Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность в сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов.

Выявление проблем безопасности происходит с помощью использования эвристических правил и анализа сигнатур известных атак. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, блокирование адреса источника, оповещение администратора сети и запись в журнал.

Принцип работы с системой СОВ

Сигнатуры СОВ создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. Пользователь также имеет возможность создавать собственные кастомизированные сигнатуры. Описание характерных признаков сетевых уязвимостей в таких сигнатурах выполняется с помощью языка UASL (UserGate Application and Security Language). Для каждой сигнатуры можно отдельно настроить свое действие, журналирование, запись в файл pcap, включение/отключение сигнатуры. Подробнее о сигнатурах СОВ читайте в разделе Сигнатуры СОВ.

С помощью гибко настраиваемых фильтров наборы сигнатур добавляются в профили СОВ. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Подробнее о профилях СОВ читайте в разделе Профили СОВ.

Для активации системы обнаружения и предотвращения вторжений профиль СОВ добавляется в разрешающее правило межсетевого экрана. Таким образом, системой будут обрабатываются только те сигнатуры, которые попали в добавленные профили.

Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем. Если в правиле определен профиль СОВ, трафик начинает анализироваться c помощью набора сигнатур профиля. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур не была найдена, то трафик пропускается дальше.

Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).

Режим intelligent mode

В функции flow control системы обнаружения и предотвращения вторжений реализован специальный режим работы — intelligent mode. При увеличении загрузки ядер процессора алгоритм уменьшает объем сканирования трафика, снижая тем самым нагрузку на процессор.

По умолчанию режим intelligent mode всегда активирован в системе.

Для уменьшения загрузки системой СОВ сканируется часть проходящих пакетов TCP-сессии в пределах установленного лимита, остальные пакеты пропускаются без обработки.   

При необходимости администратор может отключить режим intelligent mode командой CLI:

Admin@nodename# set security-policy intrusion-prevention mode 
+ on      Enable
+ off     Disable

Для изменения лимита сканирования в сессии предназначена команда:

Admin@einmanediard# set security-policy intrusion-prevention limit 
+ <num>     Enter kbytes between 50-200 (e.g. 100)

Посмотреть текущее состояние режима intelligent mode можно командой:

Admin@nodename# show security-policy intrusion-prevention

mode     : on
limit    : 200.0