Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 10 лет назад пользователемАнатолий Мултановский
1 Обнаружение атак. Система RealSecure
2 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак
3 Архитектура систем обнаружения атак Модуль слежения Модуль управления
4 Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Сенсоры Сенсоры
5 Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Управляющие компоненты
6 Классификация систем обнаружения атак По уровням информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ
7 Классификация систем обнаружения атак Системы на базе узла Системы на базе сегмента По принципу реализации
8 сервер WWWсервер Рабочие места Маршру- тизатор МЭ Системы обнаружения атак на базе узла
9 Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла
10 Системы обнаружения атак на базе сети сервер WWWсервер Рабочие места Маршру- тизатор МЭ
11 Системы обнаружения атак на базе сети TCP IP NIC Источник данных: Сетевые пакеты (фреймы) Сетевые пакеты (фреймы)
12 Классификация систем обнаружения атак По технологии обнаружения Обнаружение аномалий Анализ сигнатур
13 Системы обнаружения атак Net ProwlerSecure IDS eTrust Intrusion Detection RealSecureSnort Производитель Axent Technologies Cisco Systems Computer Associates Internet Security Systems Нет Платформа Windows NT Защищенная версия Solaris Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети
14 RealSecure - система обнаружения атак в реальном времени Устанавливается в сетевом сегменте или на отдельном узле Просматривает весь трафик сегмента или действия пользователя конкретного узла Анализирует трафик с целью обнаружения атак и других событий, связанных с безопасностью В случае обнаружения предпринимает ответные действия
15 Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor
16 Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Server Manager Командная строка
17 Компоненты RealSecure Модули управления Workgroup Manager Event Collector Enterprise Database Asset Database Console Server Manager Командная строка
18 Компоненты RealSecure версии 6.0 Event Collector (сбор событий с сенсоров) Консоли Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor
19 Архитектура Сенсоры Консоли Enterprise Database Asset Database Event Collector
20 Расположение сетевого модуля Network Sensor Управляющая консоль
21 Расположение системного агента OS Sensor Управляющая консоль
22 Расположение Server Sensor Server Sensor Управляющая консоль
23 Примеры размещения RealSecure ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
24 Категории контролируемых событий Атаки –Уровня сети (Сканирование портов, SYN Flood, Ping of Death) –Уровня СУБД (MS SQL Server) –Уровня приложений (Атаки на MS IIS, MS Exchange) Установленные соединения –TELNET, FTP, SMTP Пользовательские события –HTTP – запросы, содержимое почтовых сообщений
25 Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения
26 Network Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Особенности: - обнаружение в реальном режиме времени - независимость от операционной системы - обнаружение атак до достижения ею цели - невозможность обнаружения (Stealth-режим)
27 RealSecure и межсетевые экраны ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Модемы Атаки через «туннели» Атаки со стороны авторизованных пользователей Атаки на межсетевые экраны
28 Server Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Обнаружение атак на всех уровнях на конкретный узел сети Особенности: производительность обнаружение всех атак работа в коммутируемых сетях работают в сетях с шифрованием Функции персонального межсетевого экрана
29 Server Sensor 2. Стек TCPIP 1. Low Module 3. High Module
30 Что делает управляющая консоль? Предоставляет интерфейс для конфигурирования модулей слежения На консоль поступают сообщения от модулей слежения и данные, записанные модулями слежения Позволяет формировать отчёты на основе собранных данных
31 Концепция OPSec ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Использование OPSec SDK, предоставляющих необходимые API Применение открытых протоколов – CVP(Content Vectoring Protocol) – UFP (URL Filter Protocol) – SAMP (Suspicious Activity Monitoring Protocol – LEA (Log Export API ) – OMI (Object Management Interface) Использование языка INSPECT
32 Реконфигурация МЭ Network Sensor Протокол SAMP
33 Реконфигурация МЭ Network Sensor Протокол SAMP
34 Реконфигурация МЭ Network Sensor
35 Система обнаружения атак Snort
36 Архитектура TCP IP NIC По принципу реализации Система на базе сети Система на базе сети По технологии обнаружения Анализ сигнатур Анализ сигнатур
37 Режимы работы Sniffer Mode Sniffer Mode Packet Logger Packet Logger Intrusion Detection System Intrusion Detection System
38 Sniffer Mode Вывод на экран содержимого пакетов EthernetIP TCP UDP ICMP Данные./snort -v./snort -vd./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP
39 Packet Logger Запись содержимого пакетов в файл./snort –vde –l./log подкаталог log в текущем каталоге
40 Intrusion Detection System Обнаружение событий./snort –vde –l./log – c snort.conf Правила срабатывания (контролируемые события)
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.