Система обнаружения вторжений (СОВ)

Введение

Система обнаружения вторжений (СОВ) позволяет детектировать сетевые атаки и предотвращать угрозы, включая защиту сетевых устройств.

СОВ производит анализ трафика, используя набор правил (базу данных уязвимостей), который содержит более 100 000 сигнатур - шаблонов вредоносного трафика. Система также позволяет настраивать уникальные пользовательские правила, которые могут производить анализ пакетов на уровнях L3 – L7.

К системе обнаружения вторжений можно отнести два режима работы:

IDS – система анализирует трафик, сравнивая с базой данных уязвимостей, и сигнализирует о наличие вредоносного трафика;
IPS – система не только анализирует и сигнализирует, но и предотвращает прохождение вредоносного трафика.

Важно

Система обнаружения вторжений является отдельным модулем операционной системы REFOS и распространяется только по лицензии

Общие сведения режимов работы IDS/IPS

IDS (Intrusion Detection System), или система обнаружения вторжений – основной задачей которой является обнаружение и регистрация атак, а также оповещение при срабатывании определённого правила. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS анализирует данные до уровня приложения (до седьмого уровня OSI).

IDS позволяет:

Выявлять различные виды сетевых атак;
Обнаруживать попытки неавторизованного доступа или повышения привилегий;
Обнаруживать появление вредоносного ПО;
Отслеживать открытие нового порта и т.д.

IPS (Intrusion Prevention System), или система предотвращения вторжения – в данном случае система не только производит обнаружение и регистрацию атак, а также предпринимает самостоятельные действия – Разрешить или Запретить прохождение трафика, параметры которого соответствуют сигнатурам базы данных правил.

Механизм обработки трафика системой обнаружения вторжения

Принцип работы системы обнаружения вторжения заключается в следующем – трафик после получения интерфейсом системы, анализируется установленными пользователем правилами. Анализ трафика может производиться на уровнях L3 - L7.

Если параметры трафика совпадают с сигнатурами правил, система предпринимает следующие действия:

Сигнализирует и журналирует обнаруженные угрозы;
Разрешает или запрещает прохождение трафика в зависимости от конфигурации системы.

После обработки трафика, если прохождение разрешено, производится обработка правилами фильтрации межсетевого экрана. Если прохождение запрещено, трафик блокируется системой.

Механизм обработки трафика системой обнаружения вторжения представлен на рисунке

../../../../_images/one15.png — Механизм обработки трафика системой обнаружения вторжения

Наборы правил IDS/IPS

Система обнаружения вторжений в базовой версии имеет следующий набор правил:

RTT (abuse.ch)/Feodo Tracker - набор правил содержит список управляющих серверов для троянской программы Feodo. Feodo (также известный как Cridex или Bugat) используется злоумышленниками для кражи чувствительной информации в сфере электронного банкинга (данные по кредитным картам, логины/пароли) с компьютеров пользователей. В настоящее время существует четыре версии троянской программы (версии A, B, C и D), главным образом отличающиеся инфраструктурой управляющих серверов;
RTT (abuse.ch)/SSL Fingerprint Blacklist, SSL IP Blacklist, SSL IP Blacklist Aggressive - набор правил содержит списки вредоносных SSL сертификатов, т.е. сертификатов, в отношении которых установлен факт их использования вредоносным ПО и ботнетами. В списках содержатся SHA1 отпечатки публичных ключей из SSL сертификатов;
RTT ET open/botcc, RTT ET open/botcc.portgrouped - набор правил содержит список известных ботнетов и управляющих серверов. Источники: Shadowserver.org, Zeus Tracker, Palevo Tracker, Feodo Tracker, Ransomware Tracker;
RTT ET open/ciarmy - набор правил содержит список вредоносных хостов по классификации проекта www.cinsarmy.com;
RTT ET open/compromised – набор правил содержит список известных скомпрометированных и вредоносных хостов. Источники: Daniel Gerzo’s BruteForceBlocker, The OpenBL, Emerging Threats Sandnet, SidReporter Projects;
RTT ET open/drop - набор правил содержит список спамерских хостов / сети по классификации проекта www.spamhaus.org;
RTT ET open/dshield - набор правил содержит список вредоносных хостов по классификации проекта www.dshield.org;
RTT ET open/emerging-activex – набор правил содержит список сигнатур использования ActiveX-контента;
RTT ET open/emerging-adware_pup - набор правил содержит список сигнатур вирусов семейства PUP;
RTT ET open/emerging-attack_response - набор правил, детектирующие поведение хоста после успешно проведенных атак;
RTT ET open/emerging-chat - набор правил описывают признаки обращения к популярным чатам;
RTT ET open/emerging-coinminer - набор правил содержит список сигнатур вирусов семейства COINMINER;
RTT ET open/emerging-current_events - набор временных правил, ожидающие возможного включения в постоянные списки правил;
RTT ET open/emerging-dns - набор правил содержит сигнатуры уязвимостей в протоколе DNS, признаки использования DNS вредоносным ПО, некорректного использования протокола DNS;
RTT ET open/emerging-dos - набор правил содержит сигнатуры DOS-атак;
RTT ET open/emerging-exploit - набор правил содержит сигнатуры эксплойтов;
RTT ET open/emerging-ftp - набор правил содержит сигнатуры уязвимостей в протоколе FTP, признаки некорректного использования протокола FTP;
RTT ET open/emerging-games - набор правил описывает признаки обращения к популярным игровым сайтам: World of Warcraft, Starcraft и т.п;
RTT ET open/emerging-icmp - набор правил содержит сигнатуры некорректного использования протокола ICMP;
RTT ET open/emerging-icmp_info - набор правил содержит сигнатуры информационных ICMP-сообщений;
RTT ET open/emerging-imap - набор правил содержит сигнатуры уязвимостей в протоколе IMAP, признаки некорректного использования протокола IMAP;
RTT ET open/emerging-inappropriate - набор правил описывает признаки обращения к нежелательным ресурсам;
RTT ET open/emerging-info - набор правил содержит сигнатуры различных уязвимостей;
RTT ET open/emerging-malware - набор правил содержит сигнатуры вредоносного ПО, использующего в своей работе протокол HTTP;
RTT ET open/emerging-misc - набор правил содержит сигнатуры различных уязвимостей;
RTT ET open/emerging-mobile_malware - набор правил содержит сигнатуры вредоносного ПО для мобильных платформ;
RTT ET open/emerging-netbios - набор правил содержит содержит сигнатуры уязвимостей в протоколе NetBIOS, признаки некорректного использования протокола NetBIOS;
RTT ET open/emerging-p2p - набор правил описывает признаки обращения к P2P-сетям (Bittorrent, Gnutella, Limewire);
RTT ET open/emerging-policy - набор правил описывает нежелательную сетевую активность (обращение к MySpace, Ebay);
RTT ET open/emerging-pop3 - набор правил содержит сигнатуры уязвимостей в протоколе POP3, признаки некорректного использования протокола POP3;
RTT ET open/emerging-rpc - набор правил содержит сигнатуры уязвимостей в протоколе RPC, признаки некорректного использования протокола RPC;
RTT ET open/emerging-scada - набор правил содержит сигнатуры уязвимостей для SCADA-систем;
RTT ET open/emerging-scan - набор правил описывает признаки активности, связанной с сетевым сканированием (Nessus, Nikto, portscanning);
RTT ET open/emerging-shellcode - набор правил описывает признаки активности, связанной с попытками получить шелл-доступ в результате выполнения эксплойтов;
RTT ET open/emerging-smtp - набор правил содержит сигнатуры уязвимостей в протоколе SMTP, признаки некорректного использования протокола SMTP;
RTT ET open/emerging-snmp - набор правил содержит сигнатуры уязвимостей в протоколе SNMP, признаки некорректного использования протокола SNMP;
RTT ET open/emerging-sql - набор правил содержит сигнатуры уязвимостей для СУБД SQL;
RTT ET open/emerging-telnet - набор правил содержит сигнатуры уязвимостей для протокола telnet, признаки некорректного использования протокола telnet;
RTT ET open/emerging-tftp - набор правил содержит сигнатуры уязвимостей для протокола TFTP, признаки некорректного использования протокола TFTP;
RTT ET open/emerging-user_agents - набор правил содержит признаки подозрительных и потенциально опасных HTTP-клиентов (идентифицируются по значениям в HTTP-заголовке User-Agent);
RTT ET open/emerging-web_client - набор правил содержит сигнатуры уязвимостей для WEB-клиентов;
RTT ET open/emerging-web_server - набор правил содержит сигнатуры уязвимостей для WEB -серверов;
RTT ET open/emerging-web_specific_apps - набор правил содержит сигнатуры уязвимостей для WEB -приложений;
RTT ET open/emerging-worm - набор правил описывает признаки активности сетевых червей.

Набор правил, который распространяется по дополнительной лицензии:

Kaspersky Suricata Rules – комплексный набор правил для системы обнаружения и предотвращения вторжений, разработанный «Лабораторией Касперского» для обнаружения новейших и наиболее совершенных угроз с целью защиты пользователей решений компании. Общее количество правил составляет около 5 000.

Kaspersky Suricata Rules предназначены для обнаружения угроз из следующих категорий:

APT (таргетированные угрозы);
Botnet C&C (центры управления ботнетами);
Банковские трояны и средства похищения персональных данных;
DNS-туннели;
Программы-вымогатели;
Эксплоиты;
Хакерские инструменты;
Крипто-майнеры.

Совет

Список доступных пользователю правил системы обнаружения вторжения находится в разделе Службы - Обнаружение вторжений – Администрирование на вкладке Обновление правил

Описание параметров конфигурации СОВ

Конфигурирование параметров системы обнаружения вторжения производится в разделе Службы - Обнаружение вторжений - Администрирование в соответствии с таблицей.

Описание параметров конфигурации СОВ
Параметр	Описание
Включить	Запуск основного режима работы системы обнаружения вторжений - IDS
Режим IPS	Запуск режима работы системы предотвращения вторжений - IPS
Включить обработку пакетов, назначенных этому устройству (IPS)	По умолчанию системой обнаружения вторжений обрабатываются только транзитные пакеты. Активации параметра позволяет системе обнаружения вторжений производить обработку входящих пакетов, предназначенных только системе
Enable filter rules (IPS)	Задать механизм обработки трафика системой обнаружения вторжений: * Не использовать правила – в первую очередь трафик обрабатывается системой обнаружения вторжений, далее система производит обработку правилами фильтрации * Использовать правила - в первую очередь трафик обрабатывается правилами фильтрации межсетевого экрана, далее система производит обработку системой обнаружения вторжений
Неразборчивый режим	Активация данного режима позволяет системе анализировать трафик с любым MAC-адресом получателя, отличным от MAC-адреса входящего интерфейса
Сравнение маршрутов	Обработка трафика с учетом использования алгоритма Aho-Corasick. Вариации алгоритма влияют на производительность обработки трафика
Интерфейсы	Выбор интерфейса, на котором будет производиться анализ трафика
Домашние сети	Задать зону источника трафика в виде списка IP-адресов источника трафика
Размер пакета по умолчанию	Задать размер обрабатываемого пакета. Размер обрабатываемого пакета влияет на производительность системы. Размер пакета по умолчанию - 1514 байт
Полезная нагрузка пакета журнала	Журналирование полезной нагрузки пакета при попадании трафика под условия правил IDS/IPS

Стандартная настройка системы обнаружения вторжения в режиме IDS/IPS

Стандартная конфигурация СОВ включает основные параметры для анализа проходящего трафика.

Для конфигурации СОВ необходимо перейти на вкладку Настройки раздела Службы - Обнаружение вторжений – Администрирование и произвести следующие настройки:

Произвести запуск основного режима IDS параметром Включен;
в случае необходимости, активация режима IPS производится параметром Режим IPS;

Важно

Режим IPS функционирует только при запущенном режиме IDS

Задать механизм обработки трафика системой обнаружения вторжений - Использовать правила;
Задать интерфейс в поле параметра Интерфейсы, на котором будет производиться анализ входящего трафика;
Перейти в расширенный режим и поле параметра Домашние сети и указать адрес сети зоны источника трафика.

Стандартная конфигурация системы обнаружения вторжений представлена на рисунке.

../../../../_images/two17.png — Стандартная конфигурация системы обнаружения вторжений представлена на рисунке.

На вкладке Обновление правил произвести выбор необходимых наборов правил, представленных на рисунке.

../../../../_images/tri12.png — Список доступных правил

После сохранения данной конфигурации модуль СОВ операционной системы REFOS начнет анализировать и детектировать весь входящий трафик на заданный конфигурацией интерфейс.

Предупреждения система транслирует на вкладку Предупреждения.

../../../../_images/four11.png — Вкладка **Предупреждения**

Пользовательские правила системы обнаружения вторжений

Функциональный модуль СОВ операционной системы REFOS позволяет использовать не только готовый набор правил детектирования, а также производить конфигурацию пользовательских правил детектирования.

Пользовательские правила состоят из следующих параметров:

Действие (Action) – параметр, который определяет, что необходимо делать с трафиком при совпадении его параметров с параметрами правил детектирования;
Заголовок (Header) – ряд параметров, которые определяют в правиле детектирования протоколы, IP-адреса, порты и направление детектирования трафика;
Опции правила детектирования – определяет ряд параметров полезной нагрузки пакета.

Пример пользовательского правила детектирования показан на рисунке.

../../../../_images/five10.png — Пример пользовательского правила детектирования

В данном примере:

Зеленым текстом выделен ряд параметров Заголовка (Header);
Синим текстом выделены Опции правила детектирования.

Описание основных параметров пользовательских правил системы обнаружения вторжений

Параметр Действие (Action)

Допустимые значения параметра Действие (Action):

Предупреждать – генерировать предупреждение;
Отбрасывать - прекратить дальнейшую проверку пакета;
Разрешать - отбросить пакет и генерировать предупреждение;

Значения параметра Заголовок

Протокол;

Допустимые значения представлены в таблице.

Основные параметры фильтрации
Значения
tcp dns nfs tftp udp dcerpc ikev2 sip icmp ssh krb5 http2 ip smtp ntp http imap dhcp ftp Modbus rfb tls (включая ssl) dnp3 rdp smb enip snmp

IP-адреса отправителя и получателя;

../../../../_images/seven7.png — IP-адреса отправителя и получателя

Первая выделенная часть - $HOME_NET является источником, вторая — $EXTERNAL_NET пунктом назначения (обратите внимание на направление стрелки направления). С помощью данных значений можно назначать IP-адреса и диапазоны IP-адресов, а также комбинировать значения с операторами в соответствии с таблицей.

Параметры для комбинирования
Оператор	Описание
../..	Диапазон IP-адресов
!	Исключить IP-адрес или диапазон
[.., ..]	Группа IP-адресов
any	Любой IP-адрес

Пример пользовательского правила с параметрами IP-адреса Отправителя и получателя показан на рисунке .

../../../../_images/eit5.png — Пример пользовательского правила с параметрами **IP-адреса Отправителя и получателя**

Порты отправителя и получателя;

../../../../_images/nine4.png — Порты отправителя и получателя

Первая выделенная часть - any является портом источника, вторая — any портом назначения. С помощью данных значений можно назначать порты и диапазоны портов, а также комбинировать значения с операторами в соответствии с таблицей.

Параметры для комбинирования
Оператор	Описание
../..	Диапазон портов
!	Исключить порт или диапазон портов
[.., ..]	Группа портов
any	Любой порт

Пример пользовательского правила с параметрами портов отправителя и получателя показан на рисунке.

../../../../_images/ten4.png — Пример пользовательского правила с параметрами **портов отправителя и получателя**

Направление;

../../../../_images/eleven3.png — Направление

Позволяет задать направление трафика от отправителя до получателя. Т.е. при использовании значения - ( -> ) будут анализироваться пакеты инициированные отправителем в сторону получателя.

Также возможно анализировать пакеты в обе стороны (особенно актуально для TCP-соединения) при помощи значения – (< >).

Например, при данных значениях:

udp 20.0.0.1 any -> 40.0.0.0/24 any - будут анализироваться только пакеты инициированные отправителем с IP-адресом 20.0.0.1 в сторону получателя сети 40.0.0.0/24;
udp 20.0.0.1 any <> 40.0.0.0/24 any - будут анализироваться пакеты инициированные отправителем с IP-адресом 20.0.0.1 в сторону получателя сети 40.0.0.0/24, а также в обратно направлении.

Важно

Направление с таким значением – ( <- ) не существует

Опции правила детектирования

Остальная часть правила состоит из опций. Они заключаются в круглые скобки и разделяются точкой с запятой. Некоторые параметры имеют значение (например, msg), которые определяются ключевым словом параметра, за которым следует двоеточие, а затем параметры. Другие не имеют настроек и представляют собой просто ключевое слово (например, nocase).

../../../../_images/twelve3.png — Опции правила детектирования

Параметры правила имеют определенный порядок, и изменение их порядка изменит значение правила.

Важно

Символы ; и « имеют особое значение в языке правил и должны быть исключены при использовании в значении параметра правила

Совет

Например: msg:»Message with semicolon;»;

Важно

Также необходимо избегать обратной косой черты, поскольку она функционирует как escape-символ

Пример конфигурации системы обнаружения вторжений с использованием пользовательских правил детектирования

Произвести запуск основного режима IDS параметром Включен;
в случае необходимости активация режима IPS производится параметром Режим IPS;
Задать механизм обработки трафика системой обнаружения вторжений - Использовать правила;
Задать интерфейс в поле параметра Интерфейсы, на котором будет производиться анализ входящего трафика;

Конфигурация СОВ показана на рисунке.

../../../../_images/trinad3.png — Конфигурация СОВ

На вкладке Пользовательские задать пользовательские правила детектирования. Например, необходимо детектировать трафик с заданными параметрами.

Заданные параметры
Протокол	IP-адрес отправителя	IP-адрес получателя
UDP	20.0.0.1	40.0.0.1
UDP	20.0.0.3	40.0.0.3

На вкладке Пользовательские создается пользовательское правило детектирования символом plus .

В окне Описание правила задать следующие параметры:

Параметром Включен произвести активацию правила детектирования;
В параметре Тип выбрать значение Пользовательские;
В поле параметра User defined rule задать правило детектирования;
В параметре Действие выбрать;
В параметре Описание задать общее описание правила детектирования.

../../../../_images/fiveteen2.png — Первое пользовательское правило детектирования

../../../../_images/sixteen3.png — Второе пользовательское правило детектирования

После сохранения конфигурации пользовательских правил детектирования, результаты анализа трафика данными правилами представлены на вкладке Предупреждения и показан на рисунке.

../../../../_images/seventeen3.png — Результат анализа трафика на вкладке **Предупреждения**

DHCP

Маршрутизация