TSSLTD

Система обнаружения вторжения производит анализ сетевого трафика по заранее заданным сигнатурным правилам. В случае обнаружения подозрительной сетевой активности – это событие регистрируется в журнале событий и производится запись pcap файла, который включает в себя информацию об инциденте информационной безопасности.

Для включения системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – СОВ» и установить флаг «Включить» (см. рисунок 1). Для сохранения настроек необходимо нажать на кнопку «Сохранить».

Рисунок 1 – Пункт меню «СОВ» и установка флага «Включить»

Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – СОВ». Флаг «Включить» должен быть установлен. В поле «Режим работы» необходимо выбрать один из режимов работы. В поле «Первичный интерфейс» необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа. В поле «вторичный интерфейс» необходимо выбрать один из сетевых интерфейсов, на который необходимо отправить сетевой трафик после анализа. Если устройству требуется только анализ сетевого трафика и не требуется его перенаправлять дальше, то в поле «Вторичный интерфейс» необходимо установить значение «Выключено» (см. рисунок 2).

Рисунок 2 – Пункт меню «СОВ» и положение поля «Вторичный интерфейс»

Система обнаружения вторжений позволяет прослушивать одновременно несколько сетевых интерфейсов. Для добавления дополнительного сетевого интерфейса (см. рисунок 3), на котором будет происходить анализ сетевого трафика, необходимо нажать на кнопку «Добавить интерфейс». В поле «Первичный интерфейс» необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа. В поле «вторичный интерфейс» необходимо выбрать один из сетевых интерфейсов, на который необходимо отправить сетевой трафик после анализа. Если устройству требуется только анализ сетевого трафика и не требуется его перенаправлять дальше, то в поле «Вторичный интерфейс» необходимо установить значение «Выключено».

Рисунок 3 – Пункт меню «СОВ» и положение поля «Первичный интерфейс»

Для сохранения настроек необходимо нажать на кнопку «Сохранить». Если необходимо удалить сетевой интерфейс, на котором происходит анализ сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку «Удалить» (см. рисунок 4). В поле «IP адрес/Маска подсети» необходимо задать ip-адрес и маску подсети для домашнего сегмента сети.

Рисунок 4 – Положение поля «IP адрес/Маска подсети»

Для добавления ip-адреса и маски подсети необходимо нажать на кнопку «Добавить IP адрес». Для удаления ip-адреса и маски подсети необходимо выделить нужную запись и нажать на кнопку «Удалить» (см. рисунок 5).

Рисунок 5 – Положение поля «Добавить IP адрес» и поля «Удалить»

Система обнаружения вторжений построена на основе того, что у нас существует два сегмента сети: внешний сегмент сети и домашний сегмент сети. По умолчанию установлен флаг «Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей» (см. рисунок 6). Если необходимо добавить конкретные внешние подсети, то необходимо снять этот флаг и в поле «IP адрес/Маска подсети» задать ip-адрес и маску подсети для внешнего сегмента сети (см. рисунок 7). Для сохранения настроек необходимо нажать на кнопку «Сохранить».

Рисунок 6 – Положение флага «Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей»

Рисунок 7 – Положение поля «IP адрес/Маска подсети»

Для настройки системы предотвращения вторжений необходимо в главном меню выбрать пункт «СОВ – СОВ». Флаг «Включить» должен быть установлен. В поле «Режим работы» необходимо выбрать режим “СПВ”. В поле «Первичный интерфейс» необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа. В поле «вторичный интерфейс» необходимо выбрать один из сетевых интерфейсов, на который необходимо отправить сетевой трафик после анализа. Необходимо обратить внимание, что в режиме предотвращения вторжений устройство должны быть подключено в разрыв канала передачи данных. Если в режиме «СПВ» задать только «Первичный интерфейс», то система автоматически перейдет в режим работы обнаружения вторжений (см. рисунок 8).

Рисунок 8 – Пункт меню «СОВ» и положение поля «Вторичный интерфейс»

Система предотвращения вторжений позволяет прослушивать одновременно несколько сетевых интерфейсов. Для добавления дополнительного сетевого интерфейса (см. рисунок 9), на котором будет происходить анализ и блокировка сетевого трафика, необходимо нажать на кнопку «Добавить интерфейс». В поле «Первичный интерфейс» необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа. В поле «вторичный интерфейс» необходимо выбрать один из сетевых интерфейсов, на который необходимо отправить сетевой трафик после анализа и блокировки.

Рисунок 9 – Пункт меню «СОВ» и положение поля «Первичный интерфейс»

Для сохранения настроек необходимо нажать на кнопку «Сохранить». Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку «Удалить» (см. рисунок 10). В поле «IP адрес/Маска подсети» необходимо задать ip-адрес и маску подсети для домашнего сегмента сети.

Рисунок 10 – Положение поля «IP адрес/Маска подсети»

Для добавления ip-адреса и маски подсети необходимо нажать на кнопку «Добавить IP адрес». Для удаления ip-адреса и маски подсети необходимо выделить нужную запись и нажать на кнопку «Удалить» (см. рисунок 11).

Рисунок 11 – Положение поля «Добавить IP адрес» и поля «Удалить»

Система предотвращения вторжений построена на основе того, что у нас существует два сегмента сети: внешний сегмент сети и домашний сегмент сети. По умолчанию установлен флаг «Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей» (см. рисунок 12). Если необходимо добавить конкретные внешние подсети, то необходимо снять этот флаг и в поле «IP адрес/Маска подсети» задать ip-адрес и маску подсети для внешнего сегмента сети (см. рисунок 13). Для сохранения настроек необходимо нажать на кнопку «Сохранить».

Рисунок 12 – Положение флага «Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей»

Рисунок 13 – Положение поля «IP адрес/Маска подсети»

Для сохранения на жесткий диск файлов в формате pcap с сетевой активностью, которая была детектирована в сетевом трафике, необходимо в настройках системы обнаружения вторжения установить флаг «Хранить pcap» (см. рисунок 14). В поле «Размер хранилища (% диска)» необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. При достижении этого разрешенного объема будет происходить процесс ротации. В процессе ротации старые записи будут удаляться и заменяться новыми.

Рисунок 14 – Настройки Pcap

Для сохранения настроек необходимо нажать на кнопку «Сохранить». Файлы pcap с сетевой активностью сохраняются в папку /media/storage/logs/pcap/. Для просмотра файлов необходимо подключиться к устройству по протоколу ssh и перейти в папку с помощью команду «cd /media/storage/logs/pcap/». Для просмотра файлов в папке необходимо выполнить команду ls (см. рисунок 15).

Рисунок 15 – Команда «ls»

Для отправки файлов с сетевой активностью pcap необходимо установить флаг «Сетевой бэкап» (см. рисунок 16). В поле «Тип сервера» необходимо выбрать тип сервера, в поле «Адрес сервера» необходимо задать адрес сервера и папку. Для задания аутентификации необходимо установить флаг «Использовать аутентификации». В поле «Параметры аутентификации» необходимо задать имя пользователя и пароль. Для сохранения настроек необходимо нажать на кнопку «Сохранить».

Рисунок 16 – Положение флагов «Сетевой бэкап», «Адрес сервера» и «Использовать аутентификации».

Для отправки полного сообщения системы обнаружения вторжений на удаленный сервер, которое включает все поля, необходимо установить флаг «Добавлять Payload» (см. рисунок 17).

Рисунок 17 – Настройка формата сообщения для удаленного сервера

Для отправки сокращенного сообщения на удаленный сервер, которое не включает значение поля payload и сетевого пакета необходимо убрать флаг «Добавить Payload» (см. рисунок 18). Для сохранения настроек необходимо нажать на кнопку «Сохранить».

Рисунок 18 – Настройка формата сообщения для удаленного сервера без значений поля payload и сетевого пакета

Для настройки обновления системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – Настройка сигнатур» (см. рисунок 19).

Рисунок 19 – Пункт меню «СОВ» и поле «Настройка сигнатур»

Для автоматического обновления правил необходимо нажать на кнопку «Обновить сигнатуры» (см. рисунок 20). Для обновления необходимо обеспечить сетевой доступности до сервера с обновлениями, DNS сервер на устройстве должен быть настроен.

Рисунок 20 – Положение кнопки «Обновить сигнатуры»

Для обновления правил через файл необходимо нажать на кнопку «Загрузить файл», в проводнике необходимо выбрать файл с правилами, который можно скачать на официальном сайте. В случае успешного обновления правил на экран будет выведено сообщение «Сигнатуры успешно обновлены» (см. рисунок 21).

Рисунок 21 – Сообщение «Сигнатуры успешно обновлены»

В случае неудачного обновления правил на экран будет выведено сообщение «Произошла ошибка при обновлении сигнатур» (см. рисунок 22).

Рисунок 22 – Сообщение «Произошла ошибка при обновлении сигнатур»

Для обновления системы обнаружения вторжений через прокси сервер необходимо осуществить настройку прокси сервера. Для настройки прокси сервера необходимо в главном меню выбрать пункт «Сетевые настройки – Настройки Прокси» (см. рисунок 23). В таблице «Настройки Прокси» необходимо установить флаг «Включить».

Рисунок 23 – Настройка прокси сервера

В поле «Тип прокси» необходимо выбрать из выпадающего меню тип прокси сервера, в поле «Адрес прокси» необходимо задать ip-адрес прокси сервера и сетевой порт для подключения (см. рисунок 24).

Рисунок 24 – Настройка сетевого адреса для прокси сервера

Для задания параметров аутентификации для прокси сервера необходимо установить флаг «Использовать аутентификацию». В поле «Данные аутентификации» необходимо ввести логин и пароль (см. рисунок 25).Для сохранения настроек необходимо нажать на кнопку «Сохранить».

Рисунок 25 – Настройка параметров аутентификации для прокси сервера

По умолчанию система обнаружения вторжений использует около 18 тысяч сигнатурных правил для анализа сетевого трафика. В некоторых случаях необходимо создавать персональные правила, которые будут детектировать сетевые атаки, которые не входят в перечень по умолчанию. Для создания персональных правил необходимо подключиться к устройству по протоколу ssh. Для перехода в папку с правилами необходимо выполнить команду «cd /etc/suricata/rules/». Для редактирования файла с правилами необходимо выполнить команду «nano custom.rules». После создания собственных правил необходимо сохранить изменения. Для сохранения настроек необходимо нажать комбинацию клавиш «Ctrl + X», на вопрос о сохранении изменения ответь «Yes» и нажать на клавишу «Enter». Проверить, что настройки сохранены можно с помощью команды «cat custom.rules». Для вступления персональных правил в силу необходимо перезапустить систему обнаружения вторжений.