IPS son las siglas de Intrusion Prevention System. Los IPSE incluyen un conjunto de firmas con el que se evalúa el tráfico para detectar posibles problemas de seguridad. Las firmas se agrupan según la gravedad probable de algo que coincida con cada firma.
Con Route10, clasificamos las firmas en tres niveles: alto, medio y bajo. La gravedad alta incluye las firmas que indican una alta probabilidad de actividad maliciosa en la red. Las firmas de baja gravedad suelen ser informativas y no indican actividad malintencionada, aunque pueden indicar que los dispositivos cliente han infringido las políticas o que han fallado en el comportamiento de los dispositivos cliente. Un ejemplo es marcar el tráfico de DNS a través de HTTPS (DoH), que es normal en muchas redes, pero en otras puede indicar que alguien está intentando eludir los controles de contenido o de seguridad del DNS desde los servidores DNS internos. La gravedad media incluye situaciones que se sitúan entre alta y baja. El nivel de riesgo que indican variará según el entorno y el contexto específico de la alerta. La gravedad media no suele indicar un compromiso, pero sí podría serlo.
El nivel que se debe usar depende del entorno y de los objetivos. Muchas redes no querrán preocuparse por utilizar firmas de baja gravedad, ya que suelen generar ruido inútil, y otras querrán revisarlas en su totalidad para detectar posibles problemas. Es probable que la mayoría prefiera utilizar Medium como umbral para eliminar la mayor parte de las alertas inútiles y, al mismo tiempo, ofrecer alertas sobre todas las firmas que indiquen que es probable que el sistema esté en peligro. Es posible que desee empezar con un nivel de gravedad bajo, ver qué alertas genera y aumentarlo a nivel medio si hay muchas alertas inútiles con un nivel de gravedad bajo.
Las firmas incluidas en Route10 son las reglas GPL de Emerging Threats más utilizadas. Estas se actualizan en sentido ascendente una vez al día, y Route10 incluye esas actualizaciones una vez al día. Hay más de 42 000 firmas incluidas en el momento de escribir este artículo. Los detalles sin procesar sobre estas firmas se pueden encontrar en https://rules.emergingthreats.net/. Los archivos de reglas específicos se pueden encontrar en https://rules.emergingthreats.net/open/suricata-7.0.3/ . Los registros de cambios diarios están disponibles en https://rules.emergingthreats.net/changelogs/ . La mayoría de las personas no tienen por qué preocuparse por esos detalles, sino que se proporcionan a quienes desean profundizar en los detalles.
Para configurar IPS, navegue hasta manage.alta.inc o su controlador alojado localmente y vaya a Configuración, Firewall y Prevención de intrusiones.
Una vez que se haya generado una alerta, la encontrarás en Eventos del controlador.
Cada entrada de alerta tiene dos botones a la derecha. El icono de la papelera elimina la alerta, lo que podría hacer después de revisar una alerta que no requiere ninguna acción adicional. El icono con forma de ojo con una barra oblicua se utiliza para silenciar esa firma específica. Las firmas que generan muchos falsos positivos o ruido inútil en la red son buenas candidatas para ignorarlas, de modo que las alertas relevantes no queden enterradas en un montón de alertas sin sentido.
Una vez que hayas activado el IPS durante una hora o más, es casi seguro que verás al menos algunas alertas si tu nivel de notificación está establecido en Bajo. Tómate un tiempo para mostrar alertas del tráfico real y ver los resultados allí.
Para activar inmediatamente una alerta, una opción es visitar http://testmyids.com, que generará una alerta.