Инструменты пользователя

Инструменты сайта


suricata50

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

suricata50 [2019/11/10 19:35] (текущий)
Строка 1: Строка 1:
 +======Детектор атак======
 +
 +Модуль «Детектор атак» расположен в Меню «Защита». Данный модуль предназначен для запуска,​ настройки и конфигурирования используемого в «ИКС» open source IPS/IDS системы – Suricata. Данная система была разработана Open Information Security Foundation в 2009 году. Intrusion Prevention System (IPS, система предотвращения вторжений) — это система сетевой безопасности,​ обнаруживающая вторжения или нарушения безопасности. IPS отслеживает сетевой трафик в реальном времени и применяет различные меры – сброс соединения,​ логирование выявленных сигнатур или пропускает его. Также IPS может выполнять дефрагментацию пакетов,​ переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами. Система Suricata поддерживает многозадачность,​ как следствие обладает высокой производительностью,​ позволяющая обрабатывать трафик до 10Gbit на обычном оборудовании,​ и многое другое,​ в том числе полная поддержка формата правил Snort. При входе в модуль отображается его состояние,​ кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале.
 +
 +=====Настройки=====
 +
 +{{ics-suricata50-1.png}}
 +
 +Для корректного применения базы сигнатур модуля детектора атак, необходимо в данной вкладке указать расположение объектов (сетей,​ серверов и портов) подверженных проверке. ​ Здесь можно указать внутренние и внешние сети, диапазоны адресов различных серверов,​ а также используемые порты. Всем этим переменным присвоены значения по умолчанию,​ с которыми детектор атак может корректно запуститься. Для изменения конфигурации по умолчанию необходимо открыть выпадающий список в соответствующей ячейки и выбрать необходимые значения из известных «ИКС» портов или диапазона адресов,​ заданных Пользователем «ИКС». Либо в соответствующей ячейки в ручную указать необходимое значение. Для ячеек «сети» и «сервера» допустимыми являются следующие значения:​ доменное имя (host.ru); ip-адрес (192.168.1.1);​ ip-адрес/​префикс (192.168.1.1/​24);​ ip-адрес:​маска (192.168.1.1:​255.255.255.0);​ диапазон ip-адресов (192.168.1.1 - 192.168.1.254);​ пользователь;​ группа;​ локальная,​ внутренняя,​ VPN, OpenVPN, WiFi сети; и другие объекты,​ которыми оперирует «ИКС». Для ячеек «порты» допустимыми являются следующие значения:​ номер порта (25, 110), диапазон портов (1000-2000),​ объекты порт заведенные на «ИКС». Для ячейки «SHELLCODE-порты» также допустимо исключение портов,​ например,​ !80.   По умолчанию,​ анализируется трафик на внешних интерфейсах. Для анализа трафика локальной сети необходимо добавить в поле «Внешние сети» объект «Локальные сети».
 +
 +
 +=====Правила===== ​
 +
 +{{ics-suricata50-2.png}}
 +
 +В данной вкладке отображаются возможные базы модуля детектора атак. Существует три базы правил:​ правила с сайта snort.org, прекомпилированные правила с сайта snort.org и правила Emerging Threats. Каждая база содержит в себе набор скачиваемых файлов,​ в каждом файле содержится набор правил,​ объединенных по цели защиты. Для работы набора правил из базы, необходимо чтобы данная база была скачена (см. описание вкладки «настройка обновлений»),​ если база не скачена,​ то напротив каждого файла будет надпись «не загружено». Если база была загружена,​ то возможно выбрать применение всей базы целиком,​ отметив флажок в столбце «применить». Если необходимо применить определенный файл или наоборот не применять его, то необходимо отметить флажком в столбце «применить» соответствующий файл. Напротив каждого файла показано какое количество правил тот содержит. В правом верхнем углу располагается поиск по названию или по количеству правил в файле. Для просмотра правил и выбора действия необходимо кликнуть по имени файла, будет открыто новое окно с таблицей. Таблица имеет следующие поля: id правила – номер правила;​ приоритет – значение угрозы;​ предупреждение – описание производимой атаки; классификация – к какому классу относится атака; действие – определяет,​ что необходимо сделать при обнаружении данной атаки (alert – запишет в собственный лог обнаружение и пропустит,​ drop – уничтожит пакет, allow - пропустит,​ reject – уничтожит пакет и уведомит отправителя о данном событии);​ включение/​выключение соответствующего правила.
 +
 +
 +=====Настройки обновлений=====
 +
 +{{ics-suricata50-3.png}}
 +
 +Существует 2 компании,​ которые активно занимаются разработкой правил для систем предотвращения вторжений – Sourcefire и Emerging Threats. Для того чтобы скачать базы «Правила с сайта snort.org» и «Прекомпилированные правила с сайта snort.org»,​ необходимо:​
 +
 +  * Зарегистрироваться на сайте Snort.org (при необходимости стать подписчиком на обновления правил),​
 +  * Получить Oinkcode для скачивания правил,​ находится в личном кабинете на сайте snort.org,
 +  * Ввести код в поле «Код для Oinkmaster»,​
 +  * Отметить следующий за этим полем флажок в том случае,​ если вы действительно стали подписчиком на обновления правил,​
 +  * Сохранить.
 +
 +Правила можно скачать при условии наличия одного лишь кода. Обратите внимание на отличие прав подписчика от обычного зарегистрированного пользователя. После удачного скачивания правил от данного разработчика,​ они будут отображаться во вкладке «Правила» без пометки (не загружено).
 +
 +Для того чтобы скачать базу «Правила Emerging Threats» достаточно поставить флажок «Устанавливать правила Emerging Threats» и сохранить изменения. Ещё один параметр,​ который возможно настроить в данной вкладке - это возможность ежедневно проверять обновления правил,​ которые были загружены. По умолчанию,​ флажок установлен,​ при необходимости его можно изменить. После того, как всё настроено,​ можно нажимать кнопку «Обновить сейчас».
 +
 +=====Журнал===== ​
 +
 +Отображает сводку всех системных сообщений модуля с указанием даты и времени. Журнал разделен на страницы,​ кнопками «вперед» и «назад» возможно переходить со страницы на страницу,​ либо ввести номер требуемой страницы. Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом,​ сообщения о состоянии системы (включение/​выключение,​ подключение пользователя) - зеленым,​ предупреждения – желтым,​ ошибки - красным. В правом верхнем углу модуля находится строка поиска. А также возможность выбора периода отображения журнала событий. По умолчанию журнал отображает события за текущую дату. При необходимости можно сохранить данные журнала в файл, нажав кнопку «Экспорт» или удалить данные журнала,​ за определенный период,​ нажав кнопку «Удалить логи».
  
suricata50.txt · Последние изменения: 2019/11/10 19:35 (внешнее изменение)