Обнаружение сетевых атак Раздел 2 – Тема 14

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак

Архитектура систем обнаружения атак Модуль слежения Модуль управления

Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ

Архитектура модуля слежения Источники данных Механизмы реагирования Алгоритм (технология) обнаружения

Классификация систем обнаружения атак Источники данных Системы на базе узла Системы на базе сегмента По источнику данных (принципу реализации) Защита ОС Защита СУБД Защита приложений Уровень приложений Уровень СУБД Уровень ОС Уровень сети

Системы обнаружения атак на базе узла сервер WWWсервер Рабочие места Маршру- тизатор МЭ

Системы обнаружения атак на базе узла Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла

Системы обнаружения атак на базе сети сервер WWWсервер Рабочие места Маршру- тизатор МЭ

Системы обнаружения атак на базе сети Источник данных: Сетевые пакеты (фреймы) Сетевые пакеты (фреймы)

Классификация систем обнаружения атак Алгоритм (технология) обнаружения По технологии обнаружения Обнаружение аномалий Обнаружение злоупотреблений

Анализ сигнатур Источник данных Список правил (сигнатур) Обнаружена атака

Сигнатуры для сетевых IDS Синтаксический разбор отдельных пакетов (Packet grepping signature) Анализ протоколов (protocol analysis signature) Анализ протоколов с учётом состояния (stateful protocol analysis signature)

Анализ сигнатур A B ООВ Port=139 Windows Атака WinNuke Синтаксический разбор отдельных пакетов

Анализ сигнатур Атака FTP_SITE_EXEC Анализ протоколов FTP-сервер X telnet ftp-server edu-main2k Microsoft FTP Service (Version 5.0). USER ftp 331 Anonymous access allowed, send identity ( name) as password. PASS 230 Anonymous user logged in. SITE EXEC ……

Анализ сигнатур Удачная попытка обращения к файлу FTP-сервер X Анализ протоколов с учётом состояния (сопоставление запросов и ответов) Обращение к определённому файлу Код ответа «2 хх»

Анализ сигнатур Атака SynFlood Анализ протоколов с учётом состояния (отслеживание количества запросов в единицу времени) A SYN X ACK SYN Узел А SYN Узел А SYN Узел А SYN Узел А SYN Узел А

Системы обнаружения атак Sourcefire IMS Secure IDS eTrust Intrusion Detection RealSecureSnort Производитель SourcefireCisco Systems Computer Associates Internet Security Systems Нет Платформа Unix Защищенная версия Solaris Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети

Система обнаружения атак Snort

Архитектура По принципу реализации Система на базе сети Система на базе сети По технологии обнаружения Анализ сигнатур Анализ сигнатур

Режимы работы Sniffer Mode Sniffer Mode Packet Logger Packet Logger Intrusion Detection System Intrusion Detection System

Sniffer Mode Вывод на экран содержимого пакетов EthernetIP TCP UDP ICMP Данные./snort -v./snort -vd./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP

Packet Logger Запись содержимого пакетов в файл./snort –vde –l./log подкаталог log в текущем каталоге

Intrusion Detection System Обнаружение событий./snort –vde –l./log – c snort.conf Правила срабатывания (контролируемые события)

Практическая работа 16 Работа с программой Snort

Система обнаружения атак RealSecure TCP IP NIC На базе узла На базе сети

Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Серверный модуль (Server Sensor)

Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Sensor Manager Командная строка Site Protector

Компоненты RealSecure Workgroup Manager Event Collector Enterprise Database Asset Database Console Консоль Enterprise Database Asset Database Event Collector

Трёхуровневая архитектура Компонент, отвечающий за сбор событий с сенсоров Консоли Модули слежения

Взаимодействие компонентов RealSecure Консоль Enterprise Database Asset Database Event Collector

Расположение сетевого модуля слежения Network Sensor Event Collector Собранные данные

Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения сессии прикладного уровня

Размещение модулей слежения сервер WWWсервер Рабочие места Маршру- тизатор МЭ

Практическая работа 16 Работа с программой RealSecure

Обнаружение атак и МЭ Концепция OPSec OPSEC МЭ Сетевой модуль слежения

Концепция OPSec OPSec SDK (набор необходимых API) Открытые протоколы – – CVP(Content Vectoring Protocol) – – UFP (URL Filter Protocol) – – SAMP (Suspicious Activity Monitoring Protocol) Язык INSPECT

Реконфигурация МЭ Протокол SAMP Network Sensor

Реконфигурация МЭ Протокол SAMP Network Sensor

Реконфигурация МЭ Network Sensor