IDS > Настройка IDS
Previous 

Правила

 Next

На вкладке Правила задаются источники обновлений правил IDS и правила, отключаемые при проверке пакетов.

В системе IDS предустановлены два источника обновлений. Источником обновлений является открытый ресурс idsstore.amicon.ru, зарегистрированный разработчиком (ООО АМИКОН), на данном сервере хранится актуальная версия набора правил Emerging Threats для Suricata:

https://idsstore.amicon.ru:8443/7.0.8/emerging-minimal.rules.tar.gz - для платформ с объемом памяти до 2 ГБ;

https://idsstore.amicon.ru:8443/7.0.8/emerging-full.rules.tar.gz - для платформ с объемом памяти больше 2 ГБ.

Данные источники включают правила системы IDS, обеспечивающие защиту от сканирования портов, защиту от сканирования уязвимостей, защиту от сканирования сетевых протоколов, защиту от сканирования SMPT, защиту от фишинга и т.д.

Действия правил обрабатываются в следующем порядке – «pass», «drop», «reject», «alert».

На ФПСУ необходимо настроить DNS-серверы (см. пункт «DNS-серверы»), также разрешить доступ к источнику обновлений на одном из портов ФПСУ, указанный источник обновления должен быть описан как абонент на порте ФПСУ (см. пункт «Описание параметров абонентов»).

Автообновление, интервал – файл списка правил загружается из указанного источника и устанавливается в систему IDS в соответствии с заданным периодом автообновления в минутах.

При автообновлении необходимо учитывать список переменных, используемых в правилах, и добавлять в систему IDS новые адреса или порты. В случае добавления своих источников обновлений, необходимо перед обновлением заранее добавить свои адреса и порты на вкладки и сохранить.

Если задано автообновление источника правил, то правила будут периодически обновляться в соответствии с заданным интервалом. В случае ошибки автообновления, правила обновлены не будут, ошибка будет записана в локальную статистику и отправлена на Syslog-сервер (формат сообщений приведен в пункте «Формат отправляемых SysLog сообщений»), система IDS продолжит работу.

Если задан только источник обновления, то правила будут обновляться при запуске системы IDS. В случае ошибки обновления при запуске, IDS не запустится.

Для изменения списка источников обновлений предназначены кнопки «Добавить», «Изменить», «Удалить».

Для обновления правил из указанного источника необходимо выбрать этот источник обновлений из списка клавишей <Tab>, затем нажать кнопку «Изменить».

При добавлении/изменении источника обновлений открываются следующие настройки:

В строке указывается URL-путь к архиву правил, который будет являться источником обновления. В качестве сетевого протокола взаимодействия с источником обновлений рекомендуется указывать протокол HTTPS, чтобы загружать данные по защищенному соединению. Защищенное соединение гарантирует шифрование информации, передаваемой между источником обновления и ФПСУ. В этом случае требуется предварительно установить корневой сертификат для подтверждения, что источник обновлений верифицирован, т.е. проверен и является доверенным (см. кнопку «Импортировать сертификат»).

Указав URL-путь, необходимо установить флаг «Включен» для данного источника обновления.

Для сохранения настроек следует выполнить команду «Сохранить» или нажать клавишу <F2>. Выход без сохранения осуществляется по клавише <Esc> или командой «Отмена».

Включенный источник обновления в списке на вкладке будет отмечен знаком «Х».

Корневой сертификат – файл, в котором указаны данные удостоверяющего центра. Если корневой сертификат задан, при обновлении списка правил проверяется, что сертификат источника обновлений был выдан этим корневым сертификатом. По нажатию кнопки открывается корневой сертификат для просмотра. Корневой сертификат idsstore.amicon.ru установлен по умолчанию.

Импортировать сертификат – Для загрузки корневого сертификата необходимо предварительно подключить внешний носитель к USB-порту ФПСУ. На внешнем носителе в корне должен лежать файл ca-sertificates.crt с корневыми сертификатами.

Некоторые правила могут быть принудительно отключены, например, в случае ложных срабатываний системы IDS при проверке пакетов. Отключенное правило при проверке игнорируется.

В области «Отключить правила» отображаются встроенные группы правил. Список групп по умолчанию пустой. Отключена может быть как группа правил, так и одно правило с указанием SID.

Для отключения правила предназначены кнопки «Добавить», «Изменить», «Удалить».

Для отключения правила из списка, выделите группу правил или правило нажатием клавиш < > и < >, по кнопке <Tab> перейдите на кнопку «Изменить» и нажмите клавишу <Enter>, в открывшемся окне отключите группу правил или правило, установив флаг «Задействовать отключение».

Для добавления правила в список и его отключения, нажмите кнопку «Добавить», в открывшемся окне введите SID отключаемого правила или наименование группы и отключаемый файл, отключите правило или группу правил, установив флаг «Задействовать отключение».

Для сохранения настроек следует выполнить команду «Сохранить» или нажать клавишу <F2>. Выход без сохранения осуществляется по клавише <Esc> или командой «Отмена», в этом случае настройки на вкладках сохранены не будут.

Отключенное правило или группа правил в списке на вкладке будет отмечена знаком «Х».

Для дальнейшей настройки IDS необходимо перейти на следующую вкладку.

Для выхода в меню с сохранением настроек IDS, нажмите кнопку «Сохранить» или клавишу <F2> на вкладке «Действия».