Niedawno miałem przyjemność prowadzić webinarium na temat użycia urządzeń Kemp LoadMaster do ochrony do dostępu do poczty w zastępstwie Forefront TMG 2010. Jako uzupełnienie prezentacji chciałem napisać kilka słów o prostej ale potrzebnej funkcjonalności, jaką jest wykrywanie ataków (IPS). Po zmianach w licencjonowaniu, jakie zaszły w kwietniu zeszłego roku, zarówno funkcje bezpiecznej publikacji (Edge Security Pack - ECP) jak i IPS są dostępne w subskrypcji Enterprise. O ile jednak funkcjonalność ECP jest często opisywana na różnych blogach i prezentacjach to IPS jest przeważnie tylko wspominany hasłowo - jest i koniec. Ale czy to faktycznie takie proste? Jeżeli na naszym LoadMasterze, który publikuje witryny w Internecie zajrzymy do logu systemowego, to możemy zauważyć np. zapisy dotyczące atak XSS, jak widać na poniższym rysunku.
Oznacza to, że IPS działa i reaguje na ataki poprawnie. Ale jak go skonfigurować i czy jest to w ogóle możliwe?
Jak najbardziej jest, chociaż w ograniczonym zakresie. Możemy ręcznie zmieniać sposób reagowania - począwszy od samego logowania ataków, aż do odrzucania wszystkich zagrożeń. Wszystkie cztery tryby pracy są nieco dokładniej opisane w dokumentacji, jednak same nazwy jak dla mnie są wystarczająco intuicyjne.
Ponadto możemy ręcznie aktualizować reguły, używane do wykrywania ataków, pobierając nowe wersje pakietu z regułami wykrywania ze strony SNORT. Load Master obsługuje paczki reguł w wersji zgodnej ze specyfikacją SNORT 2.9. Są one dostępne w pakiecie community-rules.tar.gz na stronie SNORT. Możemy pakiet pobrać i załadować (nie wymaga restartu i automatycznie jest replikowana między urządzeniami w trybie HA). Lepiej jednak wyedytować wcześniej listę reguł i aktywować wybrane z nich, zgodnie z potrzebami organizacji. W tym celu należy z pobranego archiwum community-rules.tar.gz otworzyć odpowiedni plik. W archiwum znajdują się pliki:
Reguły blokujemy umieszczając znak # na początku wiersza, aktywujemy kasując znak #. Po modyfikacji listy reguł zapisujemy zmodyfikowany plik w archiwum i pobieramy do Load Mastera.
Urządzenie jest gotowe do ochrony zgodnie ze zmodyfikowaną przez nas listą reguł.
Oznacza to, że IPS działa i reaguje na ataki poprawnie. Ale jak go skonfigurować i czy jest to w ogóle możliwe?
Jak najbardziej jest, chociaż w ograniczonym zakresie. Możemy ręcznie zmieniać sposób reagowania - począwszy od samego logowania ataków, aż do odrzucania wszystkich zagrożeń. Wszystkie cztery tryby pracy są nieco dokładniej opisane w dokumentacji, jednak same nazwy jak dla mnie są wystarczająco intuicyjne.
Ponadto możemy ręcznie aktualizować reguły, używane do wykrywania ataków, pobierając nowe wersje pakietu z regułami wykrywania ze strony SNORT. Load Master obsługuje paczki reguł w wersji zgodnej ze specyfikacją SNORT 2.9. Są one dostępne w pakiecie community-rules.tar.gz na stronie SNORT. Możemy pakiet pobrać i załadować (nie wymaga restartu i automatycznie jest replikowana między urządzeniami w trybie HA). Lepiej jednak wyedytować wcześniej listę reguł i aktywować wybrane z nich, zgodnie z potrzebami organizacji. W tym celu należy z pobranego archiwum community-rules.tar.gz otworzyć odpowiedni plik. W archiwum znajdują się pliki:
- community.rules
- AUTHORS
- LICENSE
- sid-msg.map
- VRT-License.txt
Reguły blokujemy umieszczając znak # na początku wiersza, aktywujemy kasując znak #. Po modyfikacji listy reguł zapisujemy zmodyfikowany plik w archiwum i pobieramy do Load Mastera.
Urządzenie jest gotowe do ochrony zgodnie ze zmodyfikowaną przez nas listą reguł.
Brak komentarzy:
Prześlij komentarz