Инструменты пользователя

Инструменты сайта


suricata50

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Both sides previous revision Предыдущая версия
suricata50 [2017/08/18 11:13]
igor
suricata50 [2017/08/18 16:40] (текущий)
tuor
Строка 4: Строка 4:
  
 =====Настройки===== =====Настройки=====
 +
 +{{ics-suricata50-1.png}}
  
 Для корректного применения базы сигнатур модуля детектора атак, необходимо в данной вкладке указать расположение объектов (сетей,​ серверов и портов) подверженных проверке. ​ Здесь можно указать внутренние и внешние сети, диапазоны адресов различных серверов,​ а также используемые порты. Всем этим переменным присвоены значения по умолчанию,​ с которыми детектор атак может корректно запуститься. Для изменения конфигурации по умолчанию необходимо открыть выпадающий список в соответствующей ячейки и выбрать необходимые значения из известных «ИКС» портов или диапазона адресов,​ заданных Пользователем «ИКС». Либо в соответствующей ячейки в ручную указать необходимое значение. Для ячеек «сети» и «сервера» допустимыми являются следующие значения:​ доменное имя (host.ru); ip-адрес (192.168.1.1);​ ip-адрес/​префикс (192.168.1.1/​24);​ ip-адрес:​маска (192.168.1.1:​255.255.255.0);​ диапазон ip-адресов (192.168.1.1 - 192.168.1.254);​ пользователь;​ группа;​ локальная,​ внутренняя,​ VPN, OpenVPN, WiFi сети; и другие объекты,​ которыми оперирует «ИКС». Для ячеек «порты» допустимыми являются следующие значения:​ номер порта (25, 110), диапазон портов (1000-2000),​ объекты порт заведенные на «ИКС». Для ячейки «SHELLCODE-порты» также допустимо исключение портов,​ например,​ !80.   По умолчанию,​ анализируется трафик на внешних интерфейсах. Для анализа трафика локальной сети необходимо добавить в поле «Внешние сети» объект «Локальные сети». Для корректного применения базы сигнатур модуля детектора атак, необходимо в данной вкладке указать расположение объектов (сетей,​ серверов и портов) подверженных проверке. ​ Здесь можно указать внутренние и внешние сети, диапазоны адресов различных серверов,​ а также используемые порты. Всем этим переменным присвоены значения по умолчанию,​ с которыми детектор атак может корректно запуститься. Для изменения конфигурации по умолчанию необходимо открыть выпадающий список в соответствующей ячейки и выбрать необходимые значения из известных «ИКС» портов или диапазона адресов,​ заданных Пользователем «ИКС». Либо в соответствующей ячейки в ручную указать необходимое значение. Для ячеек «сети» и «сервера» допустимыми являются следующие значения:​ доменное имя (host.ru); ip-адрес (192.168.1.1);​ ip-адрес/​префикс (192.168.1.1/​24);​ ip-адрес:​маска (192.168.1.1:​255.255.255.0);​ диапазон ip-адресов (192.168.1.1 - 192.168.1.254);​ пользователь;​ группа;​ локальная,​ внутренняя,​ VPN, OpenVPN, WiFi сети; и другие объекты,​ которыми оперирует «ИКС». Для ячеек «порты» допустимыми являются следующие значения:​ номер порта (25, 110), диапазон портов (1000-2000),​ объекты порт заведенные на «ИКС». Для ячейки «SHELLCODE-порты» также допустимо исключение портов,​ например,​ !80.   По умолчанию,​ анализируется трафик на внешних интерфейсах. Для анализа трафика локальной сети необходимо добавить в поле «Внешние сети» объект «Локальные сети».
Строка 9: Строка 11:
  
 =====Правила===== ​ =====Правила===== ​
 +
 +{{ics-suricata50-2.png}}
  
 В данной вкладке отображаются возможные базы модуля детектора атак. Существует три базы правил:​ правила с сайта snort.org, прекомпилированные правила с сайта snort.org и правила Emerging Threats. Каждая база содержит в себе набор скачиваемых файлов,​ в каждом файле содержится набор правил,​ объединенных по цели защиты. Для работы набора правил из базы, необходимо чтобы данная база была скачена (см. описание вкладки «настройка обновлений»),​ если база не скачена,​ то напротив каждого файла будет надпись «не загружено». Если база была загружена,​ то возможно выбрать применение всей базы целиком,​ отметив флажок в столбце «применить». Если необходимо применить определенный файл или наоборот не применять его, то необходимо отметить флажком в столбце «применить» соответствующий файл. Напротив каждого файла показано какое количество правил тот содержит. В правом верхнем углу располагается поиск по названию или по количеству правил в файле. Для просмотра правил и выбора действия необходимо кликнуть по имени файла, будет открыто новое окно с таблицей. Таблица имеет следующие поля: id правила – номер правила;​ приоритет – значение угрозы;​ предупреждение – описание производимой атаки; классификация – к какому классу относится атака; действие – определяет,​ что необходимо сделать при обнаружении данной атаки (alert – запишет в собственный лог обнаружение и пропустит,​ drop – уничтожит пакет, allow - пропустит,​ reject – уничтожит пакет и уведомит отправителя о данном событии);​ включение/​выключение соответствующего правила. В данной вкладке отображаются возможные базы модуля детектора атак. Существует три базы правил:​ правила с сайта snort.org, прекомпилированные правила с сайта snort.org и правила Emerging Threats. Каждая база содержит в себе набор скачиваемых файлов,​ в каждом файле содержится набор правил,​ объединенных по цели защиты. Для работы набора правил из базы, необходимо чтобы данная база была скачена (см. описание вкладки «настройка обновлений»),​ если база не скачена,​ то напротив каждого файла будет надпись «не загружено». Если база была загружена,​ то возможно выбрать применение всей базы целиком,​ отметив флажок в столбце «применить». Если необходимо применить определенный файл или наоборот не применять его, то необходимо отметить флажком в столбце «применить» соответствующий файл. Напротив каждого файла показано какое количество правил тот содержит. В правом верхнем углу располагается поиск по названию или по количеству правил в файле. Для просмотра правил и выбора действия необходимо кликнуть по имени файла, будет открыто новое окно с таблицей. Таблица имеет следующие поля: id правила – номер правила;​ приоритет – значение угрозы;​ предупреждение – описание производимой атаки; классификация – к какому классу относится атака; действие – определяет,​ что необходимо сделать при обнаружении данной атаки (alert – запишет в собственный лог обнаружение и пропустит,​ drop – уничтожит пакет, allow - пропустит,​ reject – уничтожит пакет и уведомит отправителя о данном событии);​ включение/​выключение соответствующего правила.
Строка 14: Строка 18:
  
 =====Настройки обновлений===== =====Настройки обновлений=====
 +
 +{{ics-suricata50-3.png}}
  
 Существует 2 компании,​ которые активно занимаются разработкой правил для систем предотвращения вторжений – Sourcefire и Emerging Threats. Для того чтобы скачать базы «Правила с сайта snort.org» и «Прекомпилированные правила с сайта snort.org»,​ необходимо:​ Существует 2 компании,​ которые активно занимаются разработкой правил для систем предотвращения вторжений – Sourcefire и Emerging Threats. Для того чтобы скачать базы «Правила с сайта snort.org» и «Прекомпилированные правила с сайта snort.org»,​ необходимо:​

Инструменты страницы