[[tssltd:мксз_diamond_next|Вернуться к оглавлению]]
===== Инструкция по настройке системы обнаружения вторжений =====
<WRAP indent>

Система обнаружения вторжения производит анализ сетевого трафика по заранее заданным сигнатурным правилам. В случае обнаружения подозрительной сетевой активности – это событие регистрируется в журнале событий и производится запись pcap файла, который включает в себя информацию об инциденте информационной безопасности.
</WRAP>
==== Включение системы обнаружения вторжений ====
<WRAP indent>
Для включения системы обнаружения вторжений необходимо в главном меню выбрать пункт **«СОВ – Настройки СОВ»** и установить флаг **«Включить»** (см. рисунок 1). Для сохранения настроек необходимо нажать на кнопку **«Сохранить»**. 

Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт** «СОВ – Настройки СОВ»**. Флаг **«Включить»** должен быть установлен. В поле **«Режим работы»** необходимо выбрать один из режимов работы: **СОВ** или **СПВ**.

**Система обнаружения вторжений (СОВ)** — система безопасности, предназначенная для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими. Это пассивная система, которая при обнаружении нарушения безопасности записывает файл в журнал отчёта, а также сигнализирует об этом другие подсистемы или оператора.

**Система предотвращения вторжений (СПВ)** —  система безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них. СПВ имеет активный характер: ПО может сбрасывать соединение.

<WRAP center round box 100%>

{{ :tssltd:sov_set1.png |}}
Рисунок 1 – Пункт меню **«СОВ»** и установка флага **«Включить»**
</WRAP>

</WRAP>


==== Настройка интерфейсов ====
<WRAP indent>
В разделе **«Настройки захвата трафика»** в поле **«Название интерфейса»** необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа (рис 2). Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку **«Удалить»**. В поле **«Режим работы»**  необходимо указать один из режимов: **«L2»** или **«L3»**.
 
**«L2»** - прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован. 

**«L3»** - стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка.

<WRAP center round box 100%>

{{ :tssltd:sov_set2.png |}}
Рисунок 2 – Выбор интерфейса и режима для анализа трафика
</WRAP>
</WRAP>
==== Настройка  среды ====
<WRAP indent>
В поле **«Настройка среды» - «Домашняя подсеть»** необходимо задать ip-адрес и маску подсети для домашнего сегмента сети. Для добавления ip-адреса и маски подсети необходимо нажать на кнопку **«Добавить IP адрес»**. Для удаления ip-адреса и маски подсети необходимо выделить нужную запись и нажать на кнопку **«Удалить»** (см. рисунок 3).

<WRAP center round box 100%>

{{ :tssltd:sov_set3.png |}}
Рисунок 3 – Домашние подсети
</WRAP>

Система предотвращения вторжений построена на основе того, что у нас существует два сегмента сети: внешний сегмент сети и домашний сегмент сети. По умолчанию установлен флаг **«Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей»** (см. рисунок 3). Если необходимо добавить конкретные внешние подсети, то необходимо снять этот флаг и в поле **«IP адрес/Маска подсети»** задать ip-адрес и маску подсети для внешнего сегмента сети (см. рисунок 4).

<WRAP center round box 100%>

{{ :tssltd:sov_set4.png |}}
Рисунок 4 – Внешние подсети
</WRAP>

==== Настройка Pcap ====
<WRAP indent>
Для сохранения на жесткий диск файлов в формате pcap с сетевой активностью, которая была детектирована в сетевом трафике, необходимо в настройках системы обнаружения вторжения установить флаг в разделе **«Настройки Pcap» - «Включить»** и **«Хранить Pcap файлы»** (см. рисунок 5) . В поле **«Размер памяти, резервируемый подсистемой»** необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. В поле **«Максимальный размер pcap-файла»** необходимо задать максимальный размер pcap-файла. 

На рисунке 5 мы выделили размер памяти 1 гигабайт, а размер pcap 10 мегабайт. Это значит, что в памяти может хранится ~102 pcap файла с подключениями (1 гигабайт = 1024 мегабайт,  1024 / 10 = 102 файлов). Количество подключений не может быть больше этого значения. Если количество равно максимуму, то новые подключения не будут появляться.

<WRAP center round box 100%>

{{ :tssltd:sov_set5.png |}}
Рисунок 5 – Раздел «Настройки Pcap»
</WRAP>

<del>Файлы pcap с сетевой активностью сохраняются в папку /media/storage/logs/pcap/. Для просмотра файлов необходимо подключиться к устройству по протоколу ssh и перейти в папку с помощью команду «cd /media/storage/logs/pcap/». Для просмотра файлов в папке необходимо выполнить команду ls (см. рисунок 15).</del>



</WRAP>


[[tssltd:мксз_diamond_next|Вернуться к оглавлению]]