...
| Предупреждение |
|---|
Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти. Размер этой области зависит от модели ESR:
Для всех остальных моделей – 100 МБ. Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory. |
| Scroll Pagebreak |
|---|
Рекомендуемые открытые источники обновления правил
SSL Blacklist
Чёрный список SSL (SSLBL) – это проект abuse.ch, целью которого является обнаружение вредоносных SSL-соединений путём идентификации и внесения в чёрный список SSL-сертификатов, используемых серверами управления ботнетами.
...
/blacklist/sslblacklist_tls_cert.rules – набор правил SSL-сертификатов от SSLBL используется для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка SSL-сертификата. Набор правил SSL-сертификатов генерируется каждые 5 минут. Рекомендуется запрашивать его не чаще, чем раз в 5 минут.
...
...
/blacklist/ja3_fingerprints.rules – набор правил JA3 FingerprintRuleset от SSLBL используется для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка JA3. Набор правил для отпечатков пальцев Suricata JA3 генерируется каждые 5 минут. Рекомендуется запрашивать его не чаще, чем раз в 5 минут.
| Предупреждение |
|---|
Отпечатки JA3, внесённые в чёрный список SSLBL, были собраны путём анализа более 25 000 000 PCAP-файлов с образцами вредоносного ПО. Эти отпечатки ещё не были протестированы на известном безопасном трафике и могут привести к значительному количеству ложных срабатываний. |
| Scroll Pagebreak |
|---|
Feodo Tracker
Feodo Tracker – это проект abuse.ch, целью которого является обмен информацией о серверах управления ботнетами, связанными с Dridex, Emotet (также известным как Heodo), TrickBot, QakBot (также известным как QuakBot/Qbot) и BazarLoader (также известным как BazarBackdoor).
...
...
...
...
...
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-attack_response.rules
...
Правила, детектирующие поведение хоста после успешно проведенных атак.
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-chat.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-current_events.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dns.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dos.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-exploit.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-ftp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-games.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp_info.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-imap.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-inappropriate.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-info.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-malware.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-misc.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-mobile_malware.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-netbios.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-p2p.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-policy.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-poprules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-rpc.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scada.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scan.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-shellcode.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-smtp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-sql.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-telnet.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-tftp.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-trojan.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-user_agents.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-l.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_client.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_server.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_specific_apps.rules
...
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-worm.rules
...
rules – набор правил используется для обнаружения и/или блокировки сетевых подключений к хост-серверам (комбинация IP-адреса и порта). Набор правил генерируется каждые 5 минут. Рекомендуется обновлять набор правил IDS каждые 5–15 минут, чтобы обеспечить лучшую защиту от Dridex, Emotet, TrickBot, QakBot и BazarLoader.
| Примечание |
|---|
Поскольку IP-адреса перерабатываются и используются повторно, в этот список блокировки входят только C2-серверы ботнетов, которые либо активны, либо в последний раз использовались в течение последних 30 дней. Таким образом, процент ложных срабатываний в этом списке блокировки должен быть низким. |
https://feodotracker.abuse.ch/downloads/feodotracker_aggressive.rules – набор правил IDS с полным списком всех C2-серверов ботнетов. Однако, поскольку IP-адреса используются повторно, количество ложных срабатываний в этом наборе правил намного выше.
| Предупреждение |
|---|
Не рекомендуется использовать агрессивную версию индикаторов компрометации ботнета C2 (IOC), так как она определённо вызовет ложные срабатывания. |
Travis Green
Travis Green – набор правил для поиска угроз от специалиста по кибербезопасности Тревиса Грина.
https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules
Etnetera Core
Набор правил с «агрессивными» IP-адресами от центра кибербезопасности компании Etnetera Core.
https://security.etnetera.cz/feeds/etn_aggressive.rules
Пример настройки IPS/IDS с автообновлением правил
Задача:
Организовать защиту локальной сети с автообновлением правил из открытых источников.
192.168.1.0/24 – локальная сеть.
Решение:
Создадим профиль адресов защищаемой локальной сети
Пример настройки IPS/IDS с автообновлением правил
Задача:
Организовать защиту локальной сети с автообновлением правил из открытых источников.
192.168.1.0/24 – локальная сеть.
Решение:
Создадим профиль адресов защищаемой локальной сети:
| Блок кода |
|---|
esr(config)# object-group network LAN
esr(config-object-group-network)# ip prefix 192.168.1.0/24
esr(config-object-group-network)# exit |
Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:
| Блок кода |
|---|
esr(config)# domain lookup enable
esr(config)# domain nameserver 8.8.8.8 |
Создадим политику безопасности IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips policy OFFICE
esr(config-ips-policy)# description "My Policy"
esr(config-ips-policy)# protect network-group LAN |
Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:
| Блок кода |
|---|
esr(config)# bridge 1object-group network LAN esr(config-bridge)# service-ips inline |
Настроим параметры IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips esr(config-ipsobject-group-network)# loggingip remote-serverprefix 192.168.101.10/24 esr(config-ipsobject-group-network)# logging update-interval 15 exit |
| Scroll Pagebreak |
|---|
Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:
| Блок кода |
|---|
esr(config-ips)# policy OFFICE esr(config-ips)# enable |
Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:
| Блок кода |
|---|
domain lookup enable esr(config-ips)# domain perfomance max |
| Scroll Pagebreak |
|---|
...
nameserver 8.8.8.8 |
Создадим политику безопасности IPS/IDS:
| Блок кода |
|---|
esr(config-ips)# auto-upgrade esr(config-auto-upgrade)# user-server ET-Opensecurity ips policy OFFICE esr(config-ips-upgrade-user-serverpolicy)# description "emerging threats open rulesMy Policy" esr(config-ips-upgrade-user-serverpolicy)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exitprotect network-group LAN |
Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:
| Блок кода |
|---|
esr(config)# bridge 1
esr(config-bridge)# service-ips inline |
Настроим параметры IPS/IDS:
| Блок кода |
|---|
esr(config)# security ips esr(config-auto-upgradeips)# userlogging remote-server Aggressive192.168.10.1 esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"logging update-interval 15 esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rulespolicy OFFICE esr(config-ips)# enable |
Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:
| Блок кода |
|---|
-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# perfomance max |
Настроим автообновление правил с сайтов etnetera.cz и Abuse.ch:
| Блок кода |
|---|
enable esr(config-ips-upgrade-user-server)# exitauto-upgrade esr(config-auto-upgrade)# user-server SSL-BlackListAggressive esr(config-ips-upgrade-user-server)# description "Abuse.ch SSL BlacklistEtnetera aggressive IP blacklist" esr(config-ips-upgrade-user-server)# url https://sslblsecurity.abuseetnetera.chcz/blacklistfeeds/sslblacklistetn_aggressive.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exit esr(config-auto-upgrade)# user-server C2SSL-BotnetBlackList esr(config-ips-upgrade-user-server)# description "Abuse.ch Botnet C2SSL IP Blacklist" esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklistsslblacklist_tls_cert.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# enable esr(config-ips-upgrade-user-server)# exit |
Алгоритм настройки базовых пользовательских правил
...
| Блок кода |
|---|
esr(config-ips-category-rule)# action drop |
...
Настроим сообщение об атаке:
...
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold count 23040 esr(config-ips-category-rule)# threshold second 60 esr(config-ips-category-rule)# threshold track by-dst esr(config-ips-category-rule)# threshold type both |
| Scroll Pagebreak |
|---|
Активизируем правило:
| Блок кода |
|---|
esr(config-ips-category-rule)# enable |
...
| Блок кода |
|---|
security ips policy policy0
protect network-group objectgroup0
vendor kaspersky
category MaliciousURLsDF
rules action alert
rules all
enable
exit
category MobileBotnetCAndCDF
rules action alert
rules recomended
enable
exit
category BotnetCAndCURLsDF
rules action alert
rules percent 50
enable
exit
category IPReputationDF
rules action alert
rules recomended
enable
exit
category IoTURLsDF
rules action alert
rules percent 15
enable
exit
category MaliciousHashDF
rules action alert
rules count 1
enable
exit
category MobileMaliciousHashDF
rules action alert
rules count 1
enable
exit
category PSMSTrojanDF
rules action alert
rules count 1
enable
exit
category PhishingURLsDF
rules action alert
rules count 1000
enable
exit
category RansomwareURLsDF
rules action alert
rules count 1000
enable
exit
exit
exit |
| Scroll Pagebreak |
|---|
Назначить сервису IPS-политику для работы и включить его:
...
| Блок кода |
|---|
esr(config)# object-group content-filter Black esr(config-object-group-content-filter)# vendor kaspersky-lab esr(config-object-group-cf-kaspersky)# category addictive-substances esr(config-object-group-cf-kaspersky)# category addictive-substances narcotics esr(config-object-group-cf-kaspersky)# category scam esr(config-object-group-cf-kaspersky)# category gambling casino |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esr(config)# security ips-category user-defined USER |
| Scroll Pagebreak |
|---|
Создадим правило:
| Блок кода |
|---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# description "Content-Filter Block" |
...