Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность в сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов.

Выявление проблем безопасности происходит с помощью использования эвристических правил и анализа сигнатур известных атак. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, блокирование адреса источника, оповещение администратора сети и запись в журнал.

Принцип работы с системой СОВ

Сигнатуры СОВ создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. Пользователь также имеет возможность создавать собственные сигнатуры. Описание характерных признаков сетевых уязвимостей в таких сигнатурах выполняется с помощью языка UASL (UserGate Application and Security Language). Для каждой сигнатуры можно отдельно настроить свое действие, журналирование, запись в файл pcap, включение/отключение сигнатуры. Подробнее о сигнатурах СОВ читайте в разделе Сигнатуры СОВ.

С помощью гибко настраиваемых фильтров наборы сигнатур добавляются в профили СОВ. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Подробнее о профилях СОВ читайте в разделе Профили СОВ.

Для активации системы обнаружения и предотвращения вторжений профиль СОВ добавляется в разрешающее правило межсетевого экрана. Таким образом, системой будут обрабатываются только те сигнатуры, которые попали в добавленные профили.

Правила межсетевого экрана применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Если в правиле определен профиль СОВ, трафик начинает анализироваться c помощью набора сигнатур профиля. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур не была найдена, то трафик пропускается дальше.

Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).

Flow control и intelligent mode

Функция flow control предназначена для отслеживания загрузки процессора устройства. Flow control производит анализ всех пакетов сессии СОВ до достижения контролируемой границы. После достижения границы новые сессии будут пропускаться и не будут подвержены сканированию при помощи системы СОВ. По умолчанию данная функциональность всегда включена.

Одним из режимов работы функции flow control системы обнаружения и предотвращения вторжений является интеллектуальный режим сканирования пакетов, intelligent mode. Для уменьшения загрузки системой СОВ сканируется часть проходящих пакетов TCP-сессии в пределах установленного лимита, остальные пакеты пропускаются без обработки. Администратор может установить, сколько байт от начала сессии необходимо сканировать в этом режиме.

При увеличении загрузки ядер процессора алгоритм уменьшает объем сканирования трафика, снижая тем самым нагрузку на процессор.

По умолчанию режим intelligent mode всегда активирован в системе.

При необходимости администратор системы может отключить/включить функцию flow control и режим intelligent mode через интерфейс командной строки (CLI). При отключении функции flow control параметры режима intelligent mode изменять нельзя. Останутся значения параметров, которые были назначены до отключения функции flow-control.

Команда включения/отключения функции flow control (доступно в версии ПО 7.4.0 и выше):

Admin@nodename# set security-policy intrusion-prevention flow-control 
+ on      Enable
+ off     Disable

Команда включения/отключения режима intelligent mode:

Admin@nodename# set security-policy intrusion-prevention mode 
+ on      Enable
+ off     Disable

Команда для изменения лимита сканирования в сессии:

Admin@einmanediard# set security-policy intrusion-prevention limit 
+ <num>     Enter kbytes between 50-200 (e.g. 100)

Посмотреть текущее состояние функции flow control и режима intelligent mode можно командой:

Admin@nodename# show security-policy intrusion-prevention

mode            : on
limit           : 200
flow-control    : on