Блог Андрея Качинского

3 минут потребуется на прочтение (571 слов)
Выделенное 

Fortinet Тестирование IPS

IPS (intrusion prevention system) – система обнаружения и предотвращения вторжений. Основное назначение – защита информации, которая хранится и обрабатывается внутри компании.

В этой статье речь пойдет о системе предотвращения вторжений (IPS), которую предлагает FortiNet. Эта информация, полученная в ходе тестирования оборудования установленного на реальной площадке, в боевом режиме.

Задача:

1) Тестирование IPS, установленного между внутренними ресурсами Компании.
2) Тестирование IPS, установленного за корпоративной сетью.

Цель: выявление угроз и обеспечение защиты от Dos-атак; устойчивость оборудования к не санкционированному доступу изнутри сети.

Решение пункта 1 Задачи.

В роли тестового оборудования выбрана модель FortiGate 310B. IPS установили в прозрачном режиме между несколькими Proxy серверами (два Proxy сервера были подняты на виртуальных машинах). Режим IPS: мониторинг, т.е. фиксируем атаки, но не предотвращаем их. Оборудование вполне справилось с этой задачей. Так же в этой схеме протестировали систему антивирусной проверки контента, который проходил через тестовую среду.

Решение пункта 2 Задачи.

Установили FortiGate 300B на внешний канал перед FireWall (Cisco PIX), поддержка на который несколько лет не продлевалась. Таким образом, весь трафик пошел через тестовую среду. IPS включен в режим блокировки. За время тестирования были выявлены хосты (удаленные офисы), с которых периодически происходит Dos-атаки на серверы с критическими приложениями.

Результат: Стандартные настройки системы позволили обнаружить атаки и уязвимости. Настройка правил и реакции системы заняла некоторое время. Благодаря использованию этой схемы снизилась нагрузка на сервера с критическими приложениями путем очистки трафика от вредоносного кода, а так же возросла производительность приложений, используемых Компанией.

Ниже приведены копии экранов с тестовой среды. 

log UTM

В нашем случае - это IPS, настроенный в режиме мониторинга с включенным определением DoS атак. Видно, что с периодичностью в 5 секунд происходит DOS атака, выявленная по параметру ip_src session. Данный параметр - один из перечня параметров IPS, по которым можно определить DoS атаку. 

Traffic Log

​Показывает состояние пропущенного трафика через FortiGate-310B. Если проходящий трафик содержит вредоносный код, атаку или вирус шкала "Level" будет сигнализировать об этом. Детальную информацию можем посмотреть в UTM log.

IPS FortiGate-310B Мониторинг состояния трафика

Мониторинг состояния трафика, проходящего через FortiGate-310B 

IPS FortiGate-310B Редактор политик для FireWall

​Показывает установленные политики. Для отображения политики достаточно кликнуть на ней указателем мыши.

Развернуть настройки политики можно по аналогии с политиками для FireWall.

 Развернуть настройки политики можно по аналогии с политиками для FireWall.

IPS FortiGate-310B Настройки системы предотвращения вторжений

​Показана постоянно обновляемая база уязвимостей. Для получения большей информации по уязвимости необходимо кликнуть на ней.

IPS FortiGate-310B Настройки системы предотвращения вторжений

DoS Sensor позволяет идентифицировать DoS атаку по различным признакам. В нашем случае мы определяли атаку по ip_src session (кол-во пакетов в секуду, пройденных через IPS). Видим, что ip_src session большее 5000 пак/сек будет блокироваться. 

IPS FortiGate-310B Настройки Web. фильтрации
IPS FortiGate-310B Настройка контроля приложений
IPS FortiGate-310B Мониторинг системы предотвращения вторжений

Авторские права

© Андрей Качинский

GreenSQL – комплексное средство защиты баз данных
FotriGate и как бороться с бэкдором внутри сети
 

Комментарии

Нет созданных комментариев. Будь первым кто оставит комментарий.
Уже зарегистрированны? Войти на сайт
Гость
30.07.2021
Если вы хотите зарегистрироваться, пожалуйста заполните формы: Укажите ваше имя и Login пользователя.

Изображение капчи

Андрей Качинский
18 Февраль 2020
Как это работает
С каждым днем сфера IT-технологий развивается, тем самым предоставляя бизнесу различные инструменты эффективного управления. Не составляют исключение и средства печати. Казалось: принтер, многофункцио...
Просмотров: 12487
IT Безопасность
IPS (intrusion prevention system) – система обнаружения и предотвращения вторжений. Основное назначение – защита информации, которая хранится и обрабатывается внутри компании.В этой статье речь пойдет...
Просмотров: 12743
IT Безопасность
 В предыдущей статье «Open CRM» я ссылался на проданную мною платформу для обработки Big Data на базе продукта HPE IDOL Autonomy, и говорил, что напишу ряд статей, кото...
Просмотров: 12225
IT Безопасность
В последнее время Компании борются за идентификацию и защиту уязвимой информации. Конфиденциальные данные о клиентах, интеллектуальная собственность, коммерческая информация и внутренние юридические д...
Просмотров: 12506
IT Безопасность
Немного побродив по Интернету, в поисках интересующей меня информации, наткнулся на статью "Как обойти интернет фильтр FortiGuard".Честно говоря, меня смутило название статьи и я решил внимательно ее ...
Просмотров: 12216
IT Безопасность
С ростом информации растет потребность в ее защите. Для обеспечения защиты информации на рынке существуют решения DLP и DLP/DRM. Вернемся к определению этих понятий…Предотвращение утечек (Data Leak(Lo...
Просмотров: 12380