Система предотвращения вторжений

Принцип работы

Система предотвращения вторжений (IPS, или Intrusion Prevention System) — дополнительная система безопасности в составе межсетевого экрана. Система способна обнаруживать почти все виды сетевых атак и оповещать о них, а также блокировать обнаруженные атаки.

В межсетевом экране Selectel IPS реализована в виде программного модуля на базе Snort. Проверяется трафик, который уже прошел фильтрацию на межсетевом экране. Для проверки трафика используются регулярно обновляемые правила от сообщества разработчиков Snort, также можно добавлять собственные правила обнаружения и блокирования сетевых атак.

Ограничения

IPS на межсетевом экране Selectel не защищает от следующих типов атак:

  • атак на логику приложения (L7). Для защиты на этом уровне используйте WAF Qrator;
  • любых несетевых атак, например, на получение суперправ пользователя.

Стоимость

Подключить IPS на межсетевом экране Selectel можно бесплатно. Оплачивается только межсетевой экран, подробнее в статье Оплата межсетевого экрана.

Подключить IPS

  1. Убедитесь, что вы заказали межсетевой экран Selectel и получили доступ к графическому интерфейсу.
  2. Настройте модуль IPS.
  3. Добавьте и настройте сетевой интерфейс.
  4. Настройте существующие правила.
  5. Опционально: создайте собственные правила.
  6. Включите IPS на интерфейсе.

Настроить модуль IPS

  1. В графическом интерфейсе в главном меню перейдите в Services ⟶ Snort.
  2. Откройте вкладку Global settings.
  3. Выберите репозитории, правила из которых хотите использовать, для этого отметьте чекбоксы Click to enable download of ….
  4. Опционально: установите настройки в блоках Rules Update Settings и General Settings.
  5. Нажмите Save.
  6. Откройте вкладку Updates.
  7. Чтобы загрузить выбранные репозитории правил, нажмите Update Rules.
  8. Опционально: установите настройки на остальных вкладках.

Добавить и настроить сетевой интерфейс

  1. В графическом интерфейсе в главном меню перейдите в Services ⟶ Snort.

  2. Откройте вкладку Snort Interfaces.

  3. Нажмите + Add.

  4. Выберите интерфейс, на котором нужно включить IPS.

  5. Опционально: чтобы лог IPS отображался в общем логе межсетевого экрана, в блоке Alert Settings отметьте чекбокс Send Alerts to System Log.

  6. В блоке Block Settings отметьте чекбокс Block Offenders.

  7. Выберите режим блокировки (IPS Mode):

    • Legacy mode — блокируются источники подозрительного трафика, некоторое количество подозрительного трафика может попасть в систему до момента блокировки;
    • Inline mode — блокируются подозрительные пакеты трафика, не попадая в систему.
  8. Опционально: укажите настройки в остальных блоках на странице.

  9. Нажмите Save.

  10. Опционально: для уменьшения количества ложных срабатываний перейдите на вкладку Variables и укажите IP-адреса и порты своих серверов.

Настроить существующие правила

  1. В графическом интерфейсе в главном меню перейдите в Services ⟶ Snort.

  2. Откройте вкладку Snort Interfaces.

  3. В строке нужного интерфейса нажмите .

  4. Откройте вкладку Rules.

  5. Проверьте, включены ли правила из выбранных категорий. В блоке Available Rule Categories выберите категорию, в столбце State проверьте/установите необходимое состояние для нужных правил.

  6. Если при настройке модуля вы выбрали режим Inline mode, в столбце Action измените действие правила:

    • DEFAULT — устанавливается дефолтное действие правила, обычно ALERT;
    • ALERT — создать запись в лог;
    • DROP — отбросить пакет;
    • REJECT — отбросить пакет и отправить в ответ сообщение о недоступности порта.
  7. Нажмите Apply.

Создать собственные правила

  1. В графическом интерфейсе в главном меню перейдите в Services ⟶ Snort.
  2. Откройте вкладку Snort Interfaces.
  3. В строке нужного интерфейса нажмите .
  4. Откройте вкладку Rules.
  5. В блоке Available Rule Categories выберите custom.rules.
  6. В блоке Defined Custom Rules введите текст правил в формате Snort.
  7. Нажмите Save.

Включить IPS на интерфейсе

  1. В графическом интерфейсе в главном меню перейдите в Services ⟶ Snort.
  2. Откройте вкладку Snort Interfaces.
  3. В строке нужного интерфейса нажмите . IPS начнет работать, логи будут отображаться:
    • в общих логах Snort (Services Snort вкладка Alerts);
    • в логах интерфейса (Services Snort в строке нужного интерфейса ⟶ вкладка Logs).
  4. Опционально: чтобы отключить IPS на интерфейсе, в строке нужного интерфейса нажмите .