Система обнаружения и предотвращения вторжений

ID статьи: 912
Последнее обновление: 26 фев, 2024
Documentation:
Product: NGFW
Version: 7.1.0

Система обнаружения и предотвращения вторжений (СОВ), или Intrusion Detection and Prevention System (IDPS), позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов.

Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, блокирование адреса источника, оповещение администратора сети и запись в журнал.

База данных правил и сигнатур предоставляется и обновляется разработчиками UserGate при наличии соответствующей лицензии. Также есть возможность создавать и добавлять в базу данных пользовательские кастомизированные сигнатуры СОВ. Описание характерных признаков сетевых уязвимостей в таких сигнатурах производится с помощью языка UASL. Для каждой сигнатуры можно отдельно настроить свое действие, журналирование, запись в файл pcap, включение/отключение сигнатуры. Подробнее о сигнатурах СОВ читайте в разделе Сигнатуры СОВ.

С помощью гибко настраиваемых фильтров группы сигнатур добавляются в профили СОВ. В одном профиле можно использовать сразу нескольких фильтров. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Подробнее о профилях СОВ читайте в разделе Профили СОВ.

Для активации системы обнаружения и предотвращения вторжений профиль СОВ добавляется в разрешающее правило межсетевого экрана. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур такого профиля будет произведено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. 

Для начала работы СОВ необходимо:

Наименование

Описание

Шаг 1. Создать необходимые профили СОВ.

Профиль СОВ — это набор сигнатур, релевантных для защиты определенных сервисов.

Профили СОВ создаются по методике, описанной в разделе Профили СОВ. С помощью гибко настраиваемых фильтров в профиль добавляются группы сигнатур из библиотеки. Наряду с системными сигнатурами в профиль могут быть добавлены созданные заранее кастомизированные пользовательские сигнатуры СОВ.

Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора

Шаг 2. Добавить созданные ранее профили СОВ в правило межсетевого экрана.

Профиль СОВ может применяться только в правилах межсетевого экрана с разрешением прохождения трафика.

Анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур, содержащихся в профиле, производится настроенное действие.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 912
Последнее обновление: 26 фев, 2024
Ревизия: 6
Просмотры: 1089
Комментарии: 0
Теги