Сравнение версий

Старая версия 23

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

  • ESR-1X – 25 МБ;
  • ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил или использовать внешнее хранилище.

Scroll Pagebreak

Рекомендуемые открытые источники обновления правил

SSL Blacklist

Чёрный список SSL (SSLBL) – это проект abuse.ch, целью которого является обнаружение вредоносных SSL-соединений путём идентификации и внесения в чёрный список SSL-сертификатов, используемых серверами управления ботнетами.

https://sslbl.abuse.ch

...

/blacklist/sslblacklist_tls_cert.rules – набор правил SSL-сертификатов от SSLBL используется для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка SSL-сертификата. Набор правил SSL-сертификатов генерируется каждые 5 минут. Рекомендуется запрашивать его не чаще, чем раз в 5 минут.

https://

...

sslbl.abuse.ch

...

/blacklist/ja3_fingerprints.rules – набор правил JA3 FingerprintRuleset от SSLBL используется для обнаружения и/или блокировки вредоносных SSL-соединений в вашей сети на основе отпечатка JA3. Набор правил для отпечатков пальцев Suricata JA3 генерируется каждые 5 минут. Рекомендуется запрашивать его не чаще, чем раз в 5 минут.

Предупреждение

Отпечатки JA3, внесённые в чёрный список SSLBL, были собраны путём анализа более 25 000 000 PCAP-файлов с образцами вредоносного ПО. Эти отпечатки ещё не были протестированы на известном безопасном трафике и могут привести к значительному количеству ложных срабатываний.

Scroll Pagebreak

Feodo Tracker

Feodo Tracker – это проект abuse.ch, целью которого является обмен информацией о серверах управления ботнетами, связанными с Dridex, Emotet (также известным как Heodo), TrickBot, QakBot (также известным как QuakBot/Qbot) и BazarLoader (также известным как BazarBackdoor).

https://

...

feodotracker.

...

abuse.

...

ch/

...

downloads/

...

feodotracker.

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-attack_response.rules

...

Правила, детектирующие поведение хоста после успешно проведенных атак.

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-chat.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-current_events.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dns.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dos.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-exploit.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-ftp.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-games.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp_info.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-imap.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-inappropriate.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-info.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-malware.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-misc.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-mobile_malware.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-netbios.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-p2p.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-policy.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-poprules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-rpc.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scada.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scan.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-shellcode.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-smtp.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-sql.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-telnet.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-tftp.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-trojan.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-user_agents.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-l.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_client.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_server.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_specific_apps.rules

...

https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-worm.rules

...

rules – набор правил используется для обнаружения и/или блокировки сетевых подключений к хост-серверам (комбинация IP-адреса и порта). Набор правил генерируется каждые 5 минут. Рекомендуется обновлять набор правил IDS каждые 5–15 минут, чтобы обеспечить лучшую защиту от Dridex, Emotet, TrickBot, QakBot и BazarLoader.

Примечание

Поскольку IP-адреса перерабатываются и используются повторно, в этот список блокировки входят только C2-серверы ботнетов, которые либо активны, либо в последний раз использовались в течение последних 30 дней. Таким образом, процент ложных срабатываний в этом списке блокировки должен быть низким.

https://feodotracker.abuse.ch/downloads/feodotracker_aggressive.rules – набор правил IDS с полным списком всех C2-серверов ботнетов. Однако, поскольку IP-адреса используются повторно, количество ложных срабатываний в этом наборе правил намного выше.

Предупреждение

Не рекомендуется использовать агрессивную версию индикаторов компрометации ботнета C2 (IOC), так как она определённо вызовет ложные срабатывания.

Travis Green

Travis Green – набор правил для поиска угроз от специалиста по кибербезопасности Тревиса Грина.

https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules

Etnetera Core

Набор правил с «агрессивными» IP-адресами от центра кибербезопасности компании Etnetera Core.

https://security.etnetera.cz/feeds/etn_aggressive.rules

Пример настройки IPS/IDS с автообновлением правил

Задача:

Организовать защиту локальной сети с автообновлением правил из открытых источников.

192.168.1.0/24 – локальная сеть.

Решение:

Создадим профиль адресов защищаемой локальной сети

Scroll Pagebreak

Пример настройки IPS/IDS с автообновлением правил

Задача:

Организовать защиту локальной сети с автообновлением правил из открытых источников.

192.168.1.0/24 – локальная сеть.

Решение:

Создадим профиль адресов защищаемой локальной сети:

Блок кода
esr(config)# object-group network LAN
esr(config-object-group-network)# ip prefix 192.168.1.0/24
esr(config-object-group-network)# exit

Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:

Блок кода
esr(config)# domain lookup enable
esr(config)# domain nameserver 8.8.8.8

Создадим политику безопасности IPS/IDS:

Блок кода
esr(config)# security ips policy OFFICE
esr(config-ips-policy)# description "My Policy"
esr(config-ips-policy)# protect network-group LAN

Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:

Блок кода
esr(config)# object-group bridgenetwork 1LAN
esr(config-bridge)# service-ips inline

Настроим параметры IPS/IDS:

Блок кода
esr(config)# security ips
esr(config-ipsobject-group-network)# loggingip remote-serverprefix 192.168.101.10/24
esr(config-ips)# logging update-interval 15
esr(config-ips)# policy OFFICE
esr(config-ips)# enable

...

object-group-network)# exit

Scroll Pagebreak

Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:

Блок кода
esr(config-ips)# domain lookup enable
esr(config)# perfomance max

Scroll Pagebreak

...

domain nameserver 8.8.8.8

Создадим политику безопасности IPS/IDS:

Блок кода
esr(config-ips)# auto-upgrade
esr(config-auto-upgrade)# user-server ET-Open security ips policy OFFICE
esr(config-ips-upgrade-user-serverpolicy)# description "emerging threats open rulesMy Policy"
esr(config-ips-upgrade-user-serverpolicy)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules
esr(config-ips-upgrade-user-server)# enableprotect network-group LAN

Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:

Блок кода
esr(config)# bridge 1
esr(config-ips-upgrade-user-server)# exitbridge)# service-ips inline

Настроим параметры IPS/IDS:

Блок кода
esr(config)# security ips
esr(config-auto-upgradeips)# logging userremote-server Aggressive192.168.10.1
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"logging update-interval 15
esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rulespolicy OFFICE
esr(config-ips)# enable

Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:

Блок кода
-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# perfomance max

Настроим автообновление правил с сайтов  etnetera.cz и Abuse.ch:

Блок кода
 enable
esr(config-ips-upgrade-user-server)# exitauto-upgrade
esr(config-auto-upgrade)# user-server SSL-BlackListAggressive
esr(config-ips-upgrade-user-server)# description "Abuse.ch SSL BlacklistEtnetera aggressive IP blacklist"
esr(config-ips-upgrade-user-server)# url https://sslblsecurity.abuseetnetera.chcz/blacklistfeeds/sslblacklistetn_aggressive.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server C2SSL-BotnetBlackList
esr(config-ips-upgrade-user-server)# description "Abuse.ch Botnet C2SSL IP Blacklist"
esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklistsslblacklist_tls_cert.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit

Алгоритм настройки базовых пользовательских правил

...

Блок кода
esr(config)# security ips-category user-defined USER

Scroll Pagebreak

Создадим правило:

Блок кода
esr(config-ips-category)# rule 10
esr(config-ips-category-rule)# description "Content-Filter Block"

...