Сравнение версий

Старая версия 21

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

  • ESR-1X – 25 МБ;
  • ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил или использовать внешнее хранилище.

Scroll Pagebreak

Рекомендуемые открытые источники обновления правил

SSL Blacklist

Чёрный список SSL (SSLBL) – это проект abuse.ch, целью которого является обнаружение вредоносных SSL-соединений путём идентификации и внесения в чёрный список SSL-сертификатов, используемых серверами управления ботнетами.

https://sslbl.abuse.ch

...

/blacklist/sslblacklist_tls_cert.rules – набор правил SSL-сертификатов от SSLBL используется для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка SSL-сертификата. Набор правил SSL-сертификатов генерируется каждые 5 минут. Рекомендуется запрашивать его не чаще, чем раз в 5 минут.

https://

...

sslbl.abuse.ch

...

/blacklist/ja3_fingerprints.rules – набор правил JA3 FingerprintRuleset от SSLBL используется для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка JA3. Набор правил для отпечатков пальцев Suricata JA3 генерируется каждые 5 минут. Рекомендуется запрашивать его не чаще, чем раз в 5 минут.

Предупреждение

Отпечатки JA3, внесённые в чёрный список SSLBL, были собраны путём анализа более 25 000 000 PCAP-файлов с образцами вредоносного ПО. Эти отпечатки ещё не были протестированы на известном безопасном трафике и могут привести к значительному количеству ложных срабатываний.

Scroll Pagebreak

Feodo Tracker

Feodo Tracker – это проект abuse.ch, целью которого является обмен информацией о серверах управления ботнетами, связанными с Dridex, Emotet (также известным как Heodo), TrickBot, QakBot (также известным как QuakBot/Qbot) и BazarLoader (также известным как BazarBackdoor).

https://

...

feodotracker.

...

abuse.

...

ch/

...

downloads/

...

feodotracker.

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-attack_response.rules

...

Правила, детектирующие поведение хоста после успешно проведенных атак.

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-chat.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-current_events.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dns.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dos.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-exploit.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-ftp.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-games.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp_info.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-imap.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-inappropriate.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-info.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-malware.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-misc.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-mobile_malware.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-netbios.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-p2p.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-policy.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-poprules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-rpc.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scada.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scan.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-shellcode.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-smtp.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-sql.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-telnet.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-tftp.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-trojan.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-user_agents.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-l.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_client.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_server.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_specific_apps.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-worm.rules

...

rules – набор правил используется для обнаружения и/или блокировки сетевых подключений к хост-серверам (комбинация IP-адреса и порта). Набор правил генерируется каждые 5 минут. Рекомендуется обновлять набор правил IDS каждые 5–15 минут, чтобы обеспечить лучшую защиту от Dridex, Emotet, TrickBot, QakBot и BazarLoader.

Примечание

Поскольку IP-адреса перерабатываются и используются повторно, в этот список блокировки входят только C2-серверы ботнетов, которые либо активны, либо в последний раз использовались в течение последних 30 дней. Таким образом, процент ложных срабатываний в этом списке блокировки должен быть низким.

https://feodotracker.abuse.ch/downloads/feodotracker_aggressive.rules – набор правил IDS с полным списком всех C2-серверов ботнетов. Однако, поскольку IP-адреса используются повторно, количество ложных срабатываний в этом наборе правил намного выше.

Предупреждение

Не рекомендуется использовать агрессивную версию индикаторов компрометации ботнета C2 (IOC), так как она определённо вызовет ложные срабатывания.

Travis Green

Travis Green – набор правил для поиска угроз от специалиста по кибербезопасности Тревиса Грина.

https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules

Etnetera Core

Набор правил с «агрессивными» IP-адресами от центра кибербезопасности компании Etnetera Core.

https://security.etnetera.cz/feeds/etn_aggressive.rules

Пример настройки IPS/IDS с автообновлением правил

Задача:

Организовать защиту локальной сети с автообновлением правил из открытых источников.

192.168.1.0/24 – локальная сеть.

Решение:

Создадим профиль адресов защищаемой локальной сети:

Блок кода
esr(config)# object-group network LAN
esr(config-object-group-network)# ip prefix 192.168.1.0/24
esr(config-object-group-network)# exit

Scroll Pagebreak

Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:

Блок кода
esr(config)# domain lookup enable
esr(config)# domain nameserver 8.8.8.8

Создадим политику безопасности IPS/IDS:

Блок кода
esr(config)# security ips policy OFFICE
esr(config-ips-policy)# description "My Policy"
esr(config-ips-policy)# protect network-group LAN

Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:

Блок кода
esr(config)# bridge 1
esr(config-bridge)# service-ips inline

Настроим параметры IPS/IDS:

Блок кода
esr(config)# security ips
esr(config-ips)# logging remote-server 192.168.10.1
esr(config-ips)# logging update-interval 15
esr(config-ips)# policy OFFICE
esr(config-ips)# enable

Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:

Блок кода
esr(config-ips)# perfomance max

Настроим автообновление правил с сайтов  etnetera.cz и Abuse.ch:

Блок кода
esr(config-ips)# auto-upgrade

Scroll Pagebreak

Пример настройки IPS/IDS с автообновлением правил

Задача:

Организовать защиту локальной сети с автообновлением правил из открытых источников.

192.168.1.0/24 – локальная сеть.

Решение:

Создадим профиль адресов защищаемой локальной сети:

Блок кода
esr(config)# object-group network LAN
esr(config-object-group-network)# ip prefix 192.168.1.0/24
esr(config-object-group-network)# exit

Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:

Блок кода
esr(config)# domain lookup enable
esr(config)# domain nameserver 8.8.8.8

Создадим политику безопасности IPS/IDS:

Блок кода
esr(config)# security ips policy OFFICE
esr(config-ips-policy)# description "My Policy"
esr(config-ips-policy)# protect network-group LAN

Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:

Блок кода
esr(config)# bridge 1
esr(config-bridge)# service-ips inline

Настроим параметры IPS/IDS:

Блок кода
esr(config)# security ips
esr(config-ips)# logging remote-server 192.168.10.1
esr(config-ips)# logging update-interval 15
esr(config-ips)# policy OFFICE
esr(config-ips)# enable

Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:

Блок кода
esr(config-ips)# perfomance max

Scroll Pagebreak

Настроим автообновление правил с сайтов EmergingThreats.net, etnetera.cz и Abuse.ch:

Блок кода
esr(config-ips)# auto-upgrade
esr(config-auto-upgrade)# user-server ET-Open
esr(config-ips-upgrade-user-server)# description "emerging threats open rules"
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server Aggressive
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"
esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server SSL-BlackListAggressive
esr(config-ips-upgrade-user-server)# description "Abuse.ch SSL BlacklistEtnetera aggressive IP blacklist"
esr(config-ips-upgrade-user-server)# url https://sslblsecurity.abuseetnetera.chcz/blacklistfeeds/sslblacklistetn_aggressive.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server C2SSL-BotnetBlackList
esr(config-ips-upgrade-user-server)# description "Abuse.ch Botnet C2 IPSSL Blacklist"
esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklistsslblacklist_tls_cert.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit

Алгоритм настройки базовых пользовательских правил

...

Блок кода
security ips policy policy0
  protect network-group objectgroup0
  vendor kaspersky
    category MaliciousURLsDF
      rules action alert
      rules all
      enable
    exit
    category MobileBotnetCAndCDF
      rules action alert
      rules recomended
      enable
    exit
    category BotnetCAndCURLsDF
      rules action alert
      rules percent 50
      enable
    exit
    category IPReputationDF
      rules action alert
      rules recomended
      enable
    exit
    category IoTURLsDF
      rules action alert
      rules percent 15
      enable
    exit
    category MaliciousHashDF
      rules action alert
      rules count 1
      enable
    exit
    category MobileMaliciousHashDF
      rules action alert
      rules count 1
      enable
    exit
    category PSMSTrojanDF
      rules action alert
      rules count 1
      enable
    exit
    category PhishingURLsDF
      rules action alert
      rules count 1000
      enable
    exit
    category RansomwareURLsDF
      rules action alert
      rules count 1000
      enable
    exit
  exit
exit

Scroll Pagebreak

Назначить сервису IPS-политику для работы и включить его:

...

Блок кода
esr(config)# object-group content-filter Black
esr(config-object-group-content-filter)# vendor kaspersky-lab
esr(config-object-group-cf-kaspersky)# category addictive-substances
esr(config-object-group-cf-kaspersky)# category addictive-substances narcotics
esr(config-object-group-cf-kaspersky)# category scam
esr(config-object-group-cf-kaspersky)# category gambling casino

Scroll Pagebreak
Создадим набор пользовательских правил:

Блок кода
esr(config)# security ips-category user-defined USER

Scroll Pagebreak

Создадим правило:

Блок кода
esr(config-ips-category)# rule 10
esr(config-ips-category-rule)# description "Content-Filter Block"

...