Обнаружение атак. Система RealSecure. Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак. - презентация

1 Обнаружение атак. Система RealSecure

2 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак

3 Архитектура систем обнаружения атак Модуль слежения Модуль управления

4 Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Сенсоры Сенсоры

5 Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Управляющие компоненты

6 Классификация систем обнаружения атак По уровням информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

7 Классификация систем обнаружения атак Системы на базе узла Системы на базе сегмента По принципу реализации

8 сервер WWWсервер Рабочие места Маршру- тизатор МЭ Системы обнаружения атак на базе узла

9 Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла

10 Системы обнаружения атак на базе сети сервер WWWсервер Рабочие места Маршру- тизатор МЭ

11 Системы обнаружения атак на базе сети TCP IP NIC Источник данных: Сетевые пакеты (фреймы) Сетевые пакеты (фреймы)

12 Классификация систем обнаружения атак По технологии обнаружения Обнаружение аномалий Анализ сигнатур

13 Системы обнаружения атак Net ProwlerSecure IDS eTrust Intrusion Detection RealSecureSnort Производитель Axent Technologies Cisco Systems Computer Associates Internet Security Systems Нет Платформа Windows NT Защищенная версия Solaris Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети

14 RealSecure - система обнаружения атак в реальном времени Устанавливается в сетевом сегменте или на отдельном узле Просматривает весь трафик сегмента или действия пользователя конкретного узла Анализирует трафик с целью обнаружения атак и других событий, связанных с безопасностью В случае обнаружения предпринимает ответные действия

15 Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor

16 Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Server Manager Командная строка

17 Компоненты RealSecure Модули управления Workgroup Manager Event Collector Enterprise Database Asset Database Console Server Manager Командная строка

18 Компоненты RealSecure версии 6.0 Event Collector (сбор событий с сенсоров) Консоли Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor

19 Архитектура Сенсоры Консоли Enterprise Database Asset Database Event Collector

20 Расположение сетевого модуля Network Sensor Управляющая консоль

21 Расположение системного агента OS Sensor Управляющая консоль

22 Расположение Server Sensor Server Sensor Управляющая консоль

23 Примеры размещения RealSecure ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

24 Категории контролируемых событий Атаки –Уровня сети (Сканирование портов, SYN Flood, Ping of Death) –Уровня СУБД (MS SQL Server) –Уровня приложений (Атаки на MS IIS, MS Exchange) Установленные соединения –TELNET, FTP, SMTP Пользовательские события –HTTP – запросы, содержимое почтовых сообщений

25 Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения

26 Network Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Особенности: - обнаружение в реальном режиме времени - независимость от операционной системы - обнаружение атак до достижения ею цели - невозможность обнаружения (Stealth-режим)

27 RealSecure и межсетевые экраны ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Модемы Атаки через «туннели» Атаки со стороны авторизованных пользователей Атаки на межсетевые экраны

28 Server Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Обнаружение атак на всех уровнях на конкретный узел сети Особенности: производительность обнаружение всех атак работа в коммутируемых сетях работают в сетях с шифрованием Функции персонального межсетевого экрана

29 Server Sensor 2. Стек TCPIP 1. Low Module 3. High Module

30 Что делает управляющая консоль? Предоставляет интерфейс для конфигурирования модулей слежения На консоль поступают сообщения от модулей слежения и данные, записанные модулями слежения Позволяет формировать отчёты на основе собранных данных

31 Концепция OPSec ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Использование OPSec SDK, предоставляющих необходимые API Применение открытых протоколов – CVP(Content Vectoring Protocol) – UFP (URL Filter Protocol) – SAMP (Suspicious Activity Monitoring Protocol – LEA (Log Export API ) – OMI (Object Management Interface) Использование языка INSPECT

32 Реконфигурация МЭ Network Sensor Протокол SAMP

33 Реконфигурация МЭ Network Sensor Протокол SAMP

34 Реконфигурация МЭ Network Sensor

35 Система обнаружения атак Snort

36 Архитектура TCP IP NIC По принципу реализации Система на базе сети Система на базе сети По технологии обнаружения Анализ сигнатур Анализ сигнатур

37 Режимы работы Sniffer Mode Sniffer Mode Packet Logger Packet Logger Intrusion Detection System Intrusion Detection System

38 Sniffer Mode Вывод на экран содержимого пакетов EthernetIP TCP UDP ICMP Данные./snort -v./snort -vd./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP

39 Packet Logger Запись содержимого пакетов в файл./snort –vde –l./log подкаталог log в текущем каталоге

40 Intrusion Detection System Обнаружение событий./snort –vde –l./log – c snort.conf Правила срабатывания (контролируемые события)