Suporte da FCBrasil

Visão geral do sistema de prevenção de intrusões

O Kerio Control integra o Snort, um sistema de detecção e prevenção de intrusões (IDS / IPS) que protege o firewall e a rede local contra intrusões de rede conhecidas.

Uma invasão de rede é o tráfego de rede que afeta a funcionalidade ou a segurança do host vítima. Um atributo típico das intrusões é sua aparente legitimidade e a dificuldade de descobrir esse tráfego e filtrá-lo simplesmente pelas regras de tráfego. Vamos usar a intrusão de Denial of Service como exemplo – muitas conexões são estabelecidas em uma porta para usar os recursos do sistema do aplicativo do servidor para que nenhum outro usuário possa se conectar. No entanto, o firewall considera esse ato apenas como acesso a uma porta permitida.

Observe que:

• O sistema de prevenção de intrusões funciona em todas as interfaces de rede no grupo Interfaces da Internet. Ele detecta e bloqueia intrusões de rede provenientes da Internet, não de hosts em redes locais ou clientes VPN.

• O uso de NAT é necessário para o IPv4.

• A detecção de intrusão é realizada antes das regras de tráfego.

Configurando a prevenção de intrusões

1. Na interface de administração, vá para Prevenção de intrusões.

2. Marque Ativar Prevenção de Intrusões.

3. Deixe os níveis de gravidade no modo padrão. O Kerio Control distingue três níveis de severidade de intrusão:

• Alta gravidade – Atividade em que a probabilidade de uma tentativa de invasão mal-intencionada é muito alta (por exemplo, atividade de rede do cavalo de Tróia).

• Média gravidade – Atividade que é considerada suspeita (por exemplo, tráfego por um protocolo não padrão na porta padrão de outro protocolo).

• Baixa gravidade – Atividade de rede que não indica ameaça imediata à segurança (por exemplo, varredura de porta).

4. No site Kerio, você pode testar estas configurações para testar o sistema de prevenção de intrusões para ambos IPv4 e IPv6. Durante o teste, três falsas intrusões inofensivas de gravidade alta, média e baixa são enviadas para o endereço IP do seu firewall.

5. Clique em Aplicar.

O log de segurança informará quando o firewall identificar e bloquear uma intrusão.

Configurando intrusões ignoradas

Em alguns casos, o tráfego legítimo pode ser detectado como uma invasão. Se isso acontecer, defina uma exceção para a intrusão:

1. Na interface de administração, vá para o log de Segurança(Security).

2. Clique com lado direito do mouse no espaço em branco da janela dos logs.

3. Clique em "Salvar registro", e clique em OK.

4. Localize o evento de log indicando o tráfego filtrado. Por exemplo: "IPS: alerta, gravidade: médio, ID da regra: 1: 2009700 ET VOIP várias respostas SIP não autorizadas"

5. Copie o número de ID da regra.

6. Na interface de administração, vá para Prevenção de intrusões.

7. Clique em Avançado.

8. Na caixa de diálogo Configurações Avançadas de Prevenção de Intrusões, clique em Adicionar.

9. Cole o número da ID da regra e uma descrição.

10. Clique em OK e Aplicar.

O tráfego legítimo é permitido agora.

Configurando intrusões específicas do protocolo

Algumas intrusões podem ter como alvo falhas de segurança em protocolos de aplicativos específicos. Portanto, algumas regras de segurança são focadas em protocolos especiais em portas padrão e frequentemente usadas.

Se um aplicativo estiver disponível na Internet e usar qualquer um dos protocolos listados em uma porta não-padrão (por exemplo, HTTP na porta 10000), adicione essa porta à lista de portas nas quais intrusões específicas do protocolo são detectadas:

1. Na interface de administração, vá para Prevenção de intrusões.

2. Clique em Avançado.

3. Na caixa de diálogo Configurações Avançadas de Prevenção de Intrusões, localize o serviço desejado.

4. Clique duas vezes na linha selecionada e adicione a porta.

5. Clique em OK e Aplicar.

O serviço em execução na porta não padrão agora é protegido pelas intrusões específicas do protocolo.

Listas negras de IP

O Kerio Control é capaz de registrar e bloquear o tráfego de endereços IP de intrusos conhecidos (as chamadas listas negras). Tal método de detecção e bloqueio de intrusos é muito mais rápido e também menos exigente do que a detecção dos tipos individuais de intrusão. No entanto, também existem desvantagens. As listas negras não podem incluir endereços IP de todos os intrusos possíveis. As listas negras também podem incluir endereços IP de clientes ou servidores legítimos. Portanto, você pode definir as mesmas ações para listas negras e intrusões detectadas.

Atualizações automáticas

Para a funcionalidade correta do sistema de detecção de intrusão, atualize os bancos de dados de intrusões conhecidas e endereços IP de intrusão regularmente.

Em circunstâncias normais, não há motivo para desativar as atualizações automáticas - os bancos de dados não atualizados diminuem a eficácia do sistema de prevenção de intrusões.