Содержание
-
Обнаружение сетевых атак Раздел 2 – Тема 14
-
Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак
-
Архитектура систем обнаружения атак Модуль слежения Модуль управления
-
Архитектура систем обнаружения атак E-Mail сервер WWW сервер Рабочие места Маршру-тизатор МЭ
-
Архитектура модуля слежения Источники данных Механизмы реагирования Алгоритм (технология) обнаружения
-
Классификация систем обнаружения атак Источники данных Системы на базе узла Системы на базе сегмента По источнику данных (принципу реализации) Защита ОС Защита СУБД Защита приложений Уровень приложений Уровень СУБД Уровень ОС Уровень сети
-
Системы обнаружения атак на базе узла E-Mail сервер WWW сервер Рабочие места Маршру-тизатор МЭ
-
Системы обнаружения атак на базе узла Источники данных: Журналы аудита Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла
-
Системы обнаружения атак на базе сети E-Mail сервер WWW сервер Рабочие места Маршру-тизатор МЭ
-
Системы обнаружения атак на базе сети Источник данных: Сетевые пакеты (фреймы)
-
Классификация систем обнаружения атак Алгоритм (технология) обнаружения По технологии обнаружения Обнаружение аномалий Обнаружение злоупотреблений
-
Обнаружение злоупотреблений Анализ сигнатур Источник данных Список правил (сигнатур) Обнаружена атака
-
Сигнатуры для сетевых IDS Синтаксический разбор отдельных пакетов (Packet grepping signature) Анализпротоколов (protocol analysis signature) Анализпротоколовсучётомсостояния (statefulprotocol analysis signature)
-
Анализ сигнатур A B ООВ Port=139 Windows Атака “WinNuke” Синтаксический разбор отдельных пакетов
-
Анализ сигнатур Атака “FTP_SITE_EXEC” Анализ протоколов FTP-сервер X telnet ftp-server 21 220 edu-main2k Microsoft FTP Service (Version 5.0). USER ftp 331 Anonymous access allowed, send identity (e-mail name) as password. PASS www@ 230 Anonymous user logged in. SITE EXEC ……
-
Анализ сигнатур Удачная попытка обращения к файлу FTP-сервер X Анализпротоколовсучётомсостояния (сопоставление запросов и ответов) Обращение к определённому файлу Код ответа «2хх»
-
Анализ сигнатур Атака “SynFlood” Анализпротоколовсучётомсостояния (отслеживание количества запросов в единицу времени) A SYN X SYN ACK SYNУзел А SYNУзел А SYNУзел А SYNУзел А SYNУзел А
-
Системы обнаружения атак Sourcefire IMS Secure IDS eTrust Intrusion Detection RealSecure Snort Производитель Sourcefire Cisco Systems Computer Associates Internet Security Systems Нет Платформа Unix Защищенная версия Solaris Windows NT Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети
-
Система обнаружения атак Snort
-
Архитектура
По принципу реализации Система на базе сети По технологии обнаружения Анализ сигнатур
-
Режимы работы
Sniffer Mode Packet Logger Intrusion Detection System
-
Sniffer Mode
Вывод на экран содержимого пакетов Ethernet IP TCP UDP ICMP Данные ./snort -v ./snort -vd ./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP
-
Packet Logger
Запись содержимого пакетов в файл ./snort –vde –l ./log подкаталог logв текущем каталоге
-
Intrusion Detection System
Обнаружение событий ./snort –vde –l ./log – c snort.conf Правила срабатывания (контролируемые события)
-
Практическая работа 16 Работа с программой Snort
-
Система обнаружения атак RealSecure TCP IP NIC На базе узла На базе сети
-
Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Серверный модуль (Server Sensor)
-
Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Sensor Manager Командная строка Site Protector
-
Компоненты RealSecure WorkgroupManager Event Collector Enterprise Database Asset Database Console Консоль Enterprise Database Asset Database Event Collector
-
Трёхуровневая архитектура Компонент, отвечающий за сбор событий с сенсоров Консоли Модули слежения
-
Взаимодействие компонентов RealSecure Консоль Enterprise Database Asset Database Event Collector
-
Расположение сетевого модуля слежения HUB Network Sensor Event Collector Собранные данные
-
Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По E-mail Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения сессии прикладного уровня
-
Размещение модулей слежения E-Mail сервер WWW сервер Рабочие места Маршру-тизатор МЭ
-
Практическая работа 16 Работа с программой RealSecure
-
Обнаружение атак и МЭ
Концепция OPSec OPSEC МЭ Сетевой модуль слежения
-
Концепция OPSec
OPSec SDK (набор необходимых API) Открытые протоколы CVP(Content Vectoring Protocol) UFP (URL Filter Protocol) SAMP (Suspicious Activity Monitoring Protocol) Язык INSPECT
-
Реконфигурация МЭ
HUB Протокол SAMP Network Sensor
-
HUB Протокол SAMP Network Sensor
-
HUB Network Sensor
Нет комментариев для данной презентации
Помогите другим пользователям — будьте первым, кто поделится своим мнением об этой презентации.