ООО «А-Реал Консалтинг»
150044
Россия
Ярославль
ул. Полушкина роща, дом 16, строение 67а, офис №3
8 495 240-92-96

Настройка защищенности корпоративной сети

Проблема защиты корпоративной сети появилась не сегодня и вряд ли перестанет быть актуальной в будущем. Для администрирования локальных сетей используются как программные, так и программно-аппаратные решения. Среди подобных разработок можно выделить российский Интернет Контроль Сервер, который поддерживает как программное и аппаратное развертывание, так и виртуальное, что удобно для целого ряда компаний.

Что такое защищенность корпоративных сетей

Говоря о защищенности локальных вычислительных сетей, специалисты подразумевают три цели, которые ставит перед собой каждый сисадмин:

  • обеспечить целостность, неизменность информации;
  • конфиденциальность;
  • доступность данных.

Целостность информации является синонимом сохранности — даже в случае атаки никакие файлы, хранящиеся на компьютерах локальной сети, не должны быть уничтожены или подвержены изменениям.

Вторая задача — это обеспечение конфиденциальности информации, в первую очередь, логинов и паролей.

Защита корпоративной сети, в том числе, подразумевает и ее доступность для пользователей. Иногда хакерские атаки осуществляются с целью «положить» сеть, парализовав таким образом работу предприятия.

Для настройки защиты сети необходимо использовать специальное программное обеспечение — ИКС-сервер и входящий в него модуль Suricata.

Детектор атак Suricata

Это программное решение реализовано в виде отдельного модуля, который находится в меню «Защита» ИКС-сервера. По умолчанию этот модуль не работает — его нужно настраивать при установке.

Данная система относится к классу программного обеспечения IPS — системе предотвращения вторжений.

Suricata — это своего рода антивирус для трафика. Программа умеет обнаруживать нарушения безопасности или хакерские вторжения в режиме реального времени. Приложение отслеживает сетевой трафик и при необходимости принимает адекватные меры — прекращает/разрешает входящее соединение, записывает то, что удалось обнаружить в лог.

Возможности IPS-системы довольно широки. Приложение может изменять порядок TCP-пакетов, дефрагментировать их, защищая сеть от пакетов, специально измененных хакерами.

Программа работает в многозадачном режиме. Благодаря этому она отлично справляется даже с большим объемом трафика, до 10 Гбит. Suricata полностью поддерживает правила Snort.

При входе в детектор вы увидите его актуальное состояние — включено или выключено, кнопку “Вкл” или “Выкл” и сообщения в журнале.

Детекторы атак Suricata

Особенности настройки модуля Suricata

Во вкладке «Настройки» необходимо указать, какие именно порты, сервера и сети будут проверяться. Все переменные имеют значения по умолчанию, которые при желании можно изменить. Соответствующее значение можно задать вручную или выбрать значение из выпадающего списка. Можно указывать IP-адреса, сети Wi-Fi, OpenVpn, VPN и т. д.

Параметры работы детектора Suricata

Основные настройки модуля сокрыты во вкладке «Правила». Правила — это указания программе, что необходимо делать при обнаружении конкретных пакетов. Все правила можно разделить на три основные типа:

  • с сайта snort.org;
  • прекомпилированные правила с сайта snort.org;
  • правила Emerging Threats.
Правила анализа трафика

Правила относятся к определенным файлам, которые, в свою очередь, составляют базу данных. Если вы хотите, чтобы правила работали, нужно скачать базу данных и поставить напротив нее галочку «применить».

Можно применить всю базу полностью или только определенные файлы из нее. В таблице вы увидите, сколько правил содержится в том или ином файле. В самом верху есть поисковое поле. Искать файлы допустимо двумя способами: по названию или по количеству правил в нем. Кликнув по имени файла, вы откроете еще одну таблицу с касающимися этого файла правилами.

Поля в этой таблице такие: ID правила — это его номер, приоритет — показывает, насколько данная угроза опасна для вашей локальной сети, предупреждение — в этом поле описывается производимая атака, классификация — класс атаки. Самое главное, это действие — поле определяет, что приложение будет делать с этой атакой. Возможных реакций всего 4:

  • alert — действие будет занесено в лог, а конкретная угроза — пропущена;
  • drop — TCP-пакет будет уничтожен;
  • allow — угроза будет проигнорирована;
  • reject — программа сотрет TCP-пакет, а пользователю направит уведомление об этом.

Скачать и установить правила — мало, их надо еще регулярно обновлять. Задать порядок обновления правил вы можете в соответствующей вкладке.

В «Журнале» вы найдете все системные сообщения данного модуля. Белым цветом отображаются обычные сообщения, зеленый — это цвет сообщений о состоянии системы (включено или выключено), желтым помечаются предупреждения, и, наконец, красный цвет сигнализирует об ошибках.

Информацию с журнала можно экспортировать или, наоборот, удалить.

Возврат к списку
Вверх