Взаимодействие со средствами обнаружения вторжений |
ФПСУ-IP поддерживает взаимодействие со сторонними средствами обнаружения вторжений (далее СОВ). На ФПСУ-IP реализован специальный SysLog сервер, принимающий сообщения по протоколу syslog, отправленные с одного IP-адреса СОВ, указанного администратором ФПСУ-IP. Полученные с одобренного СОВ syslog-сообщения анализируются, и, если в них содержится текст заранее определенного администратором ФПСУ-IP шаблона, то указанный в syslog сообщении IP-адрес заносится в стоп-лист межсетевого экрана ФПСУ-IP на заданное администратором ФПСУ-IP время. Интерфейс настройки взаимодействия с СОВ вызывается по нажатию кнопки «Интеграция с внешней СОВ» вкладки Анти-флуд и СОВ параметров трафика межсетевого экрана (см. пункт «Дополнительные параметры и защита от flood-атак»). Флаг «Анти-флуд включен» должен быть установлен для работы c СОВ. В появившемся окне настройки взаимодействия с СОВ, администратор ФПСУ-IP может указать следующие параметры: Взять из шаблона – выбрать один из предложенных шаблонов взаимодействия с известными ФПСУ-IP средствами обнаружения вторжений. Поддерживается шаблон взаимодействия со средством защиты информации «Межсетевой экран и система обнаружения вторжений «Рубикон» версии 2.2.0. Примечание. Шаблон рассчитан на сообщение об обнаружении подозрительного трафика по протоколу IP№53, для анализа других сообщений потребуется изменение шаблона. IP-адрес – обязательная настройка; в этом поле указывается IP-адрес средства обнаружения вторжений, с которого ФПСУ-IP будет принимать и анализировать syslog-сообщения. Syslog-сообщения с других IP-адресов будут сброшены. Регулярное выражение – обязательная настройка; несущий информацию о событии СОВ текст, поиск которого будет вестись в syslog-сообщении от СОВ. Если в syslog-сообщении будет найден текст из поля «Регулярное выражение», IP-адрес источника СОВ-события будет внесен в стоп-лист на указанное время блокировки. Время блокировки (мин.) – таймер блокировки, в минутах; время, на которое будет помещен в стоп-лист IP-адрес, вызвавший событие СОВ. Устанавливается в пределах от 1 до 65535. Активно – обязательная настройка; флаг, указывающий на включенный режим взаимодействия с СОВ. Если флаг снят, syslog-сообщения от СОВ не принимаются. По окончании установки параметров, нажмите кнопку «Сохранить <F2>» для выхода из окна с сохранением выполненных настроек. Выход без сохранения осуществляется по клавише <Esc>. Факты получения управляющих сообщений от СОВ могут быть отслежены в статистике по событию «Статистика IPS» (см. рисунок ниже). События блокировки передач абонентов по причине получения управляющего сообщения от СОВ (в случае совпадения полученного сообщения с заданным администратором ФПСУ-IP шаблоном) будут сопровождаться обменом от IP-адреса СОВ к IP-адресу порта ФПСУ-IP (на рисунке это обмен между от IP 192.168.016.020 к IP 192.168.016.055) записью «Статистика IPS» с комментарием «В черном списке до %ДД.ММ.ГГГГ% %чч.мм.сс%». |