Обнаружение атак. Система RealSecure

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак

Архитектура систем обнаружения атак Модуль слежения Модуль управления

Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Сенсоры Сенсоры

Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Управляющие компоненты

Классификация систем обнаружения атак По уровням информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ

Классификация систем обнаружения атак Системы на базе узла Системы на базе сегмента По принципу реализации

сервер WWWсервер Рабочие места Маршру- тизатор МЭ Системы обнаружения атак на базе узла

Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла

Системы обнаружения атак на базе сети сервер WWWсервер Рабочие места Маршру- тизатор МЭ

Системы обнаружения атак на базе сети TCP IP NIC Источник данных: Сетевые пакеты (фреймы) Сетевые пакеты (фреймы)

Классификация систем обнаружения атак По технологии обнаружения Обнаружение аномалий Анализ сигнатур

Системы обнаружения атак Net ProwlerSecure IDS eTrust Intrusion Detection RealSecureSnort Производитель Axent Technologies Cisco Systems Computer Associates Internet Security Systems Нет Платформа Windows NT Защищенная версия Solaris Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети

RealSecure - система обнаружения атак в реальном времени Устанавливается в сетевом сегменте или на отдельном узле Просматривает весь трафик сегмента или действия пользователя конкретного узла Анализирует трафик с целью обнаружения атак и других событий, связанных с безопасностью В случае обнаружения предпринимает ответные действия

Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor

Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Server Manager Командная строка

Компоненты RealSecure Модули управления Workgroup Manager Event Collector Enterprise Database Asset Database Console Server Manager Командная строка

Компоненты RealSecure версии 6.0 Event Collector (сбор событий с сенсоров) Консоли Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor

Архитектура Сенсоры Консоли Enterprise Database Asset Database Event Collector

Расположение сетевого модуля Network Sensor Управляющая консоль

Расположение системного агента OS Sensor Управляющая консоль

Расположение Server Sensor Server Sensor Управляющая консоль

Примеры размещения RealSecure ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Категории контролируемых событий Атаки –Уровня сети (Сканирование портов, SYN Flood, Ping of Death) –Уровня СУБД (MS SQL Server) –Уровня приложений (Атаки на MS IIS, MS Exchange) Установленные соединения –TELNET, FTP, SMTP Пользовательские события –HTTP – запросы, содержимое почтовых сообщений

Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения

Network Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Особенности: - обнаружение в реальном режиме времени - независимость от операционной системы - обнаружение атак до достижения ею цели - невозможность обнаружения (Stealth-режим)

RealSecure и межсетевые экраны ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Модемы Атаки через «туннели» Атаки со стороны авторизованных пользователей Атаки на межсетевые экраны

Server Sensor ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Обнаружение атак на всех уровнях на конкретный узел сети Особенности: производительность обнаружение всех атак работа в коммутируемых сетях работают в сетях с шифрованием Функции персонального межсетевого экрана

Server Sensor 2. Стек TCPIP 1. Low Module 3. High Module

Что делает управляющая консоль? Предоставляет интерфейс для конфигурирования модулей слежения На консоль поступают сообщения от модулей слежения и данные, записанные модулями слежения Позволяет формировать отчёты на основе собранных данных

Концепция OPSec ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Использование OPSec SDK, предоставляющих необходимые API Применение открытых протоколов – CVP(Content Vectoring Protocol) – UFP (URL Filter Protocol) – SAMP (Suspicious Activity Monitoring Protocol – LEA (Log Export API ) – OMI (Object Management Interface) Использование языка INSPECT

Реконфигурация МЭ Network Sensor Протокол SAMP

Реконфигурация МЭ Network Sensor Протокол SAMP

Реконфигурация МЭ Network Sensor

Система обнаружения атак Snort

Архитектура TCP IP NIC По принципу реализации Система на базе сети Система на базе сети По технологии обнаружения Анализ сигнатур Анализ сигнатур

Режимы работы Sniffer Mode Sniffer Mode Packet Logger Packet Logger Intrusion Detection System Intrusion Detection System

Sniffer Mode Вывод на экран содержимого пакетов EthernetIP TCP UDP ICMP Данные./snort -v./snort -vd./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP

Packet Logger Запись содержимого пакетов в файл./snort –vde –l./log подкаталог log в текущем каталоге

Intrusion Detection System Обнаружение событий./snort –vde –l./log – c snort.conf Правила срабатывания (контролируемые события)