Използване на ips. IPS системата е съвременен инструмент за създаване на електронни архиви, системи за управление на документи, PDM и PLM. Защита на файлове с документи на работни станции

Детекторите за проникване са софтуерни или хардуерни инструменти за откриване на атаки и злонамерени дейности. Те помагат на мрежите и компютърните системи да се борят правилно. За да постигне тази цел, IDS събира информация от множество системи или мрежови източници... След това IDS го анализира за атаки. Тази статия ще се опита да отговори на въпроса: "IDS - какво е това и за какво е?"

За какво са системите за откриване на проникване (IDS).

Информационните системи и мрежи са постоянно изложени на кибератаки. Защитните стени и антивирусите очевидно не са достатъчни, за да отблъснат всички тези атаки, тъй като те са в състояние да защитят само „входната врата“ на компютърните системи и мрежи. Различни тийнейджъри, които си представят себе си като хакери, непрекъснато обикалят интернет в търсене на пропуски в системите за сигурност.

Благодарение на световна мрежате разполагат с много напълно безплатен злонамерен софтуер - всякакви злонамерени злонамерени хора, слепи хора и подобни злонамерени програми. Услугите на професионални хакери се използват от конкурентни компании, за да се неутрализират взаимно. Така че системите за откриване на проникване са задължителни. Не е изненадващо, че те се използват все повече и повече всеки ден.

IDS елементи

IDS елементите включват:

• детекторна подсистема, чиято цел е натрупване на мрежови или компютърни системни събития;
• подсистема за анализ, която открива кибератаки и съмнителна активност;
• съхранение за натрупване на информация за събития, както и резултатите от анализа на кибератаки и неразрешени действия;
• конзола за управление, с която можете да задавате IDS параметри, да наблюдавате състоянието на мрежата (или компютърната система), да имате достъп до информация за атаки и незаконни действия, открити от подсистемата за анализ.

Между другото, мнозина могат да попитат: "Как се превежда IDS?" Преводът от английски звучи като „система, която хваща горещо неканените гости“.

Основните задачи, които се решават от системите за откриване на проникване

Системата за откриване на проникване има две основни задачи: анализ и адекватен отговор въз основа на резултатите от този анализ. За да изпълни тези задачи, системата IDS изпълнява следните действия:

• следи и анализира активността на потребителите;
• проверява конфигурацията на системата и нейните слаби места;
• проверява целостта на критичните системни файлове, както и файловете с данни;
• извършва статистически анализ на състоянията на системата въз основа на сравнение с тези състояния, възникнали при вече известни атаки;
• одити операционна система.

Какво може да направи една система за откриване на проникване и какво не може

С негова помощ можете да постигнете следното:

• подобряване на параметрите на целостта;
• проследяване на активността на потребителя от момента на влизане в системата до момента на нараняване или извършване на неразрешени действия;
• разпознава и уведомява за промени или изтриване на данни;
• автоматизирайте задачите за наблюдение в Интернет, за да откриете най-новите атаки;
• идентифициране на грешки в системната конфигурация;
• да открие началото на атака и да уведоми за това.

IDS не може да направи това:

• компенсира недостатъците в мрежови протоколи;
• играе компенсаторна роля при наличието на слаби механизми за идентификация и удостоверяване в мрежите или компютърните системи, които наблюдава;
• Трябва също да се отбележи, че IDS не винаги се справя с проблемите, свързани с атаките на ниво пакет.

IPS (система за предотвратяване на проникване) - продължение на IDS

IPS означава „Превенция срещу проникване“. Това са усъвършенствани, по-функционални разновидности на IDS. IPS IDS системиреактивен (за разлика от обикновено). Това означава, че те могат не само да откриват, записват и предупреждават за атака, но и да изпълняват защитни функции. Тези функции включват прекъсване на връзките и блокиране на входящи пакети трафик. Друга отличителна черта на IPS е, че те работят онлайн и могат автоматично да блокират атаките.

IDS подтипове по метод за наблюдение

NIDS (тоест IDS, които наблюдават цялата мрежа) анализират трафика на цялата подмрежа и се управляват централно. Правилно местоположениемножество NIDS могат да постигнат мониторинг на доста голяма мрежа.

Те работят в безразборен режим (тоест проверяват всички входящи пакети, а не избирателно), сравнявайки трафика на подмрежата с известни атаки от тяхната библиотека. Когато се идентифицира атака или се открие неоторизирана дейност, до администратора се изпраща аларма. Трябва обаче да се спомене, че в голяма мрежас много трафик, NIDS понякога не успяват да проверят всички информационни пакети... Следователно има вероятност в час пик да не могат да разпознаят атаката.

NIDS (мрежово базирани IDS) са онези системи, които са лесни за интегриране в нови мрежови топологии, тъй като те нямат специален ефект върху тяхното функциониране, тъй като са пасивни. Те само улавят, записват и уведомяват, за разлика от реактивния тип IPS системи, които бяха обсъдени по-горе. Въпреки това, трябва да се каже и за мрежово базираните IDS, че това са системи, които не могат да анализират информация, която е криптирана. Това е значителен недостатък, тъй като с нарастващото приемане на виртуални частни мрежи (VPN) криптираната информация все повече се използва от киберпрестъпниците за атаки.

Освен това NIDS не може да определи какво се е случило в резултат на атаката, дали тя е причинила вреда или не. Всичко, което могат да направят, е да оправят началото му. Поради това администраторът е принуден да проверява независимо всеки случай на атака, за да се увери, че нападателите са постигнали целта си. Друг важен проблем е, че NIDS среща трудности при откриването на фрагментирани пакетни атаки. Те са особено опасни, тъй като могат да нарушат нормалната работа на NIDS. Какво може да означава това за цяла мрежа или компютърна система, не е необходимо да се обяснява.

HIDS (система за откриване на проникване на хост)

HIDS (IDS, наблюдение на хоста (хост)) обслужват само конкретен компютър. Това естествено осигурява много повече висока ефективност... HIDS анализира два вида информация: системни регистрационни файлове и резултати от одит на операционната система. Те правят моментна снимка на системните файлове и я сравняват с по-ранна моментна снимка. Ако критичните файлове за системата са променени или изтрити, тогава до администратора се изпраща аларма.

Значително предимство на HIDS е способността да върши своята работа в ситуация, в която мрежовият трафик може да бъде криптиран. Това е възможно, тъй като източниците на информация, базирани на хост, могат да бъдат създадени, преди данните да могат да бъдат криптирани или след като бъдат декриптирани на хоста местоназначение.

Недостатъците на тази система включват възможността за блокиране или дори забрана с помощта на определени видове DoS атаки. Проблемът тук е, че сензорите и някои инструменти за анализ на HIDS са разположени на хоста, който е атакуван, тоест те също са атакувани. Фактът, че HIDS използва ресурсите на хостовете, чиято работа наблюдават, трудно може да се нарече плюс, тъй като това, естествено, намалява тяхната производителност.

Подтипове IDS по методи за откриване на атаки

Методът на аномалията, методът за анализ на сигнатурите и методът на политиката – това са подтиповете на системата IDS по отношение на методите за откриване на атаки.

Метод за анализ на подписите

В този случай пакетите с данни се проверяват за подписи за атака. Сигнатурата за атака е събитие, съответстващо на един от описаните модели известна атака... Този метод е доста ефективен, тъй като рядко съобщава за фалшиви атаки.

Метод на аномалия

Той открива незаконни действия в мрежата и на хостовете. Въз основа на историята нормална работахост и мрежа, се създават специални профили с данни за него. Тогава влизат в действие специални детектори, които анализират събития. Използвайки различни алгоритми, те анализират тези събития, сравнявайки ги с „нормата“ в профилите. Липсата на необходимост от натрупване на огромен брой подписи за атака е несъмнено предимство на този метод. Въпреки това, значителен брой фалшиви сигнали за атаки по време на нетипични, но напълно легитимни събития в мрежата е несъмнен недостатък.

Метод на политика

Друг метод за откриване на атаки е методът на политиката. Същността му е в създаването на правила. мрежова сигурност, в който например може да се посочи принципът на взаимодействие на мрежите помежду си и протоколите, използвани при това. Този метод е обещаващ, но трудността се крие в доста сложния процес на създаване на политическа база.

ID Systems ще осигури надеждна защита за вашите мрежи и компютърни системи

Групата компании ID Systems днес е един от пазарните лидери в областта на създаването на системи за сигурност за компютърни мрежи. Тя ще ви осигури надеждна защитаот кибер злодеи. Със системите за сигурност на ID Systems не можете да се притеснявате за данните, които са важни за вас. Това ще ви позволи да се наслаждавате повече на живота, тъй като ще имате по-малко тревоги в душата си.

ID Systems - прегледи на служители

Отличен екип и основното, разбира се, е правилното отношение на ръководството на компанията към нейните служители. Всеки (дори и млади начинаещи) има възможност да израсне професионално. Вярно е, че за това, разбира се, трябва да се докажете и тогава всичко ще се получи.

В отбора има здравословна атмосфера. Начинаещите винаги ще бъдат научени на всичко и ще покажат всичко. Не се усеща нездравословна конкуренция. Служителите, които са в компанията от много години, с удоволствие споделят всичко технически тънкости... Те любезно, дори без сянка на снизхождение, отговарят на най-глупавите въпроси на неопитни работници. Като цяло има само приятни емоции от работата в ID Systems.

Отношението на ръководството е приятно приятно. Радващо е също, че тук явно умеят да работят с кадри, защото екипът наистина е високопрофесионален. Мнението на служителите е почти недвусмислено: те се чувстват на работа като у дома си.

Дмитрий Волков
Ръководител на разследване на ИТ инциденти, Group-IB

Съвременна разработка на IPS

Мрежовите системи за предотвратяване на проникване (IPS) могат да станат и двете ефективен инструментза хора, занимаващи се с охрана, и скъпо парче желязо, събиращо прах наоколо. За да не се превърне една IPS система в разочарование, тя трябва поне да отговаря на следните изисквания, които трябва да се имат предвид при избора й.

Системата трябва:

1. разполагат с широка гама от модели, които отговарят на изискванията както на малки регионални офиси, така и на основното предприятие с мултигигабитови мрежи;
2. поддържа не само анализ на подписите, но и анализ на аномални протоколи и, разбира се, поведенчески анализ;
3. дават ясна картина на мрежата и устройствата, свързани към нея;
4. осигуряват работа в режим IDS, извършват поведенчески анализи, разполагат с инструменти за провеждане на разследвания;
5. имат централизирано управление на инсталирани IPS/IDS системи;
6. имат добри средстваанализ за ефективно подобряване на политиките за сигурност.

IDS / IPS системите най-често се свързват там, където има критични ресурси. Но освен факта, че е необходимо да блокирате атаките срещу тези ресурси, трябва постоянно да ги наблюдавате, а именно: да знаете кои от тези ресурси са уязвими, как се променя тяхното поведение в мрежата. Следователно е необходимо да се добави допълнителна функционалност към IDS / IPS системите, което им позволява да защитават необходимите ресурси по-надеждно, като същевременно намаляват разходите за притежание. Така че защитата може да се осъществи в три фази - IPS, Adaptive IPS, Enterprise Threat Management. Функционалността на всяка следваща фаза включва всички функции от предишната фаза и се надгражда с по-нови.

Фаза 1. Можете да контролирате и/или блокирате атаки, които използват хиляди уязвимости, тоест това са стандартни IPS сензори и техните контролни центрове.

Фаза 2. Става възможно да се изследва мрежата, да се приоритизират събитията и да се автоматизира IPS конфигурацията.

Фаза 3. Пълна възможна функционалност за защита на корпоративната мрежа преди, по време и след атаката.

ETM е първото въплъщение на осъзнаването, че защитата информационни ресурси, трябва да работите по-умно, а не по-усилено. Технологично ETM е комбинация от четири технологии за управление на заплахи и уязвимости, комбинирани в едно, централно управлявано решение. В резултат на това това решение предоставя повече възможности, отколкото всеки продукт самостоятелно. Както е показано на фиг. 3, ETM се състои от система за предотвратяване на проникване (IPS), поведенчески анализработа в мрежа (NBA), контрол на достъпа до мрежата (NAC), анализ на уязвимостите (VA), комуникационна подсистема и централизирано управление.

Сравнение на производителите на IPS

На фиг. 4 показва кой от производителите на IPS системи е начело. Но, без да сме обвързани с Gartner, нека да разгледаме каква функционалност има всеки производител.

Както можете да видите, на някои липсват важни функции като проучване на ниво партида и преглед и създаване на правила. Без такива възможности понякога е напълно неразбираемо защо системата издава предупреждения и ще отнеме много време, за да се установи причината за тези предупреждения.

Липсата на механизъм за създаване на политики за съответствие също налага определени ограничения. Например, за външен одитполезно е да демонстрирате как вашите политики действително се прилагат. Допълнителни коментари са излишни, тъй като истинското състояние на нещата ще стане ясно едва след реалното внедряване в индустриалната среда.

Трябва да се помни, че осигуряването на мрежова сигурност е сложна задача и различни решения не винаги гарантират целостта на възприятието и водят до допълнителни разходи.

Кратък преглед

Cisco Systems

Надеждни решения, имат отлична поддръжка, но са трудни за конфигуриране, анализът на подписите дава много фалшиви положителни резултати, интерфейсът за управление за голям брой събития не позволява да се анализират адекватно записаните събития. За пълно функциониране са необходими допълнителни инвестиции в системата за наблюдение, анализ и реакция на Cisco (CS-MARS).

Повратна точка

Системите от този производител са лесни за конфигуриране и инсталиране. Те имат добър интерфейс за управление, но могат да бъдат свързани само в празнина, тоест без пасивно откриване. Те не позволяват разширяване на функционалността и са просто IDS / IPS система.

По време на конферентен разговор говорител на TippingPoint каза, че техният хардуер може да бъде инсталиран и забравен - и това е тяхната защитна стратегия.

Може би някой я споделя, но ми е трудно да се съглася с нея. Всяко устройство за сигурност трябва да бъде контролирано, в противен случай никога няма да получите правилната възвръщаемост от него. Например, ако някой продължи да се опитва да хакне вашия партньорски портал и той не успя да го направи първите два пъти благодарение на IPS системата, тогава третия път ще успее и без контрол върху IPS системата вие няма да разпознаете това и предотвратите по-нататъшни опити, няма да успеете.

Juniper Networks

Каквото и да пишат анализатори от Gartner или други издания, е трудно да се каже нещо добро за техните продукти. Системата е ужасно сложна за настройка. Конзолата за управление на NSM е много ограничена. Резултатите се показват по такъв начин, че изглежда, че разработчиците са се постарали да се уверят, че го гледат възможно най-малко и се надяват, че атаките наистина са отблъснати.

Sourcefire

Може би най-добрата система. Всичко е удобно. Функционалността е невероятно широка. Освен това системата вече има вградени възможности за детайлно събиране на данни за атакуващи и атакувани възли, а не само за IP и MAC адреси, което значително намалява времето за анализиране и анализиране на събития. Тази информация включва историята на връзките, отворени и след това
затворени портове, типове предавания адрес, потребителски имена, ако например е имало прехвърляне чрез FTP или електронна поща и, разбира се, самият имейл адрес. В големите мрежи може да бъде незаменимо средство за защита. Те пускат своите решения от 2001 г., но навлизат на руския пазар наскоро.

Заключение

Не си струва прилагането цяла линиянови продукти, които решават само един проблем. Статичните контроли за сигурност не могат да защитят динамична среда. Трябва да спестите време и усилия на служителите си. Нека работят по-добре, а не по-трудно. Намалете разходите за поддържане на хетерогенна среда. Намалете времето, което прекарвате в анализиране на данни от множество конзоли и отчети. Похарчете парите си разумно, преди системите за сигурност да ви струват повече от рисковете, от които се предпазвате.

В тази статия ще научите някои от широко и малко познатите характеристики на системите за предотвратяване на атаки.

Какво е система за предотвратяване на атаки

Системите за предотвратяване на проникване (IPS) са еволюция на системите за откриване на проникване (IDS). Първоначално IDS открива заплахи само чрез прослушване на трафика в мрежата и на хостовете и след това изпраща сигнали до администратора различни начини... IPS вече блокира атаките веднага щом бъдат открити, въпреки че могат да работят в IDS режим само като уведомяват за проблеми.

Понякога IPS функционалността се разбира като съвместна работа на IDS и защитната стена в едно устройство. Това често се дължи на факта, че някои IPS имат вградени правила за блокиране на пакети въз основа на адреси на източник и местоназначение. Това обаче не е защитна стена. В защитната стена блокирането на трафика зависи изцяло от способността ви да задавате правила, а в IPS - от способността на програмистите на производителя да пишат алгоритми без грешки за търсене на атаки в трафика, преминаващ през мрежата. Има и друго „подобие“: технологията на защитната стена, известна като проверка на състоянието, е много подобна на една от технологиите, използвани в IPS за идентификация на самоличността. различни връзкиедин мрежов протокол и тук се нарича следящ порт. Има много повече разлики, например защитната стена не може да открие тунелиране на един протокол към друг, но IPS може.

Друга разлика в теорията IPS сградаи защитната стена означава, че когато устройството се повреди, IPS трябва да ПРЕМИНАВА трафика, а защитната стена трябва да БЛОКИРА трафика. За да работи в подходящия режим, в IPS е вграден т. нар. байпас модул. Благодарение на него, дори ако случайно изключите захранването на IPS, трафикът ще протича свободно през устройството. Понякога IPS също е конфигуриран да блокира трафика в случай на повреда - но това са специални случаи, най-често използвани, когато две устройства се използват в режим на висока достъпност.
IPS е много по-сложно устройство от защитната стена. IPS се използва за заплахи, с които последният не е успял да се справи. IPS съдържа концентрираните познания на огромен брой експерти по сигурността, които са идентифицирали, открили модели и след това програмирали код за откриване на проблеми под формата на правила за анализиране на съдържание, пътуващо през мрежата.

IPS в корпоративните мрежи са част от многослойна защита, тъй като се интегрират с други защити: защитни стени, скенери за сигурност, системи за управление на инциденти и дори антивирусен софтуер. В резултат на това за всяка атака сега има възможност не само да я идентифицирате и след това да уведомите администратора или да я блокирате, но и да извършите пълен анализ на инцидента: събиране на пакети, идващи от нападателя, започване на разследване и премахване на уязвимостта чрез модифициране на пакета.

В комбинация с правилната системауправление на сигурността, става възможно да се контролират действията на самия мрежов администратор, който трябва не само да елиминира уязвимостта, например чрез инсталиране на корекция, но и да докладва на системата за извършената работа. Това, като цяло, донесе осезаем смисъл в работата на подобни системи. Какъв е смисълът да говорим за проблеми с мрежата, ако никой не реагира на тези проблеми и не носи отговорност за тях? Всички знаят това вечен проблем: този, който понася загуби от неизправност на компютърната система и този, който защитава тази система, са различни хора. Ако не разглеждате краен случай, например домашен компютър, свързан с интернет.

Закъснения на трафика

От една страна е добре, че стана възможно не само да се получава информация за продължаващата атака, но и да се блокира със самото устройство. Но от друга страна, системата за предотвратяване на атаки трябва да бъде инсталирана не на порта на комутатора SPAN, а да прекарва целия мрежов трафик директно през себе си защитно устройство, което неизбежно въвежда забавяне при преминаването на пакети през мрежата. И в случая с VoIP това е критично, въпреки че ако ще се защитавате срещу атаки на VoIP, тогава няма друг начин да се защитите срещу такива атаки.

По този начин една от характеристиките, по които трябва да оцените системата за предотвратяване на атаки при покупка, е количеството латентност на мрежата, което такива системи неизбежно въвеждат. По правило тази информация може да бъде получена от самия производител, но можете да прочетете проучвания от независими тестови лаборатории, например NSS. Да се ​​довериш на производителя е едно, но да провериш себе си е друго.

Брой фалшиви положителни резултати

Втората характеристика, която трябва да разгледате, е броят на фалшивите положителни резултати. Точно както се дразним от спама, фалшивите положителни резултати създават абсолютно същото впечатление на администраторите по сигурността. В крайна сметка администраторите, за да защитят психиката си, просто спират да отговарят на всички съобщения от системата и покупката му се превръща в загуба на пари. SNORT е типичен пример за система с голям брой фалшиви положителни резултати. За да конфигурирате тази система повече или по-малко адекватно на заплахите във вашата мрежа, трябва да отделите много време.

Някои системи за откриване и предотвратяване на проникване имат вградени методи за корелация, които класират атаките по тежест въз основа на информация от други източници, като например скенер за сигурност. Например, ако скенерът за сигурност види, че компютърът работи с SUN Solaris и Oracle, тогава можем да кажем със сто процента сигурност, че атаката на червей Slammer (която е насочена към MS SQL) няма да работи на този сървър. По този начин подобни корелационни системи маркират някои от атаките като неуспешни, което значително улеснява работата на администратора.

Модерност на защитните технологии

Третата характеристика са методите за откриване (и в същото време блокиране) на атаки и възможността за настройването им към изискванията на вашата мрежа. Първоначално са две различни подходи: базирани на сигнатури IPS търсят атаки въз основа на по-рано открити експлойти, докато IPS с анализ на протоколи търсят атаки въз основа на познаване на по-рано открити уязвимости. Ако напишете нов експлойт за същата уязвимост, тогава IPS от първия клас няма да го открие и блокира, но вторият клас ще открие и блокира. IPS от клас II са много по-ефективни, защото блокират цели класове атаки. В резултат на това един доставчик се нуждае от 100 подписа, за да открие всички разновидности на една и съща атака, докато друг доставчик се нуждае само от едно правило, което анализира уязвимостта на протокола или формата на данни, използвани от всички тези видове атаки. Напоследък се появи терминът превантивна защита. Той също така включва възможност за защита срещу атаки, които все още не са известни, и защита срещу атаки, които вече са известни, но производителят все още не е пуснал пач. Изобщо думата „превантивно“ е просто поредният американизъм. Има по-руски термин: "навременно" - тази защита, която работи преди да сме били хакнати или заразени, а не след това. Такива технологии вече съществуват и трябва да се използват. Попитайте производителя при покупка: какви технологии за превантивна защита използват и ще разберете всичко.

За съжаление все още няма системи, които да използват едновременно два добре познати метода за анализ на атаки: анализ на протокола (или подписа) и анализ на поведението. Следователно, за пълна защита, ще трябва да инсталирате поне две устройства в мрежата. Едно устройство ще използва алгоритми за търсене на уязвимости, използвайки сигнатури и анализ на протоколи. Други ще използват статистически и аналитични методи за анализиране на аномалии в поведението на мрежовите потоци. Сигнатурните методи все още се използват в много системи за откриване и предотвратяване на атаки, но за съжаление те не се оправдават. Те не осигуряват проактивна защита, защото се изисква експлойт за освобождаване на подписа. Защо ви е нужен подпис сега, ако вече сте били атакувани и мрежата е разбита? Сигнатурните антивируси вече не могат да се справят с новите вируси поради същата причина - реактивността на защитата. Следователно, най-модерният метод за анализ на атаки в днешно време е анализът на пълния протокол. Идеята зад този метод е, че не се анализира конкретна атака, а се търси признак за експлоатация на уязвимостта от нападателя в самия протокол. Например системата може да проследи дали преди стартиране TCP пакетс атакуващ обмен на три пакета за установяване на TCP връзка (пакети с флаговете SYN, SYN + ACK, ACK). Ако преди извършване на атака е необходимо да се установи връзка, тогава системата за анализ на протокола ще провери дали има такава и ако отиде пакет с атака без връзка, ще установи, че такава атака е неуспешна, тъй като не е имало Връзка. И системата за подпис ще даде фалшиво положително, тъй като няма такава функционалност.

Поведенческите системи работят по съвсем различен начин. Те анализират мрежовия трафик (например около седмица) и запомнят кои мрежови потоци обикновено се изпълняват. Веднага щом възникне трафик, който не съответства на запомненото поведение, става ясно, че в мрежата се случва нещо ново: например разпространението на нов червей. Освен това такива системи са свързани към центъра за актуализации и веднъж на час или по-често получават нови правила за поведение за червеи и други актуализации, например списъци с фишинг сайтове, което им позволява незабавно да бъдат блокирани, или списъци с хостове за управление на бот мрежи, което незабавно позволява откриване на инфекция.някой хост веднага щом се опита да се свърже с контролния център на ботнет и т.н.

Дори появата на нов хост в мрежата е важно събитие за поведенческата система: трябва да разберете какъв тип хост, какво е инсталирано на него, дали има уязвимости или може би самият нов хост ще бъде атакуващ . За доставчиците такива поведенчески системи са важни, защото им позволяват да проследяват промените в „товарния трафик“, защото е важно доставчикът да гарантира скоростта и надеждността на доставката на пакети и ако изведнъж сутринта се окаже, че всички трафикът преминава през един канал и не се вписва в него, а останалите Тъй като няколко канала към Интернет чрез други доставчици не се използват, това означава, че настройките са се объркали някъде и е необходимо да започнете да балансирате и преразпределяте натоварването.
За собственика малка мрежаважно е нападателите да не са навити вътре, така че мрежата да не е в черния списък като спамери, за да не задръстват нападателите целия интернет канал с боклук. Но за интернет канала и трафика трябва да плащате пари на доставчика. Всеки директор на фирма би искал навреме да открие и да спре да харчи пари за трафик, който е безполезен за бизнеса.

Анализирани протоколи и формати на данни

Ако говорим за техницикоито вземат решение за избора на система за предотвратяване на атаки, те трябва да задават въпроси относно специфичните протоколи, които системата анализира. Може би се интересувате от нещо конкретно: например анализиране на атаки в javascript или отразяване на опити sql инжекция, или DDoS атаки, или като цяло имате SCADA (система за наблюдение и управление на сензори) и трябва да анализирате протоколите на вашата специализирана система, или за вас е от решаващо значение да защитите VoIP протоколи, които вече имат уязвимости при внедряване поради тяхната сложност.
Освен това не всеки знае, че IPS събитията са не само от типа "атака", има и видове "одит" и "статус". Например IPS може да хване връзки и това е всичко. ICQ съобщения... Ако ICQ е забранен във вашата политика за сигурност, използването му е атака. Ако не, тогава можете просто да проследите всички връзки и кой комуникира с кого. Или просто деактивирайте този подпис, ако смятате, че е непрактично.

специалисти

Възниква въпросът: къде да намерят такива специалисти, които разбират какво да купуват и които след това ще знаят как да реагират на всяко съобщение на системата за предотвратяване на атаки и дори да могат да го персонализират. Ясно е, че можете да отидете на курсове за обучение как да управлявате такава система, но всъщност човек първо трябва да разбере мрежовите протоколи, а след това да мрежови атаки, а след това в методите за отговор. И няма такива курсове. Тук е необходим опит. Има компании, които предлагат аутсорсинг за управление и анализ на съобщения от конзоли за сигурност. От много години в тях работят специалисти, които разбират и дълбоко разбират сигурността на Интернет и те осигуряват ефективна защита, а вие от своя страна се отървавате от главоболието при намирането на персонал, който е запознат с цялото разнообразие от налични инструменти за защита, от VPN до антивирусна. Освен това аутсорсингът включва 24/7 мониторинг, така че защитата е пълна. И обикновено можете да наемете специалист само да работи от понеделник до петък от 9 до 18, а понякога той се разболява, учи, ходи на конференции, ходи в командировки и понякога неочаквано напуска.

Поддръжка на продукти

Важно е да се подчертае такъв момент в IPS като поддръжката на техните продукти от производителя. За съжаление все още са необходими актуализации на алгоритми, подписи и правила, тъй като технологиите и нападателите не стоят на едно място и новите класове уязвимости в новите технологии трябва постоянно да се затварят. Всяка година се откриват няколко хиляди уязвимости. Със сигурност вашият софтуер и хардуер съдържат няколко от тях. Как разбрахте за уязвимостите в тях и как се защитихте по-късно? Но имате нужда от постоянен мониторинг на уместността на защитата. Ето защо важен компоненте постоянна подкрепа защитно оборудванена когото сте поверили сигурността на вашата компания: да разполагате с професионален екип, който постоянно следи за нови уязвимости и своевременно изписва нови проверки, който сам търси уязвимости, за да изпревари нападателите. Така че, когато купувате сложна система като IPS, вижте каква поддръжка предлага производителят. Не е на място да разберем колко добре и навреме се е справил с атаките, които вече са били в миналото.

Защита срещу IPS байпас методи

Самият IPS е много труден за атака, защото няма IP адрес. (IPS се управлява чрез отделен портконтрол.) Въпреки това, има методи за заобикаляне на IPS, което му позволява да „излъже“ и да извърши атака срещу мрежите, които защитават. Популярната литература описва подробно тези методи. Например, тестовата лаборатория на NSS използва широко заобиколни решения за валидиране на IPS. За производителите на IPS е трудно да устоят на тези методи. А как производителят се справя с решенията е друго интересна характеристикасистеми за предотвратяване на атаки.

Значението на използването на IPS в корпоративните мрежи е назряло от дълго време, ново превантивни технологиикоито защитават организациите от нови атаки, вече са разработени, така че остава само да ги инсталирате и управлявате правилно. За да направи прегледа на свойствата на IPS възможно най-безпристрастен, имената на производителите не бяха специално посочени в статията.

на уебсайта на ESG Bureau и в списанието CAD and Graphics. И. Фертман - председател на Съвета на директорите на Бюрото ESG,
А. Тучков - технически директор на ESG бюро, д.м.н.,
А. Риндин - заместник търговски директор на бюрото ESG.

В своите статии служителите на Бюрото ESG многократно отразяват темата информационна поддръжкаразлични етапи кръговат на животапродукти. Времето прави своите корекции, породени от постоянното развитие на информационните технологии и необходимостта от модернизиране на внедрените решения. От друга страна, сега се наблюдава ясна тенденция към използване на софтуерни инструменти, отговарящи на изискванията на вътрешната нормативна уредба и на възприетите у нас производствени процеси. Именно тези реалности, както и натрупаният опит за автоматизиране на дейността на проектантските предприятия, ни подтикнаха да напишем тази статия.

Текущо състояние на автоматизация на дейностите по проектиране, производство и информационна поддръжка на следващите етапи от жизнения цикъл на продуктите

ESG Bureau има богат опит в внедряването на електронни архивни системи, PDM, PLM, системи за управление на инженерни данни в различни индустрии: корабостроене (Балтийски завод OJSC - Rosoboronexport, Sevmash OJSC, TsNII Ship Mechanical Engineering CJSC), машиностроене (JSC SPb "Червен октомври"). ), промишлено и гражданско строителство (PF "Soyuzproektverf", JSC "Giprospetsgaz"), ядрената индустрия (JSC "Atomproekt", JSC "Roszheldorproekt") и в много други предприятия и организации, чийто списък не е включен в цели и задачи на статията.

Подчертаваме, че реализациите са извършени на базата на използването на различни софтуерни системи: TDMS, Search, SmartPlant Fondation, Autodesk Vault и други, включително нашата собствена разработка. Използването на конкретна софтуерна среда се определя от индустрията, предстоящите предизвикателства и други фактори. Именно богатият опит, натрупан от ESG Bureau в горните области, ни позволява да очертаем общата картина на внедряването на системи за електронно архивиране, PDM и PLM системи за управление на документи в руски предприятия.

Съвременното проектиране, производствена дейност, поддръжка на експлоатацията, модернизацията и обезвреждането на продуктите не могат да се представят без използването на различни видове автоматизирани системи: CAD (CAD), CAM, PDM, системи за технологична подготовка на производството, PLM-системи. Общата картина е илюстрирана на фиг. 1.

Ориз. 1. Обща картина на автоматизацията

По правило всички изброени и неизброени инструменти за автоматизация присъстват само до известна степен, по-често на начални етапиЖизнен цикъл на продуктите - проектиране и производство. На следващите етапи от жизнения цикъл степента на информационна поддръжка на процесите понякога е изключително ниска. Ето само някои примери, типични за най-автоматизираните етапи от жизнения цикъл, илюстриращи реалната картина.

Изявленията за „внедряване на PDM или PLM технологии“ на практика често се оказват само въвеждане на електронен архив и система за управление на документи за CD и TD, TDM и нищо повече. Причини:

• „Игра на думи“ е, когато скъпа PDM система се използва за създаване на функционалността на електронен архив и документооборот на CD и TD (което често се тълкува като „въвеждане на PDM технология“, въпреки че няма такова нещо, там е само въвеждането на електронен архив и/или TDM с помощта на софтуер - PDM -системи);
• подмяна на понятия - когато в името софтуерен инструментима съкращение "PDM" или "PLM", но системата, по естеството на решаваните задачи, не е същата и отново, в най-добрия случай, решава два проблема, но по-често един от двата:
• управление на работата на дизайнерите на ниво документ, а понякога и на 3D модели,
• управление на електронния архив на CD и TD.

Ето един пример: опитът на Бюрото ESG, включително работата по създаването на модел на информационен модел на военен кораб, показа, че на етапа на жизнения цикъл на експлоатация, уви, не информацията на дизайнера и строителя е най-важното, но оперативната документация, интерактивните електронни технически ръководства (IETM). На етапа на жизнения цикъл на експлоатация е изключително необходимо да има логистична поддръжка, която позволява попълване на резервни части в най-кратки срокове. Много често нито една система, позиционирана от производителя като PLM, не решава "по подразбиране" задачите на работа, въпреки че, няма да отречем, такава система може да се използва с подходящи модификации, например за решаване на логистични проблеми . Имайте предвид, че по отношение на ефективността и интензивността на труда, изразходван за ревизия, този подход е еквивалентен на използването на счетоводна или ERP система за управление на дейностите по проектиране или текстов редактор за разработване на чертежи на дизайн.

Опитвайки се да бъдем обективни в оценките си, няма да преувеличаваме повече, а само отбелязваме:

• съвременната автоматизация на проектантските дейности, производството, поддръжката на следващите етапи от жизнения цикъл на продуктите често включва само PDM и PLM елементи;
• често въвеждането на PDM и PLM не е нищо повече от създаване на електронен архив и работен поток на CD и TD;
• Преждевременно е да се говори за пълно внедряване на PLM технологията за всички етапи от жизнения цикъл на продукта.

Причини за преминаване към нова платформа

Въпреки заключенията от предишния раздел на статията, ние отбелязваме, че много често в предприятие, където се внедряват електронен архив, процес на проектиране, автоматизирана система за технологична подготовка на производството, PDM / PLM елементи, работата без внедрените инструменти не е възможно по-дълго. Това е основният индикатор за изпълнение. В работата на нашата компания имаше случай, когато в случай на повреди, възникнали в LAN на Клиента по наша вина, сървърът на електронния архив на едно машиностроително предприятие стана недостъпен. Времето от първата повреда до първото обаждане от предприятието до нашия офис до специалистите по техническа поддръжка беше по-малко от минута. В същото време всички емоционални изявления бяха обединени от едно нещо – „без достъп до базата данни предприятието не може да работи“. Според нас това е най-значимият практически показател, който надмина всички теоретични изчисления.

Причините за преминаването към нови технологии и платформи, както и разширяването на внедрената функционалност могат да бъдат отнесени към няколко групи.

Разработване на технологии и инструменти за проектиране

Един от важните фактори за прехода към нови технологии, софтуерни решения и разширяването на внедрената функционалност на системата за управление на проектните документи, автоматизирана систематехнологична подготовка на производството, PDM / PLM елементи на етапите от работата на дизайнерите и производството - появата на триизмерни инструменти за проектиране и законодателна рамка, който определя работата с електронни модели.

Както беше посочено, в повечето случаи на "PDM и PLM реализации" идваза TDM, електронен архив и документооборот на CD и TD. Такива решения (независимо от средата, в която са построени) на практика, като правило, работят с двуизмерни CD и TD. Исторически в повечето предприятия, където са били внедрени подобни реализации, принципите и подходите за работа с двуизмерна проектна и технологична документация често са „мигрирали“ в нови системи, с някои „модернизации“ за електронни двуизмерни документи. Например, според GOST 2.501-2006 промените в електронните документи се въвеждат в новата версия. GOST 2.503-90, описващ въвеждането на промени "на хартия", ви позволява да правите промени директно в чертежа (зачертаване, изтриване (измиване), боядисване с бяло, въвеждане на нови данни) или да създавате нови документи, техните листове със замяна на оригинала, всъщност, създавайте версия. Примерът илюстрира, че "надстройките" не са толкова значими, а процедурата за работа с двуизмерен електронен документ е практически същата като работата с хартия.

Да, и самите средства за електронен архив и управление на документи на CD и TD, успешно въведени навремето, много често просто не поддържат подходи за работа с 3D модел, а по-рано въведената информационна система като правило е остаряла и не съдържа съвременни механизми за интеграция, които позволяват ефективна преработка.

Интегриране и оптимизиране на производствените процеси

Следващият фактор е интегрирането и оптимизирането на производствените процеси. Много често нашите клиенти имат законно желание да автоматизират максимално цялата производствена верига. Например, съвсем логично е, че за писане на технически процеси е полезно технологът да има достъп до резултатите от работата на дизайнера. Без съмнение бих искал да имам някаква единна интегрирана среда и изобщо няма значение как е изградена такава среда - в рамките на една или няколко системи. Основното нещо е прехвърлянето на данни от край до край между участниците в производствените процеси, използването и поддръжката на актуална информация.

Създаване на интегрирани географски разпръснати среди

Много често внедрените по-рано системи не съдържат необходимата функционалност, а вградените средства за нейното разширение не позволяват да се постигне желаното - разширяване на функционалността или организиране на необходимото интеграционно взаимодействие с други системи. Конструкторските бюра и производствените съоръжения често са географски разделени. Понякога съществуващите инструменти не отговарят на съвременните идеи за ефективна автоматизация. Например, за обмен на информация между системите в корабостроенето се използват обменни файлове (транспортни масиви). Често само COM технологията е средство за организиране на интеграционното взаимодействие. При което съвременни системиви позволяват ефективно да организирате географски разпределени бази данни, да работите с инженерни данни, да ги обменяте между отдалечени конструкторски бюра, конструкторски бюра и производство.

Икономически причини

Несъмнено при всякакви условия икономическият компонент на прехода към използването на нови платформи не е нов, но днес той има два основни компонента:

• инвестициите в нова платформа трябва да донесат икономически ползи;
• клиентите изразяват желание за намаляване на инвестициите и да не зависят от чуждестранни производители в редица индустрии.

IPS система

Поради редица причини няма да се спираме на добре познатите западни инструменти за автоматизация. В този раздел ще се опитаме да изброим решенията: системи за електронен архив на дизайна, управление на документи, PDM, PLM, наистина адаптирани към вътрешните процеси, текущата регулаторна рамка на Руската федерация за конструкторски бюра и производство, от една страна, и отчитане на текущото състояние и наличието на системи за автоматизация на проектиране, СУБД, мрежово оборудване и оперативна съвместимост, от друга страна. С горната резерва, изборът, уви, не е толкова голям - може би някой разумно ще възрази (за което сме благодарни предварително), но вътрешен пазарса видими само три решения:

• система IPS производствофирма "Интермех";
• Система LOTSMAN: PLM, произведена от Ascon;
• T¬Flex система, произведена от Top Systems.

Целта на статията в никакъв случай не е формализирано сравнение на тези три системи според принципа на "наличие или отсъствие" на определена функция. Нашият опит показва, че в повечето случаи подобен подход е силно субективен и неправилен. В тази връзка днес ще се ограничим до описанието само на една IPS система.

Обща функционалност

Системата е модулно решение, което автоматизира проектирането и производствени задачи -групова работапроектанти, процес на проектиране, внедряване на електронна архивна система, технологична подготовка на производството, организация на интеграционно взаимодействие с други системи на предприятието.

Обща структура IPS системата е показана на фиг. 2.

Ориз. 2. Обща структура на ИПС

Хетерогенност на IPS средата

Не е тайна, че преобладаващата част от тези инструменти са разработени от производителите на CAD системи. В същото време всеки производител първоначално решава маркетинговия проблем за привличане на клиенти за работа с набор от "приятели" софтуерни продукти... Впрочем тази концепция е присъща на софтуерните решения не само в областта на автоматизацията на проектантската дейност и производството и не само у нас, но изразява световна тенденция. Преди време този подход претърпя промени и днес, като правило, всеки производител на PDM / PLM системи ще даде положителен отговор на въпроса дали има софтуерно взаимодействие с CAD системи, които не са родни за него.

IPS системата трябва да се отбележи не като първоначално създадена от „родна“ CAD система за нея. Концепцията за IPS може да се характеризира с жаргонизма „всеяден“, който най-точно характеризира връзката му с инструментите за проектиране, използвани в KB. В същото време внедряването на IPS отразява преобладаващата тенденция предприятията да разполагат с разнообразни CAD системи. В същото време отбелязваме, че понякога такова „изобилие от инструменти за проектиране“ в някои случаи е само „ехо от ерата на спонтанната автоматизация“, а в някои случаи – резултат от икономически разумна политика, дължима от своя страна , до сложността и гамата на проектираните продукти. IPS работи еднакво добре със следните CAD системи:

• AutoCAD;
• Autodesk Inventor;
• BricsCAD;
• Катя;
• Pro / ИНЖЕНЕР / PTC Creo Parametric;
• Solid Edge;
• SolidWorks;
• КОМПАС-3D;
• КОМПАС-Графика.

И освен това – със системи за проектиране на печатни платки на електронни продукти (ECAD): Mentor Graphics и Altium Designer.

Опции за персонализиране на функционалността

IPS платформата ви позволява гъвкаво да персонализирате функционалността. Вградените инструменти могат да се използват за настройки (без програмиране). За да приложите същата уникална функционалност, външна средапрограмиране за писане на плъгини програми.

Важен аспект на автоматизацията на проектиране, производствени дейности, въвеждането на електронен архив, PDM / PLM-технологии в модерно предприятие е, че трябва да започнете не "с празен лист". Освен това, като правило, съхранението на информация в електронен вид (електронен архив) вече е организирано в една или друга степен и често има успешни реализации на работния процес на проектиране, PDM и PLM елементи. В по-"напреднали" случаи има единно информационно пространство, организирано е междусистемно взаимодействие. В същото време, от една страна, внедрените и успешно работещи средства изискват модернизация, свързана с прехода към нови технологии (например при въвеждане на триизмерни CAD системи). От друга страна, натрупаните по-рано бази данни, технически и организационни подходи трябва и могат да се прилагат при въвеждане на нови технологии. Например, база данни с "двуизмерна" документация за по-рано произведени продукти изобщо не губи своята актуалност при преминаване към използването на 3D-CAD системи (продуктите се експлоатират, модернизират, произвеждат отново, независимо от това как са проектирани - "на самолет" или "на хартия").

Организация на географски разпределена работа

Добавяме, че системата IPS ви позволява да прилагате географски разпръснати решения както в рамките на един етап от жизнения цикъл на продукта, например при проектиране с едно или няколко конструкторски бюра, така и в рамките на различни етапи. В този случай е възможно например да се проектира продукт с едно или няколко конструкторски бюра и отдалечен достъптехнолози от една или повече отдалечени индустрии към резултатите от работата на проектантите, автоматизация на технологичната подготовка на производството с помощта на съответните IPS модули. Механизмът за публикуване на документи и модели позволява на предприятие, отдалечено от конструкторското бюро, да прави анотации, да инициира промени, работейки в единна географски разпределена среда.

Общата структура на организацията на разпределената IPS работа е показана на фиг. 3.

Ориз. 3. Организация на географски разпределена работа на IPS

Пример за преход на KB към използване на IPS

Да дадем реален пример за превод от предварително внедрена електронна архивна система, документооборот с PDM и PLM елементи в едно от големите конструкторски бюра. Основните причини за работата:

• преминаване на проектантски отдели към триизмерен дизайн;
• отсъствие техническа възможностподдръжка на работа с 3D-CAD-системи в съществуващата система за електронен архив и документооборот на CD с PDM и PLM елементи;
• остаряла архитектура на съществуващата система и невъзможност за по-нататъшното й мащабиране;
• изисквания за географски разпръснато взаимодействие на конструкторските бюра с други конструкторски бюра и производство.

Резултати от работата:

• разработване на въпросите за миграция на данни от съществуващата система към IPS;
• проучване на проблемите на миграцията на процеси от съществуващата система към IPS;
• софтуерно решение - подсистема на интерфейсно взаимодействие между съществуващата системаи IPS, за да гарантират интегрирането на оперативната съвместимост на системите, което позволява „плавен преход“;
• формулиран е организационният компонент на прехода към използването на новата система, като се отчита оптимизирането на разходите за време и ресурси.

Първият етап - разработването на технологии и софтуерни и хардуерни решения - беше извършен върху предварително проектиран, "пилотен" продукт.

В момента, според работния график, специалистите на нашата компания изпълняват следващия етап на работа, въз основа на резултатите, получени по-рано: поддръжка за проектиране на два реални продукта на 3D-CAD системи и IPS система.

Заключение

• Често етапите на автоматизация на конструкторските бюра и предприятия, позиционирани като реални реализации на PDM / PLM технологии, представляват създаването на електронни архиви, системи за управление на документи за CD и TD, TDM (по-често за двуизмерни документи). В повечето случаи можем да говорим само за реалното внедряване на PDM и PLM елементи;
• с преминаването към триизмерно проектиране, внедрените по-рано системи за електронно архивиране и управление на документи на CD и TD, въведените елементи на PDM и PLM не винаги отговарят на новите изисквания;
• Прехвърлянето към нови платформи на електронни архиви и системи за управление на документи на CD и TD, PDM и PLM елементи не е лесна, но напълно разрешима задача, която изисква от ESG бюрото, разработено от системен подход, само частично обхванати в статията.

Библиография

1. Турецки О., Тучков А., Чиковская И., Риндин А. Ново развитиефирма InterCAD -система за съхранение на документи и 3D-модели // REM. 2014. No1.
2. Тучков А., Риндин А. За начините за създаване на системи за управление на инженерни данни // REM. 2014. No1.
3. Казанцева И., Риндин А., Резник Б. Информационна и регулаторна подкрепа за пълния жизнен цикъл на кораб. Опит на ESG Bureau // Korabel.ru. 2013. No 3 (21).
4. Тучков А., Риндин А. Проектни системи за управление на данни в областта на промишленото и гражданското строителство: нашият опит и разбиране // CAD и графики. 2013. No2.
5. Галкина О., Кораго Н., Тучков А., Риндин А. Електронната архивна система D'AR е първата стъпка към изграждане на система за управление на проектните данни // CAD и графики. 2013. бр.9.
6. Риндин А., Турецкий О., Тучков А., Чиковская И. Създаване на съхранение на 3D модели и документи при работа с 3D CAD системи // CAD и графика. 2013. бр.10.
7. Риндин А., Галкина О., Благодир А., Кораго Н. Автоматизирането на документните потоци е важна стъпка към създаването на единно информационно пространство за предприятие // REM. 2012. No4.
8. Петров В. Опит от създаването на единно информационно пространство в Санкт Петербург ОАО "Красный октомври" // CAD и графика. 2012. бр.11.
9. Малашкин Ю., Шацких Т., Юхов А., Галкина О., Караго Н., Риндин А., Фертман И. Опит в разработването на система за електронно управление на документи в Гипроспецгаз // CAD и графики. 2011. бр.12.
10. Санев В., Суслов Д., Смирнов С. Използване на информационните технологии в АД “ЦНИИ по корабостроене” // CADmaster. 2010 г. No3.
11. Воробиев А., Данилова Л., Игнатов Б., Риндин А., Тучков А., Уткин А., Фертман И., Щеглов Д. Сценарий и механизми за създаване на единно информационно пространство // CADmaster. 2010. No5.
12. Данилова Л., Шчеглов Д. Методология за създаване на единно информационно пространство за ракетно-космическата индустрия // REM. 2010 г. бр.6.
13. Галкина O.M., Ryndin A.A., Ryaben'kiy L.M., Tuchkov A.A., Fertman I.B. Електронен информационен модел на корабостроителни продукти на различни етапи от жизнения цикъл // CADmaster. 2007 г. бр.37а.
14. Ryndin A.A., Ryaben'kiy L.M., Tuchkov A.A., Fertman I.B. Технологии за осигуряване на жизнения цикъл на продуктите // Компютър-ИНФОРМ. 2005. бр.11.
15. Ryndin A.A., Ryaben'kiy L.M., Tuchkov A.A., Fertman I.B. Етапи на внедряване на IPI технологии // Корабостроене. 2005. бр.4.

Система за откриване и предотвратяване на проникване

Система за предотвратяване на проникване(IDS / IPS, Intrusion detection system / Intrusion prevention system) е предназначена за откриване, регистриране и предотвратяване на злонамерени атаки върху сървъра, интегрираните услуги (поща, уебсайт и др.) и локалната мрежа, защитена от интернет шлюза.

Правилата за блокиране на трафик включват блокиране на активността на троянски коне, шпионски софтуер, ботнети, p2p клиенти и торент-тракери, вируси, мрежи TOR(използва се за заобикаляне на правилата за филтриране), анонимизатори и много други.

Можете да конфигурирате услугата в раздела Правила - Предотвратяване на проникване:

Чрез поставяне или премахване на отметката " Активирайте IDS / IPS„можете съответно да активирате/деактивирате услугата за предотвратяване на проникване.

В полето" Списък локални подмрежи „добавете локални мрежи, обслужвани от UTM. Обикновено това са мрежи локални интерфейси UTM, а също така могат да бъдат маршрутизирани към тях мрежи от отдалечени сегменти на локалната мрежа на вашето предприятие. При никакви обстоятелства не посочвайте мрежи, принадлежащи към външни UTM мрежови интерфейси и външни мрежи.Посочените тук мрежи участват в правилата на Услугата за предотвратяване на проникване като локални, характеризиращи трафика към/от локални мрежи... Местният трафик от кръстосани сегменти не е изключен от системните проверки.

опция " Съхранявайте записи в дневника"позволява да изберете времето за съхранение на системните регистрационни файлове: 1, 2 или 3 месеца.

Когато използвате система за предотвратяване на проникване, не се препоръчва използването на вътрешни DNS сървъри за компютри в мрежата. системата анализира DNS заявките, преминаващи през нея, и идентифицира заразените устройства, които ги използват. В случай на използване на вътрешен AD домейн, се препоръчва да посочите Ideco UTM DNS сървъра като единствен DNS сървър на компютрите и да посочите зоната за пренасочване за локалния домейн в настройките на DNS сървъра за UTM.

списание

Можете да видите последните 100 реда от дневниците за предупреждения на системата за предотвратяване на проникване в дневника.

Пълните системни регистрационни файлове се намират на сървъра в директорията: / var / log / suricata

drop.log - Информация за изпуснати пакети.

fast.log - дневници с предупреждения.

suricata.log - регистрационни файлове за услуги.

Регистрите на предупрежденията показват групата (Класификация), към която принадлежи задействаното правило, идентификатора на правилото и допълнителна информация.

правила

В раздела правиласа достъпни за преглед и активиране/деактивиране на група от правила на системата за предотвратяване на проникване.

Когато активирате/деактивирате група от правила, настройките се прилагат незабавно, без да е необходимо да рестартирате услугата.

Изключения

Възможно е да деактивирате определени правила на системата за предотвратяване на проникване в случай на фалшиви положителни резултати или други причини.

В раздела „Изключения“ можете да добавите идентификатор на правилото (нейния номер, вижте пример за анализиране на регистрационни файлове по-долу).

Внимание! Идентификаторите на правилата могат да се променят с течение на времето, когато базите данни се актуализират.

Пример за анализ на лог

Пример 1

04/04 / 2017-19: 31: 14.341627 [**] ET P2P BitTorrent DHT ping заявка [**] (UDP) 10.130.0.11:20417 -> 88.81.59.137:61024

Декодиране на полета:

04/04 / 2017-19: 31: 14.341627 - дата и час на събитието.

Системно действие, Drop - пакетът е блокиран, всяка друга информация в това поле означава Предупреждение, информиране.

[1: 2008581: 3] - ID на правилото в групата (идентификаторът се съдържа между знаците ":"). Ако правилото трябва да се добави към изключенията, добавете там числото 2008581.

[**] ET CINS Active Threat Intelligence Loor Reputation IP group 3 [**] (UDP) 24.43.1.206:10980 -> 192.168.10.14:32346

За още подробен анализрегистрира от компютъра IP 192.168.10.14 в конзолата на сървъра, изпълнете командата:

grep "10.80.1.13:" /var/log/suricata/fast.log

Получаваме доста голям брой линии с блокиращи връзки към IP-адреси, класифицирани по различни категории опасност.

В резултат на софтуерен анализ бе открита и премахната рекламна програма на компютъра, на която локално инсталираната антивирусна програма не реагира.

Технически изисквания

Системите за предотвратяване на проникване изискват значителни изчислителни ресурси, за да работят. Многоядрени (4 или повече ядра) процесори са за предпочитане. Минималното количество RAM за използване на системата: 8 GB.

След като включите системата, е препоръчително да проверите дали вашият процесор има достатъчно мощност, за да провери следващия трафик през шлюза.

В гл Мониторинг - Системни ресурси... Средният параметър за натоварване (средно натоварване за 1, 5 и 15 минути) не трябва да бъде повече от броя на физическите ядра на инсталирания процесор.