника угрозы, МЭ сбросит соединение источника угрозы и будет блокировать источник в течение установленного времени. На ФПСУ должны быть дополнительно установлены следующие настройки: выбрать пункт меню «Отредактировать → Параметры доступа → Параметры» в окне «Параметры» на вкладке «Анти-флуд и СОВ» установить флаг «Анти-флуд включен», установить флаг «СОВ включена», установить переключатель «Чувствительность высокая». Время нахождения IP-адреса источника угрозы в стоп-листе устанавливается в настройках ФПСУ: на той же вкладке «Анти-флуд и СОВ» задать время в поле «Время нахождения в стоп-листе (мин.)» (см. пункт «Дополнительные параметры и защита от flood-атак»). Для блокировки IP-адреса должен быть включён МЭ ФПСУ (см. пункт «Правила трафика»).

Для дальнейшей настройки IDS необходимо перейти на следующую вкладку.

Выход в меню без сохранения осуществляется по клавише <Esc>, в этом случае настройки на вкладках сохранены не будут.

Для выхода в меню с сохранением настроек IDS, нажмите кнопку «Сохранить» или клавишу <F2> на вкладке «Действия».