Система предотвращения вторжений

Последнее изменение: 29 января 2025

Система предотвращения вторжений

Принцип работы⁠

Система предотвращения вторжений (IPS, или Intrusion Prevention System) — дополнительная система безопасности в составе межсетевого экрана Selectel. IPS выявляет и блокирует почти все виды сетевых атак, а также оповещает о них.

В межсетевом экране Selectel IPS реализована в виде программного модуля на базе Snort. Система проверяет трафик, который уже прошел фильтрацию на межсетевом экране. Для проверки трафика используются регулярно обновляемые правила от сообщества разработчиков Snort. Вы можете добавить собственные правила обнаружения и блокирования сетевых атак.

Ограничения⁠

IPS на межсетевом экране Selectel не защищает:

• от атак на логику приложения (L7). Для защиты на этом уровне используйте WAF Curator;
• от любых несетевых атак, например, на получение суперправ пользователя.

Стоимость⁠

Подключить IPS на межсетевом экране Selectel можно бесплатно. Оплачивается только межсетевой экран, подробнее в статье Модель оплаты и цены аппаратного межсетевого экрана.

Подключить IPS⁠

1. Подключитесь к межсетевому экрану Selectel.
2. Настройте модуль IPS.
3. Добавьте и настройте сетевой интерфейс.
4. Настройте существующие правила.
5. Опционально: создайте собственные правила.
6. Включите IPS на интерфейсе.

1. Подключитесь к межсетевому экрану Selectel⁠

1. Откройте в браузере страницу:

   https://<ip_address>:5443

   Укажите <ip_address> — IP-адрес межсетевого экрана.

2. Введите логин и пароль, полученные в тикете после заказа межсетевого экрана. Откроется главная страница графического интерфейса с дашбордом.

2. Настроить модуль IPS⁠

1. В меню Services перейдите в раздел Snort.
2. Откройте вкладку Global settings.
3. Для репозиториев с нужными правилами отметьте чекбоксы Click to enable download of ....
4. Опционально: выполните настройку периодичности проверки обновлений для включенных пакетов правил в блоке Rules Update Settings.
5. Опционально: выполните общие настройки в блоке General Settings.
6. Нажмите Save.
7. Откройте вкладку Updates.
8. Нажмите Update Rules и загрузите выбранные репозитории правил.
9. Опционально: выполните остальные настройки.
10. Нажмите Save.

3. Добавить и настроить сетевой интерфейс⁠

1. В меню Services перейдите в раздел Snort.

2. Откройте вкладку Snort Interfaces.

3. Нажмите + Add.

4. Выберите интерфейс, на котором нужно включить IPS.

5. Опционально: чтобы лог IPS отображался в общем логе межсетевого экрана, в блоке Alert Settings отметьте чекбокс Send Alerts to System Log.

6. В блоке Block Settings отметьте чекбокс Block Offenders.

7. В поле IPS Mode выберите режим блокировки:

   • Legacy mode — блокируются источники подозрительного трафика, некоторое количество подозрительного трафика может попасть в систему до момента блокировки;
   • Inline mode — блокируются подозрительные пакеты трафика, не попадая в систему.

8. Нажмите Save.

9. Опционально: чтобы уменьшить количество ложных срабатываний, откройте вкладку Variables и укажите IP-адреса и порты своих серверов.

4. Настроить существующие правила⁠

1. В меню Services перейдите в раздел Snort.

2. Откройте вкладку Snort Interfaces.

3. В строке нужного интерфейса нажмите .

4. Откройте вкладку Rules.

5. В блоке Available Rule Categories выберите категорию.

6. В столбце State проверьте правила. Если нужно, измените состояние правила.

7. Если при настройке модуля на шаге 7 вы выбрали режим Inline mode, в столбце Action выберите действие правила:

   • DEFAULT — установить действие правила по умолчанию, обычно ALERT;
   • ALERT — создать запись в лог;
   • DROP — отбросить пакет;
   • REJECT — отбросить пакет и отправить в ответ сообщение о недоступности порта.

8. Нажмите Apply.

5. Создать собственные правила⁠

1. В меню Services перейдите в раздел Snort.
2. Откройте вкладку Snort Interfaces.
3. В строке нужного интерфейса нажмите .
4. Откройте вкладку Rules.
5. В блоке Available Rule Categories выберите custom.rules.
6. В блоке Defined Custom Rules введите текст правил в формате Snort. Подробнее в статье Writing Snort Rules документации Snort.
7. Нажмите Save.

6. Включить IPS на интерфейсе⁠

1. В меню Services перейдите в раздел Snort.
2. Откройте вкладку Snort Interfaces.
3. В строке нужного интерфейса нажмите .
4. Опционально: чтобы посмотреть логи работы Snort, перейдите в раздел Services → Snort → вкладка Alerts.
5. Опционально: чтобы посмотреть логи работы сетевого интерфейса, перейдите в раздел Services → Snort → в строке нужного интерфейса → вкладка Logs.