Средства обнаружения атак компании Internet Security Systems.

Презентация:



Advertisements
Похожие презентации
Средства обнаружения атак. Архитектура систем обнаружения атак Модуль слежения Модуль управления Системы на базе узла Системы на базе сегмента.
Advertisements

Обнаружение атак. Система RealSecure. Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
Средства обнаружения атак Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
Средства обнаружения атак Раздел 2 – Тема 14 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
Семейство SAFEsuite компании ISS ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ.
Обнаружение сетевых атак Раздел 2 – Тема 14 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак.
Internet Scanner ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ.
System Scanner ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Kaspersky Anti-Hacker 1.8 Обзор продукта Глумов Юрий, Менеджер по развитию продуктов.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.
Системный аудит и оценка рисков информационной безопасности.
защита сети защита серверов защита рабочих станций управления безопасностью.
Курсовая работа по дисциплине программно-аппаратная защита информации на тему: «Межсетевые экраны в Linux» Выполнил студент группы 3881 Грошев Тимофей.
Криптографический шлюз К -. Основные возможности АПК Континент-К Шифрование и имитозащита данных, передаваемых по открытым каналам связи; Защита внутренних.
Анализ защищенности на уровне операционной системы Раздел 3 – Тема 17.
Сети и Интернет. Интернет, ЛВС История развития сетей Мейнфреймы: Один многозадачный компьютер Множество рабочих терминалов.
Если вы хотите: Сократить расходы на использование Интернет в вашей организации Контролировать использование Интернет трафика Ограничивать доступ к различным.
ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.
Транксрипт:

Средства обнаружения атак компании Internet Security Systems

RealSecure - система обнаружения атак в реальном времени Устанавливается в сетевом сегменте или на отдельном узле Просматривает весь трафик сегмента или действия пользователя конкретного узла Анализирует трафик с целью обнаружения атак и других событий, связанных с безопасностью В случае обнаружения предпринимает ответные действия

Компоненты RealSecure Модуль слежения Управляющая консоль Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor

Расположение сетевого модуля Network Sensor Управляющая консоль

Расположение системного агента OS Sensor Управляющая консоль

Расположение микроагента (Server Sensor) Server Sensor Управляющая консоль

Примеры размещения RealSecure ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Категории обнаруживаемых атак предварительные действия перед атакой –Сканирование портов, SATAN подозрительная активность –Неизвестный протокол «отказ в обслуживании» –SYN Flood, Ping of Death, Teardrop, WinNuke попытки неавторизованного доступа –Back Orifice, Netbus, L0pht Crack for Windows системные атаки –Атаки на MS IIS, MS Exchange, MS SQL Server

Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения

Network Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Проверка каждого пакета на: подозрительную активность враждебное содержание сетевые злоупотребления Пользователь может: задавать свои контролируемые события задавать варианты реагирования на события настраивать сигнатуры атак игнорировать некоторые типы трафика

Network Sensor Поддержка Ethernet, Fast Ethernet, Token Ring и FDDI ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Поддержка протоколов SMB/NetBIOS и стека протоколов TCP/IP (IP, TCP, UDP, ICMP и других на их основе) Функционирование под управлением Windows NT и Solaris

Network Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Достоинства: - низкая стоимость эксплуатации - обнаружение сетевых атак - хакеру трудно «замести следы» - обнаружение в реальном режиме времени - независимость от операционной системы - обнаружение атак до достижения ею цели - невозможность обнаружения (Stealth-режим)

RealSecure и межсетевые экраны ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Модемы Атаки через «туннели» Атаки со стороны авторизованных пользователей Атаки на межсетевые экраны

Производительность ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Чем больше ОЗУ, тем эффективнее работает сетевой модуль слежения Чем больше в компьютере процессоров, тем эффективнее происходит анализ трафика В высокозагруженных сетях требуется использовать высокопроизводительные компьютеры Желательно запускать на выделенном компьютере

OS Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Чтение записей журнала регистрации сравнение записей с политикой аудита реагирование в случае нарушений Пользователь может: задавать варианты реагирования на события определять новые события контролировать неиспользуемые порты

Системный агент ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Системный агент под управлением Windows NT Windows NT Security Log Windows NT Event Log Windows NT Application Log Unix Syslog Cisco Syslog Системный агент под управлением Unix (Solaris, HP UX, AIX) локальный Syslog удаленный Syslog Cisco Syslog BSM log

OS Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Достоинства: - контроль конкретного компьютера - обнаружение системных атак - работают в коммутируемых сетях - последующий анализ данных

Server Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Обнаружение атак на всех уровнях на конкретный узел сети Достоинства: производительность обнаружение всех атак работа в коммутируемых сетях работают в сетях с шифрованием Функции персонального межсетевого экрана

RealSecure Appliance ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ IPSO, защищенная ОС на базе BSD от NOKIA Несколько сетевых интерфейсов Высокая доступность и отказоустойчивость Повышение производительности

Что делает управляющая консоль? Предоставляет интерфейс для конфигурирования модулей слежения На консоль поступают сообщения от модулей слежения и данные, записанные модулями слежения Позволяет формировать отчёты на основе собранных данных

RealSecure Manager ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Management Console – Windows NT RealSecure Manager for HP OpenView v1.3 – Windows NT – Solaris SPARC RealSecure Manager for Tivoli v1.3 – Windows NT – Solaris SPARC RealSecure Management SDK v1.1

Концепция OPSec ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Использование OPSec SDK, предоставляющих необходимые API Применение открытых протоколов – CVP(Content Vectoring Protocol) – UFP (URL Filter Protocol) – SAMP (Suspicious Activity Monitoring Protocol – LEA (Log Export API ) – OMI (Object Management Interface) Использование языка INSPECT