Table of Contents
Загрузка сигнатур системы обнаружения вторжения
Для загрузки правил системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – Настройка сигнатур» (см. рисунок 1).
Рисунок 1 – Пункт меню «СОВ» и поле «Настройка сигнатур»
Для обновления правил через файл необходимо нажать на кнопку «Обзор», в проводнике необходимо выбрать файл с правилами, который можно скачать на официальном сайте. В случае успешного обновления правил появится список сигнатур. (см. рисунок 2).
Рисунок 2 – Список сигнатур
В случае неудачного обновления правил на экран будет выведено сообщение «Не получилось получить правила IDS из файла» (см. рисунок 3).
Рисунок 3 – Неудачное обновление сигнатур
Выбор категории фильтрации
В разделе «СОВ – Настройка сигнатур» есть возможность выбрать, какие атаки будет детектировать СОВ. Чтобы СОВ детектировал атаку, нужно установить флаг на определенном типе атаки. Если флаг не стоит, атака не будет обнаруживаться (см. рисунок 4).
Рисунок 4 – Выбор атака для обнаружения
Создание собственных правил с сигнатурами
По умолчанию система обнаружения вторжений использует около 30 тысяч сигнатурных правил для анализа сетевого трафика. В некоторых случаях необходимо создавать персональные правила, которые будут детектировать сетевые атаки, которые не входят в перечень по умолчанию. Для создания персональных правил необходимо подключиться к устройству по протоколу ssh. Для перехода в папку с правилами необходимо выполнить команду «cd /etc/suricata/rules/». Для редактирования файла с правилами необходимо выполнить команду «nano custom.rules». После создания собственных правил необходимо сохранить изменения. Для сохранения настроек необходимо нажать комбинацию клавиш «Ctrl + X», на вопрос о сохранении изменения ответь «Yes» и нажать на клавишу «Enter». Проверить, что настройки сохранены можно с помощью команды «cat custom.rules». Для вступления персональных правил в силу необходимо перезапустить систему обнаружения вторжений.