Обнаружение сетевых атак Раздел 2 – Тема 14 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак. - презентация

1

2 Обнаружение сетевых атак Раздел 2 – Тема 14

3 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак

4 Архитектура систем обнаружения атак Модуль слежения Модуль управления

5 Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ

6 Архитектура модуля слежения Источники данных Механизмы реагирования Алгоритм (технология) обнаружения

7 Классификация систем обнаружения атак Источники данных Системы на базе узла Системы на базе сегмента По источнику данных (принципу реализации) Защита ОС Защита СУБД Защита приложений Уровень приложений Уровень СУБД Уровень ОС Уровень сети

8 Системы обнаружения атак на базе узла сервер WWWсервер Рабочие места Маршру- тизатор МЭ

9 Системы обнаружения атак на базе узла Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла

10 Системы обнаружения атак на базе сети сервер WWWсервер Рабочие места Маршру- тизатор МЭ

11 Системы обнаружения атак на базе сети Источник данных: Сетевые пакеты (фреймы) Сетевые пакеты (фреймы)

12 Классификация систем обнаружения атак Алгоритм (технология) обнаружения По технологии обнаружения Обнаружение аномалий Обнаружение злоупотреблений

13 Анализ сигнатур Источник данных Список правил (сигнатур) Обнаружена атака

14 Сигнатуры для сетевых IDS Синтаксический разбор отдельных пакетов (Packet grepping signature) Анализ протоколов (protocol analysis signature) Анализ протоколов с учётом состояния (stateful protocol analysis signature)

15 Анализ сигнатур A B ООВ Port=139 Windows Атака WinNuke Синтаксический разбор отдельных пакетов

16 Анализ сигнатур Атака FTP_SITE_EXEC Анализ протоколов FTP-сервер X telnet ftp-server edu-main2k Microsoft FTP Service (Version 5.0). USER ftp 331 Anonymous access allowed, send identity ( name) as password. PASS 230 Anonymous user logged in. SITE EXEC ……

17 Анализ сигнатур Удачная попытка обращения к файлу FTP-сервер X Анализ протоколов с учётом состояния (сопоставление запросов и ответов) Обращение к определённому файлу Код ответа «2 хх»

18 Анализ сигнатур Атака SynFlood Анализ протоколов с учётом состояния (отслеживание количества запросов в единицу времени) A SYN X ACK SYN Узел А SYN Узел А SYN Узел А SYN Узел А SYN Узел А

19 Системы обнаружения атак Sourcefire IMS Secure IDS eTrust Intrusion Detection RealSecureSnort Производитель SourcefireCisco Systems Computer Associates Internet Security Systems Нет Платформа Unix Защищенная версия Solaris Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети

20 Система обнаружения атак Snort

21 Архитектура По принципу реализации Система на базе сети Система на базе сети По технологии обнаружения Анализ сигнатур Анализ сигнатур

22 Режимы работы Sniffer Mode Sniffer Mode Packet Logger Packet Logger Intrusion Detection System Intrusion Detection System

23 Sniffer Mode Вывод на экран содержимого пакетов EthernetIP TCP UDP ICMP Данные./snort -v./snort -vd./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP

24 Packet Logger Запись содержимого пакетов в файл./snort –vde –l./log подкаталог log в текущем каталоге

25 Intrusion Detection System Обнаружение событий./snort –vde –l./log – c snort.conf Правила срабатывания (контролируемые события)

26 Практическая работа 16 Работа с программой Snort

27 Система обнаружения атак RealSecure TCP IP NIC На базе узла На базе сети

28 Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Серверный модуль (Server Sensor)

29 Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Sensor Manager Командная строка Site Protector

30 Компоненты RealSecure Workgroup Manager Event Collector Enterprise Database Asset Database Console Консоль Enterprise Database Asset Database Event Collector

31 Трёхуровневая архитектура Компонент, отвечающий за сбор событий с сенсоров Консоли Модули слежения

32 Взаимодействие компонентов RealSecure Консоль Enterprise Database Asset Database Event Collector

33 Расположение сетевого модуля слежения Network Sensor Event Collector Собранные данные

34 Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения сессии прикладного уровня

35 Размещение модулей слежения сервер WWWсервер Рабочие места Маршру- тизатор МЭ

36 Практическая работа 16 Работа с программой RealSecure

37 Обнаружение атак и МЭ Концепция OPSec OPSEC МЭ Сетевой модуль слежения

38 Концепция OPSec OPSec SDK (набор необходимых API) Открытые протоколы – – CVP(Content Vectoring Protocol) – – UFP (URL Filter Protocol) – – SAMP (Suspicious Activity Monitoring Protocol) Язык INSPECT

39 Реконфигурация МЭ Протокол SAMP Network Sensor

40 Реконфигурация МЭ Протокол SAMP Network Sensor

41 Реконфигурация МЭ Network Sensor