Поиск по сайту

Мнение экспертов

13.02.19

Система предотвращения вторжений (IPS)

Введение

В рамках данной статьи мы рассмотрим систему предотвращения вторжений (IPS) и научимся настраивать ее на FortiGate. Как уже говорилось ранее, IPS использует базы сигнатур для обнаружения известных атак, а также протокольные декодеры для обнаружения сетевых проблем и аномалий.


Что такое протокольные декодеры?

Разберемся с протокольными декодерами чуть подробнее. Они анализирует каждый пакет в соответствии со спецификациями протокола. Некоторым декодерам требуется конкретный номера порта (определяется в командной строке), но обычно он определяется автоматически. Если трафик не соответствует спецификации, например, отправляет неверные команды, декодер протокола обнаружит ошибку.


Понятие и типы баз сигнатур

Теперь поговорим о пополнении базы сигнатур и обновлении механизма IPS. По умолчанию начальный набор сигнатур IPS включен в каждую версию встроенного ПО FortiGate. Данные базы обновляются с помощью службы FortiGuard. Обновление доступно в том случае, если активна лицензия на FortiGuard Services. В таком случае система IPS остается эффективной против новых угроз. Однако, если лицензия не активна, базы IPS продолжают работать, но не обновляются. Сигнатуры IPS обновляются регулярно. Сам же механизм IPS обновляется реже.

Базы сигнатур делятся на обычные и расширенные. Обычные базы сигнатур содержат информацию об общих атаках, в таком случае ложные срабатывания бывают очень редко, или их не бывает вообще. Расширенные базы содержат сигнатуры атак, которые могут оказывать значительное влияние на производительность, а также тех атак, которые нельзя заблокировать из-за их особого строения. Расширенные базы могут не поддерживаться FortiGate с малыми объемами памяти, однако в тех случаях, когда требуется обеспечить высокую безопасности сети, рекомендуется использовать именно эту базу сигнатур.


Настройка сигнатур

Для того, чтобы настроить IPS в FortiGate, необходимо перейти в меню Security Profiles → Intrusion Prevention System. Переход в меню создания нового профиля аналогично примеру, рассмотренному в статье по профилям безопасности.

Существует два способа добавления сигнатур IPS к вашему профилю. Первый способ — добавление сигнатур индивидуально. Второй же — с помощью определенных фильтров. Этим способом можно выбрать сразу несколько сигнатур, совпадающих по определенным свойствам.

В поле IPS Signatures выбрана одна сигнатура и поставлено действие — block (см. рис. 1). В поле IPS Filters выбран уже фильтр — ОС Linux. Это значит, что теперь профиль безопасности AgainstLinux содержит сигнатуры, обнаруживающие атаки на ОС Linux.

Рисунок 1. Пример добавления сигнатур.

Так же присутствует возможность добавлять Rate Based сигнатуры для определенного трафика, для того, чтобы блокировать его, если объем этого трафика превышает допустимый за определенный период времени. Вы можете изменить время и объем, которые изначально установлены по умолчанию.

Когда движок IPS сравнивает трафик с сигнатурами, порядок расположения сигнатур в каждом фильтре имеет значение. Это действие аналогично проверке политик брандмауэра. То есть сначала сравниваются сигнатуры, находящиеся в начале списка. И если обнаружено совпадение, проверка дальше не производится. Таким образом, необходимо более подходящие сигнатуры располагать в начале списка. Необходимо так же избегать большого количества групп сигнатур в каждом фильтре, а также большого количества фильтров — это уменьшит производительность.

В случае ложного срабатывания сигнатуры вы можете изменить действие на Monitor. Так, трафик, соответствующий данной сигнатуре, будет проходить, но вы сможете отслеживать события, связанные с ним.

Иногда необходимо исключить срабатывание определенных сигнатур на IP адреса некоторых источников или приемников. Это помогает решать проблемы с ложными срабатываниями сигнатур. Настраивать исключения необходимо для каждой сигнатуры индивидуально. Каждая сигнатура может иметь несколько исключений. Чтобы добавить исключение, необходимо выделить требуемую сигнатуру и нажать на кнопку Edit IP Exemption.

После выбора фильтров или сигнатур, необходимо выбрать действие, которое будет применяться над ними. Щелкните правой кнопкой мыши на выбранный фильтр/сигнатуру и выберите действие: 

• Pass — пропустить трафик до пункта назначения; 
• Monitor — пропустить трафик до пункта назначения и регистрировать его активность; 
• Block — отбрасывание трафика; 
• Reset — генерация пакета TCP RST при обнаружении сигнатуры; 
• Quarantine — помещает IP адрес атакующего в карантин на определенное время. Время может быть выставлено любое, на ваше усмотрение; 
• Packet Logging — позволяет сохранять копии пакетов, которые совпали с сигнатурами, для их последующего анализа. 


Заключение

После того, как профиль IPS настроен, необходимо применить его к нужной политике. Делается это так же, как мы применяли профиль антивируса в статье про профили безопасности, только вместо поля Antivirus — поле IPS.