Проблема защиты корпоративной сети появилась не сегодня и вряд ли перестанет быть актуальной в будущем. Для администрирования локальных сетей используются как программные, так и программно-аппаратные решения. Среди подобных разработок можно выделить российский Интернет Контроль Сервер, который поддерживает как программное и аппаратное развертывание, так и виртуальное, что удобно для целого ряда компаний.
Что такое защищенность корпоративных сетей
Говоря о защищенности локальных вычислительных сетей, специалисты подразумевают три цели, которые ставит перед собой каждый сисадмин:
- обеспечить целостность, неизменность информации;
- конфиденциальность;
- доступность данных.
Целостность информации является синонимом сохранности — даже в случае атаки никакие файлы, хранящиеся на компьютерах локальной сети, не должны быть уничтожены или подвержены изменениям.
Вторая задача — это обеспечение конфиденциальности информации, в первую очередь, логинов и паролей.
Защита корпоративной сети, в том числе, подразумевает и ее доступность для пользователей. Иногда хакерские атаки осуществляются с целью «положить» сеть, парализовав таким образом работу предприятия.
Для настройки защиты сети необходимо использовать специальное программное обеспечение — ИКС-сервер и входящий в него модуль Suricata.
Детектор атак Suricata
Это программное решение реализовано в виде отдельного модуля, который находится в меню «Защита» ИКС-сервера. По умолчанию этот модуль не работает — его нужно настраивать при установке.
Данная система относится к классу программного обеспечения IPS — системе предотвращения вторжений.
Suricata — это своего рода антивирус для трафика. Программа умеет обнаруживать нарушения безопасности или хакерские вторжения в режиме реального времени. Приложение отслеживает сетевой трафик и при необходимости принимает адекватные меры — прекращает/разрешает входящее соединение, записывает то, что удалось обнаружить в лог.
Возможности IPS-системы довольно широки. Приложение может изменять порядок TCP-пакетов, дефрагментировать их, защищая сеть от пакетов, специально измененных хакерами.
Программа работает в многозадачном режиме. Благодаря этому она отлично справляется даже с большим объемом трафика, до 10 Гбит. Suricata полностью поддерживает правила Snort.
При входе в детектор вы увидите его актуальное состояние — включено или выключено, кнопку “Вкл” или “Выкл” и сообщения в журнале.
Особенности настройки модуля Suricata
Во вкладке «Настройки» необходимо указать, какие именно порты, сервера и сети будут проверяться. Все переменные имеют значения по умолчанию, которые при желании можно изменить. Соответствующее значение можно задать вручную или выбрать значение из выпадающего списка. Можно указывать IP-адреса, сети Wi-Fi, OpenVpn, VPN и т. д.
Основные настройки модуля сокрыты во вкладке «Правила». Правила — это указания программе, что необходимо делать при обнаружении конкретных пакетов. Все правила можно разделить на три основные типа:
- с сайта snort.org;
- прекомпилированные правила с сайта snort.org;
- правила Emerging Threats.
Правила относятся к определенным файлам, которые, в свою очередь, составляют базу данных. Если вы хотите, чтобы правила работали, нужно скачать базу данных и поставить напротив нее галочку «применить».
Можно применить всю базу полностью или только определенные файлы из нее. В таблице вы увидите, сколько правил содержится в том или ином файле. В самом верху есть поисковое поле. Искать файлы допустимо двумя способами: по названию или по количеству правил в нем. Кликнув по имени файла, вы откроете еще одну таблицу с касающимися этого файла правилами.
Поля в этой таблице такие: ID правила — это его номер, приоритет — показывает, насколько данная угроза опасна для вашей локальной сети, предупреждение — в этом поле описывается производимая атака, классификация — класс атаки. Самое главное, это действие — поле определяет, что приложение будет делать с этой атакой. Возможных реакций всего 4:
- alert — действие будет занесено в лог, а конкретная угроза — пропущена;
- drop — TCP-пакет будет уничтожен;
- allow — угроза будет проигнорирована;
- reject — программа сотрет TCP-пакет, а пользователю направит уведомление об этом.
Скачать и установить правила — мало, их надо еще регулярно обновлять. Задать порядок обновления правил вы можете в соответствующей вкладке.
В «Журнале» вы найдете все системные сообщения данного модуля. Белым цветом отображаются обычные сообщения, зеленый — это цвет сообщений о состоянии системы (включено или выключено), желтым помечаются предупреждения, и, наконец, красный цвет сигнализирует об ошибках.
Информацию с журнала можно экспортировать или, наоборот, удалить.