| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| tssltd:настройка_механизма_детектировани [2025/02/21 16:59] – r.krestianinov | tssltd:настройка_механизма_детектировани [2025/02/24 15:46] (current) – r.krestianinov |
|---|
| ==== Включение системы обнаружения вторжений ==== | ==== Включение системы обнаружения вторжений ==== |
| <WRAP indent> | <WRAP indent> |
| Для включения системы обнаружения вторжений необходимо в главном меню выбрать пункт **«СОВ – Настройки СОВ»** и установить флаг **«Включить»** (см. рисунок 1). Для сохранения настроек необходимо нажать на кнопку **«Сохранить»**. | Для включения системы обнаружения вторжений необходимо в главном меню выбрать пункт **«СОВ – Настройки СОВ»** и установить флаг **«Включить»** (см. рисунок 1). Для сохранения настроек необходимо нажать на кнопку **«Сохранить»**. |
| | |
| | Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт** «СОВ – Настройки СОВ»**. Флаг **«Включить»** должен быть установлен. В поле **«Режим работы»** необходимо выбрать один из режимов работы: **СОВ** или **СПВ**. |
| | |
| | **Система обнаружения вторжений (СОВ)** — система безопасности, предназначенная для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими. Это пассивная система, которая при обнаружении нарушения безопасности записывает файл в журнал отчёта, а также сигнализирует об этом другие подсистемы или оператора. |
| | |
| | **Система предотвращения вторжений (СПВ)** — система безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них. СПВ имеет активный характер: ПО может сбрасывать соединение. |
| <WRAP center round box 100%> | <WRAP center round box 100%> |
| |
| {{ :tssltd:sov_set1.png |}} | {{ :tssltd:sov_set1.png |}} |
| Рисунок 1 – Пункт меню «СОВ» и установка флага «Включить» | Рисунок 1 – Пункт меню **«СОВ»** и установка флага **«Включить»** |
| </WRAP> | </WRAP> |
| |
| </WRAP> | </WRAP> |
| |
| ==== Настройка системы обнаружения вторжений ==== | |
| <WRAP indent> | |
| Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – Настройки СОВ». Флаг «Включить» должен быть установлен. В поле «Режим работы» необходимо выбрать один из режимов работы: СОВ или СПВ. | |
| |
| В разделе «Настройки захвата трафика» в поле «Название интерфейса» необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа (рис 2). Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку «Удалить». В поле «Режим работы» необходимо указать один из режимов: «L2» или «L3». | ==== Настройка интерфейсов ==== |
| | <WRAP indent> |
| | В разделе **«Настройки захвата трафика»** в поле **«Название интерфейса»** необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа (рис 2). Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку **«Удалить»**. В поле **«Режим работы»** необходимо указать один из режимов: **«L2»** или **«L3»**. |
| | |
| «L2» - прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован. | **«L2»** - прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован. |
| |
| «L3» - стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка. | **«L3»** - стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка. |
| |
| <WRAP center round box 100%> | <WRAP center round box 100%> |
| |
| {{ :tssltd:sov_set2.png |}} | {{ :tssltd:sov_set2.png |}} |
| Рисунок 2 – Выбор интерфейса для анализа трафика | Рисунок 2 – Выбор интерфейса и режима для анализа трафика |
| </WRAP> | </WRAP> |
| | </WRAP> |
| В поле «Настройка среды» - «Домашняя подсеть» необходимо задать ip-адрес и маску подсети для домашнего сегмента сети. | ==== Настройка среды ==== |
| | <WRAP indent> |
| Для добавления ip-адреса и маски подсети необходимо нажать на кнопку «Добавить IP адрес». Для удаления ip-адреса и маски подсети необходимо выделить нужную запись и нажать на кнопку «Удалить» (см. рисунок 3). | В поле **«Настройка среды» - «Домашняя подсеть»** необходимо задать ip-адрес и маску подсети для домашнего сегмента сети. Для добавления ip-адреса и маски подсети необходимо нажать на кнопку **«Добавить IP адрес»**. Для удаления ip-адреса и маски подсети необходимо выделить нужную запись и нажать на кнопку **«Удалить»** (см. рисунок 3). |
| |
| <WRAP center round box 100%> | <WRAP center round box 100%> |
| |
| {{ :tssltd:sov_set3.png |}} | {{ :tssltd:sov_set3.png |}} |
| Рисунок 2 – Выбор интерфейса для анализа трафика | Рисунок 3 – Домашние подсети |
| </WRAP> | </WRAP> |
| |
| | Система предотвращения вторжений построена на основе того, что у нас существует два сегмента сети: внешний сегмент сети и домашний сегмент сети. По умолчанию установлен флаг **«Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей»** (см. рисунок 3). Если необходимо добавить конкретные внешние подсети, то необходимо снять этот флаг и в поле **«IP адрес/Маска подсети»** задать ip-адрес и маску подсети для внешнего сегмента сети (см. рисунок 4). |
| |
| | <WRAP center round box 100%> |
| |
| | {{ :tssltd:sov_set4.png |}} |
| | Рисунок 4 – Внешние подсети |
| | </WRAP> |
| | |
| | ==== Настройка Pcap ==== |
| | <WRAP indent> |
| | Для сохранения на жесткий диск файлов в формате pcap с сетевой активностью, которая была детектирована в сетевом трафике, необходимо в настройках системы обнаружения вторжения установить флаг в разделе **«Настройки Pcap» - «Включить»** и **«Хранить Pcap файлы»** (см. рисунок 5) . В поле **«Размер памяти, резервируемый подсистемой»** необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. В поле **«Максимальный размер pcap-файла»** необходимо задать максимальный размер pcap-файла. |
| | |
| | На рисунке 5 мы выделили размер памяти 1 гигабайт, а размер pcap 10 мегабайт. Это значит, что в памяти может хранится ~102 pcap файла с подключениями (1 гигабайт = 1024 мегабайт, 1024 / 10 = 102 файлов). Количество подключений не может быть больше этого значения. Если количество равно максимуму, то новые подключения не будут появляться. |
| | |
| | <WRAP center round box 100%> |
| | |
| | {{ :tssltd:sov_set5.png |}} |
| | Рисунок 5 – Раздел «Настройки Pcap» |
| | </WRAP> |
| |
| | <del>Файлы pcap с сетевой активностью сохраняются в папку /media/storage/logs/pcap/. Для просмотра файлов необходимо подключиться к устройству по протоколу ssh и перейти в папку с помощью команду «cd /media/storage/logs/pcap/». Для просмотра файлов в папке необходимо выполнить команду ls (см. рисунок 15).</del> |
| |
| |
