Приветствую читателей в пятой статье цикла Континент Getting Started. Сегодня речь пойдет о таком механизме как обнаружение и предотвращение вторжений. Важно! Все следующие статьи будут опубликованы на нашем учебном портале и в Telegram канале.
В Континент 4.1 есть возможность проверять трафик, проходящий через узел безопасности, на наличие вторжений и нарушений безопасности сети. Для этого на УБ включается компонент «Детектор атак».
Детектор атак возможен в двух вариантах применения:
Monitor
В этом режиме трафик зеркалируется на компонент СОВ со SPAN-порта маршрутизатора/УБ. При обнаружении атаки детектор атак зафиксирует ее и отправит сведения на ЦУС. В данном режиме использует только обнаружение вторжений.
Inline
В этом режиме компонент СОВ устанавливается "в разрыв" сетевого соединения между внешним маршрутизатором и защищаемой сетью. В случае обнаружения атаки СОВ фиксирует атаку и, если прописано в политике СОВ, блокирует вредоносный трафик. В данном режиме может использоваться предотвращение или обнаружение вторжений.
В Континент 4 «Детектор атак» применяется в двух режимах работы:
Детектор атак в составе UTM. Трафик сначала проверяется межсетевым экраном и, если он разрешен передается в СОВ. Анализ трафика осуществляется сигнатурным методом.
Узел безопасности в режиме «Детектор атак». Весь трафик сразу передается в СОВ. Анализ трафика осуществляется сигнатурным методом + поддерживается эвристический анализатор для контроля трафика приложений.
Сигнатурный анализ отслеживает определенные шаблоны в трафике. Для этого необходимо поддерживать сигнатуры в актуальном состоянии, обновляя базы как минимум раз в неделю.
Настройка компонента «Детектор атак»
Для начала потребуется загрузить базы решающих правил (БРП). Это можно сделать двумя способами: локально и дистанционно с сервера обновлений. Типовое имя файла с БРП «ids_update.json.gz». Загрузим файл локально.
Переходим «Система обнаружения вторжений» – «База решающих правил» – «Импортировать» и загружаем файл с БРП. После успешной загрузки правила отобразятся в разделе БРП.
Вендорские сигнатуры делятся на следующие классы:
Рекламное ПО – Рекламное программное обеспечение (баннеры, перенаправление пользователя на рекламные сайты, загрузка/установка рекламного контента).
Повышение привилегий – Попытка получения привилегий пользователя/администратора.
Бэкдоры – Вредоносное программное обеспечение позволяющее получить скрытый несанкционированный доступ в систему.
Уязвимые приложения – Различное программное обеспечение, имеющее уязвимости.
Потенциально опасные ssl-сертификаты – Черный список SSL сертификатов, используемых управляющими серверами ботнетов.
Вредоносные командные центры – Активность известных управляющих серверов ботнетами.
Криптолокеры – Вредоносное программное обеспечение, предназначенное для вымогательства.
Криптомайнеры – Вредоносное программное обеспечение для скрытой генерации криптовалюты.
DoS-атаки – Атаки на систему способом перегрузки большим количеством запросов с целью ее отказа/недоступности/медленной работы.
Эксплойты – Вредоносное программное обеспечение, использующее данные или исполняемый код для эксплуатации уязвимости на удаленной системе.
Ложные антивирусы – Вредоносное программное обеспечение, которое маскируется под легальное антивирусное ПО.
Утечка информации – Возможная утечка данных.
Программы-загрузчики вредоносных файлов – Вредоносное программное обеспечение, скрытно загружающее дополнительные вредоносные компоненты на систему.
Вредоносное ПО для мобильных приложений – Различное вредоносное программное обеспечение для мобильных платформ под управление ОС Android/IOS.
Сетевые сканеры – Активность различного программного обеспечения для сканирования сети.
Сетевые черви – Вредоносное программное обеспечение, обладающее способностью саморазмножения в сети.
Фишинг – Различная фишинговая сетевая активность.
Нарушение политики безопасности – Нарушение политики безопасности.
Шелл-коды – Исполняемый код позволяющий получить доступ к командному интерпретатору.
Шпионское ПО – Вредоносное программное обеспечение, которое скрытно собирает данные о системе/пользователе.
Веб-атаки – Сетевая активность различных веб-атак(SQL-инъекции, XSS и т.п.)
Потенциально опасный трафик – Потенциально опасный трафик.
Имеется возможность создания и редактирования пользовательских решающих правил и их групп. В качестве основы пользовательского правила может выступить любое вендорское правило.
Для загрузки собственных сигнатур необходимо во вкладке «Пользовательские сигнатуры» импортировать сигнатуры в формате txt. Одновременно можно загрузить не более 50000 сигнатур. Импортированные сигнатуры отобразятся в списке. Если сигнатура прошла проверку, ей присвоен статус «Верно». В противном случае сигнатуре присвоен статус «Ошибка».
Активируем компонент «Детектор атак» и настроим его параметры:
EXTERNAL_NET – any,
HOME_NET – заменим фрагмент 172.16.0.0/12 на 172.16.20.0/24.
Сохраним настройки и установим политику.
Переходим «Система обнаружения вторжений» – «Профили СОВ». Профиль СОВ определяет работу детектора атак. По дефолту уже есть три профиля: оптимальный, полный и рекомендованный. Создадим новый профиль. Данный профиль будем использовать для защиты DMZ.
При использовании всех сигнатур возрастет нагрузка на устройство. Нужно ограничиться лишь необходимыми сигнатурами в состоянии «блокировать». Классы сигнатур, которые маловероятны в инфраструктуре можно отключить.
Если требуется, чтобы профиль блокировал сигнатуры, связанные с определенным сервисом, то необходимо воспользоваться строкой поиска и заблокировать данные сигнатуры.
Для проведения тестирования IPS переведем все сигнатуры в состояние «Блокировать» (за исключением маловероятных).
После создания профилей необходимо сформировать политику, т.е. правило, определяющее, какой профиль какому детектору атак будет назначен. На каждый УБ можно применить только одну политику СОВ.
Политику СОВ можно применять к определенным правилам на межсетевом экране. СОВ будет применяться, после того как трафик будет обработан межсетевым экраном. Если трафик отбрасывается на МЭ, то на СОВ он уже не переходит.
Тестирование IPS будет происходить с помощью атакующей машины Kali Linux. Атакованной машиной будет выступать сервер DMZ.
Создадим правило, открывающее доступ к DMZ из внешней сети по протоколам icmp, tcp, udp.
С ВМ Kali просканируем DMZ и проверим логи.
По детальной информации можно определить класс сигнатуры и ее идентификатор. Данный идентификатор поможет найти сигнатуру в БРП.
Теперь проведем атаку SYN-flood. Без активированного СОВ DMZ успешно атакуется и существенно возрастает нагрузка на процессор.
При активированном СОВ данная атака блокируется, и нагрузка на сервере не повышается.
Теперь попробуем загрузить на наш сервер вредоносный файл EICAR. IPS обнаружил данную угрозу и заблокировал загрузку файла.
Модуль поведенчиского анализа
Помимо детектора атак, который обнаруживает/предотвращает угрозы, в Континент 4 есть компонент «Модуль поведенчиского анализа» – самообучаемый модуль, для обнаружения сетевых атак сканирования и угроз типа «отказ в обслуживании» (DoS).
Модуль поведенчиского анализа (МПА) поддерживает следующие типы атак:
SYN-сканирование, FIN/RST-сканирование, ICMP-сканирование, UDP-сканирование, ICMP-пакеты, состоящие только из заголовка (Null Payload ICMP packet), Превышение размера DNS запроса/ответ (DNS max length), Корректность пакетов (Packet Sanity), Снижение размера пакета (Small Packet MTU), DNS-spoofing, Несовпадающие ответы DNS (DNS-mismatch), Неверные ответы DNS (DNS-reply mismatch), SYN-flood, SMURF-атака, FIN/RST-flood, FRAGGLE-атака, LAND-атака.
Модуль обрабатывает трафик, создает правила фильтрации и запоминает среднюю нагрузку узлов сети и в случае обнаружения атаки передает команду на МЭ о блокировки трафика.
Активируем и протестируем данный компонент. Организуем DoS-атаку на сервер DMZ.
МПА обнаружил ICMP scan и заблокировал данный трафик
Отметим, что данные атаки могут быть обнаружены/заблокированы детектором атак, но МПА опирается на статистику и блокирует только протокольные атаки, которые не влияют на пропускную способность устройства.
Заключение
В данной статье разобрали принцип работы системы обнаружения/ предотвращения вторжений и модуль поведенческого анализа. Настроили политику на предотвращение атак на DMZ. В следующей статье рассмотрим компонент VPN. Как было сказано выше, все следующие статьи будут опубликованы на нашем учебном портале и в Telegram канале.
Подробную информацию о продукте можно найти на странице Код Безопасности.
P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет. Запросить версию Континент 4.1 можете обратившись на почту dl@tssolution.ru
Автор - Дмитрий Лебедев, инженер TS Solution
