|
KUAS - самозащита - блокируем IP-адреса по их подозрительной активности |
Для автоматической блокировки подозрительных с точки зрения сетевой активности IP-адресов в пакете KUAS используются два скрипта:
- скрипт control_winroute осуществляет анализ журнала Filter Kerio Control с целью выделения подозрительных IP-адресов (настройка Kerio Control и принцип работы приведен здесь. ) и формирует файлы с правилами для IDS Snort и winroute.cfg, которые могут быть использованы для блокировки этих IP-адресов;
- скрипт control_snort использует сформированный скриптом control_winroute файл правил для дополнения основных файлов правил черных списков.
Для работы скрипта control_winroute требуется два условия:
- соблюдение соглашения об именовании правил фильтрации трафика, используемых для получения информации о потенциально опасной активности. Именоваться эти правила должны так: DROP <имя_сервиса> ALL.
- название каждого из этих правил, которое должно использоваться скриптом control_winroute, должно быть внесено в файл <KUAS_HOME_DIR>\INI\hackers.ini по одному на каждой строке БЕЗ КОНЦЕВЫХ ПРОБЕЛОВ !!!
При работе скрипта control_winroute анализируется файл журнала Kerio Control filter.log, из содержания которого выделяется список хостов и правил, по которым отмечен данный хост, после чего этот список вносится в локальный архив нежелательных хостов - файл <KUAS_HOME_DIR>\CONTROL\archive_hackers.txt, и на основе обработанного архива создаются файлы hackers.rules с правилами для SNORT и hackers.cfg с текстом правил для группы адресов, который может быть скопирован в файл winroute.cfg вручную (скрипт этого не делает). Оба созданных файла правил и файл архива хостов упаковываются в архив gene_hackers.zip, который и используется в дальнейшем скриптом control_snort.
Файл архива может распространяться любым путем и применяться на любом хосте через пакет control_snort следующим образом:
- расположением этого файла в папке пакета KUAS - <KUAS_HOME_DIR>\CONTROL;
- расположением на локальном (или любом другом) веб-сервере по известному адресу;
- расположением на удаленном (или любом другом) веб-сервере по известному адресу.
Именно в такой последовательности скрипт control_snort будет искать файл архива с правилами. Для того, чтобы скрипт не использовал локальный архив, а закачивал его с указанного веб-сервера, следует просто удалить (или переименовать) файл архива из папки <KUAS_HOME_DIR>\CONTROL.
Любые файлы из этого архива - файлы правил для Snort, файлы конфигурации для Kerio Control и файл архива адресов - могут быть объединены с другими аналогичными по содержанию файлами (полученными, например, с других хостов или в другое время) путем слияния обоих файлов в любом текстовом редакторе или командой type.
В файле параметров sets предоставляется возможность включить\отключить формирование этих правил в пакете control_winroute - параметр CONTROL_WINROUTE_MAKE_HACKERS, включить\отключить использование этих правил в пакете control_snort - параметр CONTROL_SNORT_USED_HACKERS и указать файл правил черных списков KERIO, который будет использован для вставки полученного локального черного списка.
Подписчики могут изменить адреса удаленных веб-серверов, на которых расположены созданные заранее файлы архивов с такими правилами. По умолчанию в скрипте control_snort используются локальные правила, в случае из отсутствия закачивается демо-файл с сервера http://geneg.ru/control/gene_hackers.zip . Подписчики могут получать файл с такими правилами, создаваемый самим сервером Geneg.ru.
Здесь показаны типовые логи работы скриптов с данными правилами:
Аналогичный по назначению скрипт control_mailserver создает правила для защиты почтового сервера Kerio Connect.
