19-Amaliy mashg’ulot Mavzu: penetration testing (hujum imkoniyatlari) Ishning maqsadi



Yüklə 84,19 Kb.
səhifə2/7
tarix07.01.2024
ölçüsü84,19 Kb.
#207221
1   2   3   4   5   6   7
19-24 amaliy ish

20-Amaliy mashg’ulot
Mavzu: TARMOQ YORDAMCHISI (IDS/IPS)
Ishning maqsadi: Xavf va hujumlarni aniqlash: IDS, tarmoqda sodir bo'lgan xavf va hujumlarni aniqlaydi. U tarmoq trafikini tahlil qiladi va o'zgarishlar va aniq nuqsonlarni aniqlashda yordam beradi.
Hujumlarni qo'llash: IPS hujumlar va xavflarni to'xtatish uchun faol jarayonlarni amalga oshiradi. U xavfni qo'llash, hujumlar o'tkazishni to'xtatish va zararli xavfni qo'llash uchun zararli amaliyotlarni to'xtatishda ishlaydi.
Antivirus fayllarni tahlil qiladi, spam filtri harflarni tahlil qiladi, xavfsizlik devori IP ulanishlarini tahlil qiladi. IDS/IPS tarmoq ma'lumotlari va xatti-harakatlarini tahlil qiladi. Huquq va tartib qo'riqchilari bilan o'xshashlikni davom ettiradigan xavfsizlik devori, pochta filtrlari va antivirus "dalada" ishlaydigan yoqimli xodimlardir, bosqinlarni aniqlash va ogohlantirish tizimi bo'limda ishlaydigan yuqori lavozimli ofitserlardir. Tizim batafsil.
IDS arxitekturasi va texnologiyalari
IDS ning ishlash printsipi trafik tahlili asosida tahdidlarni aniqlashdan iborat bo'lib, administratorga boshqa harakatlar qolmaydi. IDS tizimlari o'rnatish joyi va ishlash tamoyillari asosida turlarga bo'linadi.
O'rnatish joyida ikkita eng keng tarqalgan IDS turi:
Tarmoq hujumlarini aniqlash tizimi (NIDS),
Xostga kirishni aniqlash tizimi (HIDS).
Birinchisi qatlamlar to'plamida ishlaydi, ikkinchisi esa bir vaqtning o'zida faqat bitta qatlamni qabul qiladigan xostdir.
Tarmoqni aniqlash dasturi (NIDS)
NIDS texnologiyasi strategik qiymat tizimini yaratish va biznes/tijorat trafigini tahlil qilish tizimidir. NIDS trafikni chuqur darajada tahlil qiladi, havola darajasidan dastur darajasiga qadar har bir paketni ko'rib chiqadi.

NIDS internet tarmog'i eklairan yoki xavfsizlik devoridan farq qiladi. Xavfsizlik devori hujumni aniqlaydi, xavfsizlik tizimi sozlanadi va NIDS ichki tahdidlarni aniqlay oladi.


Tarmoqqa tajovuzni aniqlash tizimlari butun tarmoqni kuzatib boradi, bu esa to'liq Shenzheniyaga pul sarflashdan qochish imkonini beradi. Hech qanday kamchilik yo'q: NIDS katta hajmdagi resurslarni iste'mol qiladigan barcha tarmoq trafigini kuzatib boradi. Trafik hajmi qanchalik yuqori bo'lsa, CPU va RAM resurslariga talab shunchalik yuqori bo'ladi. Bu ma'lumotlar almashinuvida sezilarli kechikishlarga va ishchi to'plamning o'sishining pasayishiga olib keladi. Katta hajmdagi ma'lumotlar ham NIDSni bosib o'tishi mumkin, bu esa tizimning ba'zi paketlarni ishga tushirishiga olib keladi va to'plamni zaif qoldiradi.
HiDS
Muqobil tarmoq tizimi xostlardir. Bunday tizimlar tarmoq ichidagi bitta xostga o'rnatiladi va faqat shu xostni himoya qiladi. HIDS, shuningdek, birdan ortiq qurilmalar uchun kiruvchi va chiquvchi paketlarni tahlil qiladi. HIDS tizimi suratga olingan fayllarni yaratish printsipi asosida ishlaydi: u tasvirning joriy versiyasini o'chiradi va uni avvalgisi bilan taqqoslaydi, shuningdek, mumkin bo'lgan momaqaldiroqlarni aniqlaydi. HIDS - o'z konfiguratsiyasini kamdan-kam o'zgartiradigan muhim vositalar va tizimlar uchun eng yaxshi o'rnatish.
O'rnatish joyi bo'yicha boshqa IDS turlari
NIDS va HIDS dan tashqari, butun majmuani himoya qiluvchi PIDS (Perimetrga kirishni aniqlash tizimlari) ham mavjud, lekin faqat chegaralar va ob'ekt buzilganda signal beradi. Signalli panjara yoki "Tramp devori" kabi.
Yana bir xilma-xillik - VMIDS (Virtual mashinaga asoslangan hujumni aniqlash tizimlari). Bu texnologik virtualizatsiyaga asoslangan tahdidlarni aniqlash tizimining bir turi. Ushbu IDS tizimni alohida qurilmani ochmasdan o'rnatish imkonini beradi. Etarli darajada rivojlangan xavfsizlik va har qanday shubhali harakatni aniqlaydigan virtual mashina.
Ishlash printsipi bo'yicha IDS turlari
Barcha IDS aniqlash va hujum tizimlari bir xil printsip asosida ishlaydi - tahdidlarni qidirish va trafikni tahlil qilish. Farqlar tahlil jarayonining o'zida yotadi. Uchta asosiy vintlar mavjud: mulkiy, tayanch va tayanch.
IDS imzosi
Ushbu turdagi IDS antivirus dasturlari bilan ushbu printsip asosida ishlaydi. Ular imzoni tahlil qiladi va to'g'ri ishlashini ta'minlash uchun doimiy ravishda yangilanishi kerak bo'lgan ix ma'lumotlar bazasiga mos keladi. Shunga ko'ra, bu imzoga asoslangan IDS ning asosiy slovak tilini o'z ichiga oladi: agar biron sababga ko'ra ma'lumotlar bazasiga kirish imkoni bo'lmasa, to'plam zaif bo'lib qoladi. Shunday qilib, agar hujum yangi bo'lsa va uning imzosi noma'lum bo'lsa, bo'ron aniqlanmaslik xavfi mavjud.
Imzoga asoslangan IDSlar shalmol yoki shtatlarni kuzatishga qodir. Shablonlar - bu doimiy yangilanib turadigan ma'lumotlar bazasida saqlanadigan imzolar. Davlat barcha harakatlarning ichki tizimidir.
Tizimning dastlabki holati normal ishlash, yong'in hujumi. Muvaffaqiyatli hujumdan so'ng, tizim zaryadlash muvaffaqiyatli bo'lgunga qadar buzilgan holatga o'tadi. Har bir harakat (masalan, kompaniyaning xavfsizlik siyosatiga mos kelmaydigan protokol yordamida ulanishni o'rnatish, dasturiy ta'minotni faollashtirish va boshqalar) holatni o'zgartirishi mumkin. Shuning uchun imzo IDSlari harakatlarni emas, balki tizimning holatini kuzatadi.
Yuqoridagi tavsifdan ma'lum bo'lishicha, NIDS ko'proq shalmollar tomonidan, HIDS esa tuproq holatida kuzatiladi.
IDS, anomaliyaga asoslangan asoslar
Ushbu turdagi IDS printsipial jihatdan davlat kuzatuviga o'xshaydi, lekin ko'proq qamrovga ega.
Anomaliyaga asoslangan IDS mashinalarni o'rganishdan foydalanadi. Tizim to'g'ri ishlashi uchun siz sinov muddatini o'tkazishingiz kerak. Administratorim tizimni o'rganishga imkon berish uchun dastlabki bir necha oy davomida signallarni butunlay o'chirib qo'yishni tavsiya qiladi. Sinov muddati tugagandan so'ng, onam ishlashga tayyor.
Tizim operatsion to'plam va momentni tahlil qiladi, ularni analog davr bilan taqqoslaydi va anomaliyalarni aniqlaydi. Anomaliyalar uch toifaga bo'linadi:

  • statistika;

  • anomaliya protokoli;

  • anormal trafik.

Statistik anomaliyalar IDS tizimi hukumat faoliyatini (kiruvchi/chiqish trafik hajmi, ilovalarni ishga tushirish va h.k.) profillashda va uni foydalanuvchi profili bilan solishtirganda aniqlanadi. Masalan, kompaniya xarakteri uchun haqiqiy trafik 90% emas. Agar trafik to'satdan 90% emas, balki 900% ga oshsa, tizim tahdid haqida xabar bermaguncha.
Anormal protokollarni aniqlash uchun IDS aloqa protokollarini tahlil qiladi, ularni foydalanuvchilar, ilovalar bilan bog'laydi va profil yaratadi. Masalan, veb-server HTTP uchun 80-portda va HTTPS uchun 443-portda ishlaydi. Agar ikkinchi port HTTP yoki HTTPS orqali ma'lumot uzatish uchun ishlatilsa, IDS xabarnoma yuboradi.
IDS shuningdek, anomaliyalarni, har qanday xavfli yoki hatto tahdid soluvchi faoliyatni va tarmoq trafigini ko'rsatishga qodir. Mening sharhim DoS hujumi bilan bog'liq. Agar siz "zulmatda" bunday hujumni amalga oshirishga harakat qilsangiz, u xavfsizlik devori tomonidan tan olinadi va to'xtatiladi. Ijodiy tajovuzkorlar turli manzilli (DDoS) paketlarni yuborishi mumkin, bu yanada yaxshi. IDS texnologiyalari tarmoq trafigini tahlil qilish va hujumlarni oldindan oldini olish imkonini beradi.
Ochiq manba loyihasi va IDS bozoridagi ba'zi sotuvchilar
Klassik NIDS - bu Snort. Ushbu tizim 1998 yilda yaratilgan ochiq kodli tizimdir. Snort mustaqil dasturiy ta'minot kompaniyasi tomonidan ishlab chiqilgan va 2008 yilda Cisco tomonidan sotib olingan bo'lib, u hozir hamkor va ishlab chiquvchi hisoblanadi. Snort men va mening kompaniyam uchun eng yaxshi kompaniya. Yordamchi dastur sniffer paketlari, sozlamalar va boshqa ko'p narsalarni o'z ichiga oladi. Snort - bu profilaktika tizimi doirasida kontseptual va funktsional jihatdan ishlaydigan texnologik vositadir.
Meerkat
Snortning o'rta bozordagi raqobatchisi birinchi marta 2010 yilda taqdim etilgan Suricata ochiq manba tizimidir. Meerkat - bu to'g'ridan-to'g'ri yoshlar tizimi va bu uning afzalligi. Va Suricata tarmog'ida juda ko'p eski kodlar mavjud va tizim raqobatchilar bo'lgan ko'proq yangi ishlanmalardan foydalanadi. Buning yordamida Suricata tez ishlaydi. Bundan tashqari, standart postprocessing ishlab chiquvchi yordam dasturi va natijalarni taqqoslash tahlil qilinadi. Bu shuni anglatadiki, Suricata Snort bilan bir xil modulni qo'llab-quvvatlaydi. Imzolar asosida tahdidlarni ko'rsatishga qodir va o'rta va yirik kompaniyalar uchun mos keladi.
McAfee tarmoq xavfsizligi platformasi
Agar siz katta byudjetga ega yirik kompaniya bo'lsangiz, unda siz McAfee Network Security Platform-ni 10 000 dollarlik boshlang'ich narxi bilan jalb qilishingiz mumkin. O'zining monumental tabiati tufayli McAfee Network Security Platform ish to'plamini sekinlashtirishi mumkin, shuning uchun bu erda nima muhimroq ekanligini hal qilishingiz kerak - maksimal xavfsizlik bilan boshqa xizmatlar bilan integratsiya.
Zeke (aka)
To'liq bepul va ochiq kodli IDS. Buzg'unchilikni aniqlashning standart rejimi, shuningdek, zararli imzolarni aniqlash rejimi qo'llab-quvvatlanadi. Zeke shuningdek, voqealarni aniqlay oladi va o'z siyosat stsenariylaringizni belgilashga imkon beradi. Zeek-ning salbiy tomoni - bu vosita bilan bog'lanishning qiyinligi, chunki ishlab chiqish grafik interfeysga emas, balki funksionallikka e'tibor qaratish bilan amalga oshiriladi.
IDSni yanada rivojlantirish
IPS va IDPS
IPS yoki Intrusion Prevention System tarmoq xavfsizligini rivojlantirishdagi navbatdagi qadamdir. IPS tahdid haqida xabar beradi va mustaqil harakatni ham o'z zimmasiga oladi. Bugungi kunda sof IPS deyarli qolmadi, bozor IDPS ning katta tanlovini taklif etadi (buzilishlarni aniqlash va oldini olish tizimlari). IDPS hujumlarni aniqlaydi va dasturlashtirilgan harakatlarni amalga oshiradi: o'tish, ogohlantirish, tushirish, rad etish.
IDPS qoidalari
IDPS tizimlari log-salbiy (noto'g'ri salbiy) va log-musbat (noto'g'ri ijobiy) reaktsiyalarning ma'lum foiziga imkon beradi. Noto'g'ri pozitivlarni minimallashtirish uchun IDPS sizga reaktsiyalar uchun chegara qiymatlarini belgilashga imkon beradi - masalan, ish kunlarida trafikning sezilarli o'sishiga erishish qiymatini belgilang. IDS uchun mas'ul administrator uni boshqaruv konsolida o'rnatadi.
Misol uchun, agar joriy tarmoq trafigi belgilangan marshrutda bo'lmasa, u o'tadi (o'tadi). Agar trafik chegaradan oshsa, konsolga bildirishnoma yoki signal (ogohlantirish) yuboriladi. Belgilangan shartlarga javob beradigan paketlar (zararli skriptni o'z ichiga oladi) o'chiriladi (tushib tashlanadi). Konsol shuningdek, tahdid darajasini belgilash imkonini beradi - sizda qancha tahdid borligini ko'rsating. Paket faqat qabul qiluvchi va jo'natuvchi bilan yuborilishi yoki rad etilishi mumkin. Bundan tashqari, IDPS momaqaldiroq paytida mas'ul shaxsga xat yuborishi mumkin.
Har bir buyurtma bilan bir qatorda keyingi harakatlar ham belgilanadi. Misol uchun, nafaqat keyingi tahlil paketini to'xtating yoki uni tashlab qo'ying, balki u haqida jurnalga yozuv kiriting.
UTM - Yagona tahdidlarni boshqarish
UTM - universal paketli yordamchi dastur, ko'p sonli modullarga ega tarqatish tarmog'i, avtonom politsiya bo'limining ichki tarmog'i. UTM IDS, IPS, xavfsizlik devori, proksi-server, pochta filtrlari, VPN va boshqalarni o'z ichiga olgan dasturiy va apparat vositalarini o'z ichiga oladi. Yagona boshqaruv tahdidi yagona tizimdir, shuning uchun har bir modul uchun alohida to'lashning hojati yo'q. Siz unchalik ko'p pulni tejamaysiz, lekin dasturiy ta'minotni o'rnatish va o'zgartirish uchun ketadigan vaqt UTM ning asosiy afzalligi hisoblanadi.
Bu salbiy tomoni: UTM noyob xavfsizlik nuqtasi, issiq va yaxshi himoyalangan. Hujumchilar bir nechta tizimlarga emas, faqat bitta tizimga duch kelishadi va uni mag'lub etish orqali ular tarmoqqa kirish huquqiga ega bo'ladilar.
DPI va NGFW
Yangi avlod xavfsizlik devori tarmoqni himoya qilish tizimini rivojlantirishning navbatdagi bosqichidir. Agar UTM 2009 yildan beri mashhurlikka erishgan bo'lsa, yangi avlod xavfsizlik devorlari paydo bo'lishidan oldin. NGFW paydo bo'lishi xuddi shu 2009 yilga to'g'ri kelganiga qaramay, ular sekin tarqaldi. NGFW va tom o'rtasidagi asosiy farq shundaki, ular DPI (Deep Packet Inspection) ni ochadi va sizga faqat kerakli xususiyatlarni tanlash imkonini beradi.
DPI - bu chuqur tahlil to'plami. Kontent paketlarini o'qiydigan va faqat bloklangan kontentni o'z ichiga olgan yangi avlod xavfsizlik devori.
Himoyani qayerda qo'llash kerak
IDS joylashuv diagrammasi xavfsizlik devori oldida joylashgan.
Agar siz IDS/IPS, UTM yoki NGFW bo'lsin, tarmog'ingizda himoyani o'rnatishga qaror qilsangiz, uni qaerga joylashtirish haqida savol tug'iladi. Birinchidan, bu tanlangan tizim turiga bog'liq. Ha, PIDS xavfsizlik devori, ichki tarmoqni sozlash qobiliyatiga ega emas, lekin NGFW barcha elementlarni o'z ichiga oladi va sozlash oson.
Tarmoqning ichki qismidagi xavfsizlik devori oldida hujumni aniqlash tizimi o'rnatilishi mumkin. Bunday hollarda, IDS trafikni tahlil qiladi va keyin faqat xavfsizlik devori bloklangan bo'lsa. Bu mantiqiy: men qulflangan ma'lumotlarni tahlil qilmoqchiman. Bundan tashqari, bu tizimdagi yukni kamaytiradi.
IDS tarmoqning tashqi chetida, xavfsizlik devoridan keyin.
IDS, shuningdek, xavfsizlik devoridan keyin tarmoqning tashqi chetiga o'rnatiladi. Bunday hollarda asosiy filtr global tarmoq bo'lib, xaritalash tarmog'i ham olib tashlanadi. Ushbu tartibga solish bilan tizim tarmoq darajasini 4 dan 7 gacha nazorat qiladi va imzo turiga kiradi. Ushbu joylashtirish mahalliy ijobiy ijobiylar sonini kamaytiradi.
Bosqinlarni aniqlash tizimining bir nechta nusxalarini o'rnatish.
Yana bir keng tarqalgan amaliyot - bu zaxira va muhim vazifalar uchun zaxira tizimining bir nechta nusxalarini yaratish zarurati. Shubhali harakatni aniqlash uchun tarmoq ichida IDS o'rnatish ham mumkin.
O'rnatish joyi sizning IDS talablaringiz, mavjud imkoniyatlar va tarmoq hajmiga qarab tanlanishi kerak.
Murakkab mudofaani qanday qurish kerak?
Qor provayderi infratuzilmasida joylashgan ma'lumotlar, saytlar va ilovalarni himoya qilish haqida gap ketganda, barcha mumkin bo'lgan muammolarni hal qiladigan bitta echimni tanlash qiyin. Yo'q, agar siz ortiqcha to'lashni xohlamasangiz, murakkab mahsulotlar oqilona echim bo'lishi mumkin. Zamonaviy asboblar - masalan, to'rli ekranlar - asosiy funktsiyalar to'plamini va yangi muammolarni hal qilish uchun qo'shimcha vositalarning butun ro'yxatini o'z ichiga oladi.
"Ulardan biri" Fortinet FG-100E apparat xavfsizlik devori bo'lib, undan foydalanish ommaviy bulutlardagi virtual serverlar va virtual mashinalarning tarmoq xavfsizligini oshirish uchun tavsiya etiladi. Xavfsizlik devorlari mahalliy tarmoq va Internetga ulangan III darajali ma'lumotlar markazida allaqachon o'rnatilgan, Selectel ularni quvvat bilan ta'minlash va texnik xizmat ko'rsatishni ta'minlaydi. Bir necha marta bosish orqali oddiy interfeysda bosh ekraningizni sozlashingiz kifoya.
FortiGate asosiy ekraniga ulanish
Fortinet FG-100E ning asosiy funksiyalariga xavfsizlik devori va VPN kiradi. O'tkazish qobiliyati faqat uskunaning ishlashi bilan cheklangan. Bundan tashqari, mijoz asosiy ekranda qo'shimcha imzo bilan "ijaraga olish" funksiyasini tanlashi mumkin. Ular sizga joriy momaqaldiroqlarga qarshi turish va tizimlarni himoya qilish uchun infratuzilmaga xarajatlarni optimallashtirish imkonini beradi.
Xavfsizlik devori bilan ishlashni boshlash uchun siz uni boshqaruv panelidan buyurtma qilishingiz kerak.
Boshqaruv paneli va Tarmoq xizmatlari → Xavfsizlik devorlari bo'limiga o'ting.
Tarmoqli ekranni buyurtma qilish tugmasini toping.
Joyni tanlang (mavjud bino modeli va joylashuvi farq qilishi mumkin).
Qurilmangizni tanlang.
To'lov tugmasini toping.
Ochilgan oynada to'lov muddatini belgilang va "Xizmat uchun to'lov" tugmasini toping.
21-Amaliy mashg’ulot

Yüklə 84,19 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin