Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 10 лет назад пользователемДемид Осьминкин
2 Обнаружение сетевых атак Раздел 2 – Тема 14
3 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак
4 Архитектура систем обнаружения атак Модуль слежения Модуль управления
5 Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ
6 Архитектура модуля слежения Источники данных Механизмы реагирования Алгоритм (технология) обнаружения
7 Классификация систем обнаружения атак Источники данных Системы на базе узла Системы на базе сегмента По источнику данных (принципу реализации) Защита ОС Защита СУБД Защита приложений Уровень приложений Уровень СУБД Уровень ОС Уровень сети
8 Системы обнаружения атак на базе узла сервер WWWсервер Рабочие места Маршру- тизатор МЭ
9 Системы обнаружения атак на базе узла Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла
10 Системы обнаружения атак на базе сети сервер WWWсервер Рабочие места Маршру- тизатор МЭ
11 Системы обнаружения атак на базе сети Источник данных: Сетевые пакеты (фреймы) Сетевые пакеты (фреймы)
12 Классификация систем обнаружения атак Алгоритм (технология) обнаружения По технологии обнаружения Обнаружение аномалий Обнаружение злоупотреблений
13 Анализ сигнатур Источник данных Список правил (сигнатур) Обнаружена атака
14 Сигнатуры для сетевых IDS Синтаксический разбор отдельных пакетов (Packet grepping signature) Анализ протоколов (protocol analysis signature) Анализ протоколов с учётом состояния (stateful protocol analysis signature)
15 Анализ сигнатур A B ООВ Port=139 Windows Атака WinNuke Синтаксический разбор отдельных пакетов
16 Анализ сигнатур Атака FTP_SITE_EXEC Анализ протоколов FTP-сервер X telnet ftp-server edu-main2k Microsoft FTP Service (Version 5.0). USER ftp 331 Anonymous access allowed, send identity ( name) as password. PASS 230 Anonymous user logged in. SITE EXEC ……
17 Анализ сигнатур Удачная попытка обращения к файлу FTP-сервер X Анализ протоколов с учётом состояния (сопоставление запросов и ответов) Обращение к определённому файлу Код ответа «2 хх»
18 Анализ сигнатур Атака SynFlood Анализ протоколов с учётом состояния (отслеживание количества запросов в единицу времени) A SYN X ACK SYN Узел А SYN Узел А SYN Узел А SYN Узел А SYN Узел А
19 Системы обнаружения атак Sourcefire IMS Secure IDS eTrust Intrusion Detection RealSecureSnort Производитель SourcefireCisco Systems Computer Associates Internet Security Systems Нет Платформа Unix Защищенная версия Solaris Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети
20 Система обнаружения атак Snort
21 Архитектура По принципу реализации Система на базе сети Система на базе сети По технологии обнаружения Анализ сигнатур Анализ сигнатур
22 Режимы работы Sniffer Mode Sniffer Mode Packet Logger Packet Logger Intrusion Detection System Intrusion Detection System
23 Sniffer Mode Вывод на экран содержимого пакетов EthernetIP TCP UDP ICMP Данные./snort -v./snort -vd./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP
24 Packet Logger Запись содержимого пакетов в файл./snort –vde –l./log подкаталог log в текущем каталоге
25 Intrusion Detection System Обнаружение событий./snort –vde –l./log – c snort.conf Правила срабатывания (контролируемые события)
26 Практическая работа 16 Работа с программой Snort
27 Система обнаружения атак RealSecure TCP IP NIC На базе узла На базе сети
28 Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Серверный модуль (Server Sensor)
29 Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Sensor Manager Командная строка Site Protector
30 Компоненты RealSecure Workgroup Manager Event Collector Enterprise Database Asset Database Console Консоль Enterprise Database Asset Database Event Collector
31 Трёхуровневая архитектура Компонент, отвечающий за сбор событий с сенсоров Консоли Модули слежения
32 Взаимодействие компонентов RealSecure Консоль Enterprise Database Asset Database Event Collector
33 Расположение сетевого модуля слежения Network Sensor Event Collector Собранные данные
34 Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения сессии прикладного уровня
35 Размещение модулей слежения сервер WWWсервер Рабочие места Маршру- тизатор МЭ
36 Практическая работа 16 Работа с программой RealSecure
37 Обнаружение атак и МЭ Концепция OPSec OPSEC МЭ Сетевой модуль слежения
38 Концепция OPSec OPSec SDK (набор необходимых API) Открытые протоколы – – CVP(Content Vectoring Protocol) – – UFP (URL Filter Protocol) – – SAMP (Suspicious Activity Monitoring Protocol) Язык INSPECT
39 Реконфигурация МЭ Протокол SAMP Network Sensor
40 Реконфигурация МЭ Протокол SAMP Network Sensor
41 Реконфигурация МЭ Network Sensor
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.