Rubriques Connexes
Dépanner Intrusion Prevention Service
Intrusion Prevention Service (IPS) utilise des signatures pour identifier les attaques réseau. Vous devez tenir votre base de données de signatures à jour pour protéger votre réseau des nouvelles menaces. Étant donné la constante nécessité de nouvelles signatures pour détecter les menaces émergentes, vous pouvez parfois avoir obtenir un faux positif ou un faux négatif.
Un faux positif est une application légitime classée comme menace par IPS. Pour signaler un faux positif, consultez Signaler un Faux Positif IPS.
Un faux négatif est une intrusion réelle qui n'a pas été correctement identifiée par IPS. Si vous identifiez une attaque qui n'a pas été arrêtée par IPS, consultez les sections suivantes pour prendre connaissance des procédures de dépannage.
Journaux IPS
Vous pouvez examiner les journaux IPS pour connaître l'attaque qui a été identifiée lorsqu'IPS entreprend une action :
Deny 1-Trusted 0-External tcp 10.0.1.2 198.51.100.2 55531 80 msg="ProxyDeny: HTTP Header IPS match" proxy_act="HTTP-Client.1" signature_id="1055396" severity="5" signature_name="WEB Cross-site Scripting -9" signature_cat="Web Attack" host="intext.nav-links.com" path="/util/intexteval.pl?action=startup" (HTTP-proxy-00)
Dans cet exemple, l'identifiant de signature est 1055396.
Tester IPS
Vous pouvez utiliser l'outil de test EICAR pour vérifier qu'IPS est activé pour la bonne stratégie et qu'il peut détecter des programmes malveillants. Pour obtenir cet outil, consultez Eicar.org.
Inspecter vos stratégies
IPS peut être activé sur n'importe quelle stratégie. Vous pouvez avoir un aperçu d'IPS dans la section Stratégies de la configuration d'Intrusion Prevention. Vous pouvez également inspecter une stratégie individuelle pour vérifier si IPS est activé.
Il n'est possible de détecter des intrusions à l'intérieur d'une requête HTTPS que si la stratégie HTTPS est une stratégie de proxy et que l'inspection de contenu est activée pour la stratégie de proxy HTTPS.
Vérifier Votre Liste d'Exceptions IPS
Si vous avez configuré une exception IPS afin d'ignorer les faux positifs d'une attaque, dans certains cas, des versions légitimes de cette attaque seront également autorisées. Pour obtenir des informations sur la façon d'examiner et de configurer vos exceptions, consultez Configurer les exceptions IPS.
Mettre à jour les signatures IPS
Pour rester efficace, IPS doit être continuellement mis à jour avec de nouvelles signatures pour pouvoir identifier les nouvelles attaques qui peuvent nuire à votre réseau. Le périphérique Firebox doit être capable de se connecter à services.watchguard.com. Si la configuration du serveur de mise à jour de vos signatures est correcte et que la connexion ne fonctionne pas, assurez-vous que votre périphérique est capable de résoudre les noms DNS.
Pour plus d'informations sur la configuration DNS, consultez Ajouter des adresses de serveurs WINS et DNS.