root@lord]#snort-v-d-e-ieth0-h192.168.3.0/24–s Hozirgacha barcha ushlab olingan va tahlil qilingan paketlar ekranda namoyish etiladi. Agar Snort ularni jurnaliga yozishi kerak bo‘lsa, "-l" parametridan foydalaniladi va jurnallarni yozish uchun katalog nomi ko'rsatiladi (masalan /var/log/snort):
root@lord]#snort-v-d-e-ieth0-h192.168.3.0/24-Afull-l/var/log/snort Paketlarni tcpdump formatida ro'yxatdan o'tkazish va minimal ogohlantirishlarni yaratish uchun '-b' kalitidan foydalanish mumkin:
root@lord]#snort-b-ieth0-Afast-h192.168.3.0/24-s-l/var/log/snort Yuqoridagi buyruqlarda Snort tarmoq segmentidagi barcha paketlarni qayd qiladi. Agar qoidalarga qarab faqat ayrim turdagi paketlarni ro'yxatdan o'tkazish kerak bo'lsa, '-c' kalitidan foydalaniladi.
root@lord]#snort-b-i eth0-Afast-h192.168.5.0/24-s-l/var/log/snort -c /snort-rule-file. Mavzu: ids/ips dasturiy vositasini o’rnatish va sozlash Nabiev Faxriddin
Mavzu: IDS/IPS dasturiy vositasini o’rnatish va sozlash Nabiev Faxriddin
Turdiyev Sheroz
IDS dasturiy vositasi haqida
IPS dasturiy vositasi haqida
IDS (Intrusion Detection System) - tarmoqdagi noo'rin, noto'g'ri yoki g'ayritabiiy harakatlarni aniqlaydigan va ular haqida xabar beradigan tizimlar. Bundan tashqari, IDS tarmoq yoki serverga ruxsatsiz kirishni boshdan kechirayotganini aniqlash uchun ishlatilishi mumkin. IPS (Intrusion Prevention System) - bu ruxsatsiz ma'lumotlar bo'lsa, ulanishlarni faol ravishda uzib qo'yadigan yoki paketlarni tushiradigan tizim. IPSni IDS kengaytmasi sifatida ko'rish mumkin.
IDS (Intrusion Detection System) - tarmoqdagi noo'rin, noto'g'ri yoki g'ayritabiiy harakatlarni aniqlaydigan va ular haqida xabar beradigan tizimlar. Bundan tashqari, IDS tarmoq yoki serverga ruxsatsiz kirishni boshdan kechirayotganini aniqlash uchun ishlatilishi mumkin. IPS (Intrusion Prevention System) - bu ruxsatsiz ma'lumotlar bo'lsa, ulanishlarni faol ravishda uzib qo'yadigan yoki paketlarni tushiradigan tizim. IPSni IDS kengaytmasi sifatida ko'rish mumkin.
IDS tarmoqni kuzatib boradi va noo'rin, noto'g'ri yoki g'ayritabiiy harakatlarni aniqlaydi. IDSning ikkita asosiy turi mavjud. Birinchisi, tarmoq kirishini aniqlash tizimi (NIDS). Bu tizimlar tarmoqdagi trafikni tekshiradi va bir nechta xostlarni nazorat qiladi. Sensorlar tarmoqdagi trafikni ushlab turish uchun ishlatiladi va zararli kontentni aniqlash uchun har bir paket tahlil qilinadi. Ikkinchi tur-Xostga asoslangan kirishni aniqlash tizimi (HIDS). HIDS xost mashinalarida yoki serverda joylashtirilgan. G'ayrioddiy xatti -harakatlarni aniqlash uchun ular tizim jurnallari fayllari, auditorlik izlari va fayl tizimidagi o'zgarishlar kabi kompyuterda mavjud
bo'lgan ma'lumotlarni tahlil qiladi. HIDS potentsial anomaliyalarni aniqlash uchun uy egasining normal profilini kuzatilgan harakatlar bilan solishtiradi. Ko'pgina joylarda IDS o'rnatilgan qurilmalar yo'riqnoma bilan xavfsizlik devori orasiga yoki yo'riqnoma tashqarisiga joylashtiriladi. Ba'zi hollarda, IDS o'rnatilgan qurilmalar xavfsizlik devori va yo'riqnoma tashqarisida joylashtirilgan bo'lib, hujumlarning keng ko'lamini ko'rish niyatida. Ishlash - bu IDS tizimlarining asosiy muammosi, chunki ular tarmoqli kengligi yuqori bo'lgan tarmoq qurilmalarida ishlatiladi. Hatto yuqori samarali komponentlar va yangilangan dasturiy ta'minot bo'lsa ham, IDS paketlarni tashlab yuboradi, chunki ular katta o'tkazuvchanlikni bajara olmaydi.
IPS - bu hujum yoki hujum aniqlanganda uning oldini olish uchun faol choralar ko'radigan tizim. IPS to'rt toifaga bo'lingan. Birinchisi, tarmoqqa asoslangan hujumlarning oldini olish (NIPS), u butun tarmoqni shubhali harakatlar uchun nazorat qiladi. Ikkinchi tur - bu tarmoqning xulq -atvorini tahlil qilish (NBA) tizimlari bo'lib, ular trafik oqimini tekshiradi, bu xizmatlarning tarqatilishini rad etish (DDoS) kabi hujumlarning natijasi bo'lishi mumkin bo'lgan g'ayrioddiy oqimlarni aniqlash uchun. Uchinchi tur - simsiz tarmoqlarni shubhali trafik uchun tahlil qiladigan Wireless Intrusion Prevention Systems (WIPS). To'rtinchi tur- Xostlarga asoslangan hujumlarning oldini olish tizimlari (HIPS), bu erda bitta xostning faoliyatini kuzatish uchun dasturiy ta'minot to'plami o'rnatilgan. Yuqorida aytib o'tilganidek, IPS zararli ma'lumotlarni o'z ichiga olgan paketlarni tashlab yuborish, buzilgan IP -manzildan keladigan trafikni tiklash yoki blokirovka qilish kabi faol choralarni ko'radi.
IPS va IDS o'rtasidagi farq nima?
IDS - bu tarmoqni kuzatuvchi va noo'rin, noto'g'ri yoki g'ayritabiiy harakatlarni aniqlaydigan tizim, IPS - bu hujum yoki hujumni aniqlaydigan va ularni oldini olish uchun faol choralar ko'radigan tizim. Ikkalasi o'rtasidagi asosiy farq IDSdan farqli o'laroq, IPS aniqlangan hujumlarni oldini olish yoki blokirovka qilish uchun faol choralar ko'radi. Ushbu oldini olish choralariga zararli paketlarni tushirish va zararli IP -manzillardan keladigan trafikni tiklash yoki blokirovka qilish kabi tadbirlar kiradi. IPSni IDS kengaytmasi sifatida ko'rish mumkin, bu esa ularni aniqlashda hujumlarni oldini olish uchun qo'shimcha imkoniyatlarga ega.
(BMI) HUJUM ANIQLASH TIZIMLARI NIMA
Axborot tizimlari va tarmoqlari doimiy kiber-hujumlarga duchor qilinadi. Xavfsizlik devorlari va antivirus ular faqat kompyuter tizimlari va tarmoqlari "eshikni" himoya qilish uchun ega, chunki bu hujumlar barcha, etarli emas aks ettirish uchun. Boshqa yoshlar, doimo xavfsizlik tizimlarida kamchiliklar qidirib Internet yog'sizlantirish, o'zlari hackerlar tasavvur.
har qanday Slammer, slepperov va shunga o'xshash zararli dasturlar - o'z ixtiyorida World Wide Web zararli dasturiy ta'minot butunlay bepul ko'p rahmat.
Xizmat professional hackerlar bir-biriga neytrallash uchun kompaniyalar kurashmoqda bo'ladi. ehtiyoj - (hujum aniqlash tizimlari) bostirib aniqlash tizimlari, shunday qilib. Ular bormoqda har kuni yanada keng ishlatiladi, hech qanday ajablanarli.
ELEMENTLAR IDS
IDS elementlari o'z ichiga oladi:
Quyi tizimi, maqsadi bo'lgan - tarmoq voqealar yoki kompyuter tizimlarini yig'ish;
bir kiber hujum va shubhali faoliyati aniqlash, tahlil qilish quyi tizimi;
voqealar va kiber hujumlar va ruxsatsiz harakatlarning tahlil natijalari haqida ma'lumot saqlash uchun.
boshqarish konsol bilan IDS aniqlangan hujum tahlil kichik tizimi va noqonuniy harakatlar to'g'risida ma'lumot kirish uchun, tarmoq (yoki kompyuter tizimi) holatini kuzatib, parametrlarini belgilash mumkin.
Aslida, bir qancha "IDS tarjima qanday?" deb so'rashi mumkin Ingliz dan tarjima kabi tovushlar "issiq korsanlarını topadi tizimi."
ASOSIY VAZIFALARI HUJUM ANIQLASH TIZIMI HAL QILISH
tahlil: bezovtalanish fuqarolar zehn tizimi ikki asosiy maqsadi bor axborot manbalari va bu tahlil natijalari asosida tegishli javob. IDS tizimi quyidagi harakatlarni amalga oshiradi, bu vazifalarni amalga oshirish uchun:
nazorat va foydalanuvchi faoliyatini tahlil qiladi;
Bu audit bilan shug'ullanadi tizimi konfiguratsion va uning zaif;
Bu muhim tizim fayllari va ma'lumotlar fayllari butunligini tekshiradi;
allaqachon ma'lum hujumlar paytida yuz bergan sharoitda bilan solishtirganda asosida tizimi davlatlarning bir statistik tahlil o'tkazish;
Bu operatsion tizim nazorat qiladi.
BU HUJUM ANIQLASH TIZIMI BILAN TA'MINLASH MUMKIN, VA U KO'ZGA OLMAYDI
Siz quyidagi erishish uchun foydalanishingiz mumkin:
tarmoq infratuzilmasini parametrlari yaxlitligini yaxshilash;
tizimiga va zarar uni qo'llash yoki biron ruxsatsiz harakatlarni qilish uchun, uning kirgan sanada foydalanuvchi faoliyatni nazorat qilish;
aniqlash va o'zgarish haqida xabardor, yoki ma'lumotlarni o'chirish;
eng so'nggi hujumlar topish uchun internet monitoring vazifalarni avtomatlashtirilgan;
Tizim konfiguratsion xato aniqlash;
boshlanadigan hujum aniqlash va xabardor.
IDS buni qila olmaydi:
tarmoq protokollari kamchiliklarni to'ldirish uchun;
kompensator roli zaif identifikatsiya va autentifikatsiya mexanizmlari tarmoqlari yoki nazorat kompyuter tizimlari taqdirda o'ynashni; Bu, shuningdek, IDS har doim paketi darajasida (paketi-darajasi) da hujumlar bilan bog'liq muammolar bilan engish emas ta'kidlash lozim.
IPS (HUJUM OLDINI OLISH TIZIMI) - DAVOMI IDS
IPS uchun turadi "hujum oldini olish tizimi." Bu zamonaviy, ko'proq funktsional IDS navlari. IPS IDS tizimlari (odatdagi farqli o'laroq) reaktiv bo'ladi. Bu ular faqat hujum haqida, rekord va ogohlantirish aniqlash mumkin emas, balki xavfsizlik vazifalarni bajarish uchun, degan ma'noni anglatadi. Ushbu vazifalar, tarkibi, o'rnatish va kiruvchi trafik paketlarni to'sib o'z ichiga oladi. IPS yana bir xususiyati, ular onlayn ishlaymiz va avtomatik hujumni oldini mumkin, deb hisoblanadi.
MONITORING QILISH KENJA TURI IDS USULI
NIDS (butun tarmoq (tarmoq kuzatib borayotir ya'ni IDS,)) kichik tarmoqlar orqali trafik tahlil bilan shug'ullanuvchi va markazlashgan. bir necha nazorat MIK muntazam joylashtirish juda katta tarmoq hajmini erishish mumkin.
Ular o'z kutubxonasi bilan ma'lum hujumlar uchun kichik tarmoq trafikni solishtirish orqali (ya'ni o'rniga tanlab, uni qilish, barcha kiruvchi paketlarni tekshirish) turli rejimida ishlaydi. hujum aniqlangan yoki ruxsatsiz faoliyatini aniqlash so'ng, administrator signal yuboriladi. Biroq, yuqori trafik NIDS bilan katta tarmoq ba'zan barcha sinov ma'lumot paketlar bilan engish mumkin emas, deb qayd etish lozim. Shuning uchun, "tig'iz" paytida, ular hujumni tan olmaysiz, deb, bir sababi bor.
NIDS (IDS tarmoq asosida) - bu oson ularning bajarish ancha ta'sir sifatida yangi tarmoq topologiyasi integratsiya qilingan tizimlar, ular passiv bo'lib, yo'q. Ular faqat yuqorida muhokama qilindi reaktiv turi IPS tizimlar farqli o'laroq, qayd va xabardor qilinadi sobit. Biroq, u ham tarmoq asoslangan identifikatorlari haqida aytgan bo'lishi kerak, bu shifrlash duchor ma'lumotlarni tahlil olmaydi tizimdir. Bu, chunki tobora hujum operatsion tizimi açığına tomonidan foydalaniladigan ma'lumotlarni shifrlash uchun virtual xususiy tarmoq (VPN) oshirish joriy etish muhim ahvolga tushgan.
NIDS ham, u zarar sabab yoki yo'q, nima hujum natijasida sodir aniqlash mumkin emas. Ular bermoq barcha - uning boshlanishi tuzatish iborat. Shuning uchun, administrator hujum muvaffaqiyatli ishonch hosil qilish uchun o'zingizni har hujum ishini qayta ko'rib chiqishga majbur bo'ladi. Yana bir muhim muammo NIDS zo'rg'a qismli paketlar yordamida hujum ushlaydi, deb. Ular MIK normal ishlashini buzishi mumkin, chunki ular, ayniqsa xavflidir. Bu butun tarmoq yoki kompyuter tizimi uchun nimani anglatadi, hech qanday ehtiyoj tushuntirishga.
HIDS (MEZBON HUJUM ANIQLASH TIZIMLARI)
HIDS (IDS, monitoryaschie xost (mezbon)) faqat ma'lum bir kompyuter xizmat qiladi. Bu, albatta, juda yuqori samaradorlikni ta'minlaydi. tizimi jurnallaridan va operatsion tizim auditi natijalari: HIDS axborot ikki xil tahlil qilindi. Ular tizim fayllari oniy bir qilish va avvalroq tasvir bilan solishtirish. tizim fayllari uchun muhim ahamiyatga ega tahrirlangan yoki olib tashlangan bo'lsa, keyin menejeri signal yuboradi.
HIDS muhim afzalligi tarmoq trafiki sezgir shifr bir vaziyatda o'z ishlarini amalga oshirish qobiliyatidir. Bu ma'lumotlarni shifrlash yoki manzil uy egasi haqida parol hal keyin o'zlarini qarz oldin axborot manbalari tashkil etilishi mumkin xost bo'lish (mezbon asoslangan), deb aslida mumkin sharofati bilan.
Ushbu tizim Kamchiliklari, uning oldini olish mumkinligini o'z ichiga hatto DOS-hujumlar ayrim turlarini foydalanish taqiqlaydi. Bu yerda muammo, deb ular ham hujum, deb, ba'zi HIDS datchiklar va tahlil vositalari hujum ostida uy egasi, joylashgan, deb. tabiiy ularning unumdorligini kamaytiradi, chunki resurslari ish ular ham, deyarli bir ortiqcha, deb atash mumkin, kuzatib borayotir HIDS hosts, deb dalil.
HUJUMLARNI ANIQLASH UCHUN QANDAY KENJA TURI IDS
suli anomaliyalar, imzo tahlil usuli va siyosat - hujum IDS bo'lgan aniqlash uchun qanday bunday kenja turi.
Usuli imzo tahlil
Bu holda, ma'lumotlar paketlarni hujum imzo uchun tekshiriladi. hujum imzo - bu ma'lum hujumlar tasvirlab, namuna biriga Tadbir mos keladi. Agar hujumlar yolg'on hisobotlarni foydalanish paytida nisbatan kam, chunki bu usul juda samarali hisoblanadi.
Anomaliyalar usuli
Uning yordami bilan tarmoq va uy egasi haqida qonunga xilof harakatlar topildi. xost normal ishlashi tarixi va tarmoq asosida bu haqda ma'lumotlar bilan maxsus rejimlarni yaratilgan. So'ngra hodisalarni tahlil Tinglash maxsus detektorlari kirib keladi. turli xil usullari ular Anketalar bo'yicha "norma" bilan ularni taqqoslab, bu voqealar tahlil ishlab chiqarish. Bu usulning aniq bir ortiqcha - muhtoj yo'qligi hujum imzolar katta miqdorda to'planishi uchun. Biroq, bir muhim atipik bilan hujum haqida noto'g'ri signal soni, lekin u juda qonuniy tarmoq Hodisalar - bu uning so'zsiz minus bo'ladi.
Siyosat usuli
Hujumlarni aniqlash uchun yana bir usuli siyosat usuli hisoblanadi. uning mohiyati - Misol uchun, o'zaro tamoyilini tarmoqlari ko'rsatadi mumkin va bu protokol ishlatiladigan, tarmoq xavfsizligi qoidalariga, yaratish. Bu usul istiqbolli hisoblanadi, lekin qiyinchilik siyosat bazasini yaratish juda qiyin jarayon.
ID TIZIMLARI TARMOQ VA KOMPYUTER TIZIMLARINI ISHONCHLI HIMOYA QILISHGA YORDAM BERADI
Group ID tizimlari bugungi kunda kompyuter tarmoqlari uchun xavfsizlik tizimlari bozor rahbari sohasida biri hisoblanadi. Bu kiber-yomon odamlar qarshi ishonchli himoya qilish bilan sizga yordam beradi. Agar ID tizimlar himoya qilish uchun muhim ma'lumotlar haqida Xavotir mumkin emas. bir oz tashvish siz yuragi bor, chunki, chunki bu sizga ko'proq hayot bahramand bo'lishingiz mumkin bo'ladi.
Shubhali yoki zararli faoliyat uchun tarmoqingizni kuzatib borish vositalari Intrusion Detection Systems (IDS) tarmoqlarga hujumlarning ortib borayotgan
chastotasiga javoban ishlab chiqildi. Odatda IDS dasturlari xost konfiguratsiya fayllarini shubhali parollar va boshqa joylar uchun xavfli sozlamalar, tarmoq uchun xavfli bo'lishi mumkin bo'lgan qoidabuzarliklarni aniqlash uchun tekshiradi. Shuningdek, u shubhali faoliyatni va potentsial hujum usullarini yozib olish va ularni ma'murga bildirish usullarini belgilaydi. IDS xavfsizlik devoriga o'xshaydi, lekin tarmoqdan tashqaridagi hujumlardan himoya qilish bilan bir qatorda, IDS shubhali faoliyatni aniqlaydi va tizim ichidan hujum qiladi.
Ba'zi IDS dasturlari, shuningdek, u aniqlayotgan tajovuzlarga javob berishi mumkin. Javob berishi mumkin bo'lgan dastur odatda Intrusion oldini olish tizimi (IPS) dasturi deb ataladi. U taniqli tahdidlarni tan oladi va ularga javob beradi.
Umuman olganda, IDS sizga nima sodir bo'lishini ko'rsatadi, IPS ma'lum tahdidlarga ta'sir qiladi. Ba'zi mahsulotlar ikkala xususiyatni birlashtiradi. Bu erda bir nechta bepul IDS va IPS dasturiy ta'minot imkoniyatlari mavjud.
Windows uchun Snort
Windows uchun Snort - bu real vaqtda trafikni tahlil qilish va IP tarmoqlarida paketli kirishni amalga oshirishga qodir bo'lgan ochiq manba kodli tarmoqni aniqlashni aniqlash tizimi. Bu protokolni tahlil qilish, kontent qidirish / moslashtirishni amalga oshirish va bufer to'kilishi, maxfiy portni skanerlash, CGI hujumlari, SMB problari, OS barmoq izlari va boshqalar kabi turli hujum va problarni aniqlash uchun ishlatilishi mumkin.
GDS IDS
Bro IDS ko'pincha Snort bilan birgalikda ishlatiladi. Broning domenga xos tili an'anaviy imzolarga tayanmaydi. Ushbu yuqori darajadagi tarmoq faoliyat arxivida ko'rgan hamma narsani qayd qiladi. Dastur ayniqsa, trafikni tahlil qilish uchun foydalidir va ilmiy muhitda, yirik universitetlarda, superkompyuter markazlarida va ularning tizimlarini ta'minlash uchun tadqiqot laboratoriyalarida foydalanish tarixiga ega. Bro loyihasi dasturiy ta'minotni erkin saqlashni ta'minlaydi.