Differences

This shows you the differences between two versions of the page.

--- tssltd:настройка_механизма_детектировани [2025/02/21 17:00] – r.krestianinov
+++ tssltd:настройка_механизма_детектировани [2025/02/24 15:46] (current) – r.krestianinov
@@ Line 7: / Line 7: @@
 ==== Включение системы обнаружения вторжений ====
 <WRAP indent>
 Для включения системы обнаружения вторжений необходимо в главном меню выбрать пункт **«СОВ – Настройки СОВ»** и установить флаг **«Включить»** (см. рисунок 1). Для сохранения настроек необходимо нажать на кнопку **«Сохранить»**.
+Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт** «СОВ – Настройки СОВ»**. Флаг **«Включить»** должен быть установлен. В поле **«Режим работы»** необходимо выбрать один из режимов работы: **СОВ** или **СПВ**.
+**Система обнаружения вторжений (СОВ)** — система безопасности, предназначенная для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими. Это пассивная система, которая при обнаружении нарушения безопасности записывает файл в журнал отчёта, а также сигнализирует об этом другие подсистемы или оператора.
+**Система предотвращения вторжений (СПВ)** —  система безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них. СПВ имеет активный характер: ПО может сбрасывать соединение.
 <WRAP center round box 100%>
 {{ :tssltd:sov_set1.png |}}
-Рисунок 1 – Пункт меню «СОВ» и установка флага «Включить»
+Рисунок 1 – Пункт меню **«СОВ»** и установка флага **«Включить»**
 </WRAP>
 </WRAP>
-==== Настройка системы обнаружения вторжений ====
-<WRAP indent>
-Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – Настройки СОВ». Флаг «Включить» должен быть установлен. В поле «Режим работы» необходимо выбрать один из режимов работы: СОВ или СПВ.
-В разделе «Настройки захвата трафика» в поле «Название интерфейса» необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа (рис 2). Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку «Удалить». В поле «Режим работы» необходимо указать один из режимов: «L2» или «L3».
+==== Настройка интерфейсов ====
+<WRAP indent>
+В разделе **«Настройки захвата трафика»** в поле **«Название интерфейса»** необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа (рис 2). Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку **«Удалить»**. В поле **«Режим работы»**  необходимо указать один из режимов: **«L2»** или **«L3»**.
-«L2» - прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован.
+**«L2»** - прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован.
-«L3» - стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка.
+**«L3»** - стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка.
 <WRAP center round box 100%>
 {{ :tssltd:sov_set2.png |}}
-Рисунок 2 – Выбор интерфейса для анализа трафика
+Рисунок 2 – Выбор интерфейса и режима для анализа трафика
 </WRAP>
+</WRAP>
+==== Настройка  среды ====
+<WRAP indent>
+В поле **«Настройка среды» - «Домашняя подсеть»** необходимо задать ip-адрес и маску подсети для домашнего сегмента сети. Для добавления ip-адреса и маски подсети необходимо нажать на кнопку **«Добавить IP адрес»**. Для удаления ip-адреса и маски подсети необходимо выделить нужную запись и нажать на кнопку **«Удалить»** (см. рисунок 3).
-В поле «Настройка среды» - «Домашняя подсеть» необходимо задать ip-адрес и маску подсети для домашнего сегмента сети.
+<WRAP center round box 100%>
-Для добавления ip-адреса и маски подсети необходимо нажать на кнопку «Добавить IP адрес». Для удаления ip-адреса и маски подсети необходимо выделить нужную запись и нажать на кнопку «Удалить» (см. рисунок 3).
+{{ :tssltd:sov_set3.png |}}
+Рисунок 3 – Домашние подсети
+</WRAP>
-Система предотвращения вторжений построена на основе того, что у нас существует два сегмента сети: внешний сегмент сети и домашний сегмент сети. По умолчанию установлен флаг «Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей» (см. рисунок 3). Если необходимо добавить конкретные внешние подсети, то необходимо снять этот флаг и в поле «IP адрес/Маска подсети» задать ip-адрес и маску подсети для внешнего сегмента сети . Для сохранения настроек необходимо нажать на кнопку «Сохранить».
+Система предотвращения вторжений построена на основе того, что у нас существует два сегмента сети: внешний сегмент сети и домашний сегмент сети. По умолчанию установлен флаг **«Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей»** (см. рисунок 3). Если необходимо добавить конкретные внешние подсети, то необходимо снять этот флаг и в поле **«IP адрес/Маска подсети»** задать ip-адрес и маску подсети для внешнего сегмента сети (см. рисунок 4).
 <WRAP center round box 100%>
-{{ :tssltd:sov_set3.png |}}
+{{ :tssltd:sov_set4.png |}}
-Рисунок 2 – Выбор интерфейса для анализа трафика
+Рисунок 4 – Внешние подсети
 </WRAP>
+==== Настройка Pcap ====
+<WRAP indent>
+Для сохранения на жесткий диск файлов в формате pcap с сетевой активностью, которая была детектирована в сетевом трафике, необходимо в настройках системы обнаружения вторжения установить флаг в разделе **«Настройки Pcap» - «Включить»** и **«Хранить Pcap файлы»** (см. рисунок 5) . В поле **«Размер памяти, резервируемый подсистемой»** необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. В поле **«Максимальный размер pcap-файла»** необходимо задать максимальный размер pcap-файла.
+На рисунке 5 мы выделили размер памяти 1 гигабайт, а размер pcap 10 мегабайт. Это значит, что в памяти может хранится ~102 pcap файла с подключениями (1 гигабайт = 1024 мегабайт,  1024 / 10 = 102 файлов). Количество подключений не может быть больше этого значения. Если количество равно максимуму, то новые подключения не будут появляться.
+<WRAP center round box 100%>
+{{ :tssltd:sov_set5.png |}}
+Рисунок 5 – Раздел «Настройки Pcap»
+</WRAP>
+<del>Файлы pcap с сетевой активностью сохраняются в папку /media/storage/logs/pcap/. Для просмотра файлов необходимо подключиться к устройству по протоколу ssh и перейти в папку с помощью команду «cd /media/storage/logs/pcap/». Для просмотра файлов в папке необходимо выполнить команду ls (см. рисунок 15).</del>