Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Обнаружение атак - 6

Содержание

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак
Средства обнаружения атак Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак Архитектура систем обнаружения атак Модуль слежения Модуль управления Системы на базе узла Системы на базе сегмента Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭСенсоры Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭУправляющие компоненты E-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭСистемы обнаружения атак  на базе узла Системы обнаружения атак  на базе узлаИсточники данных: Журналы аудита Действия пользователейНеобязательно:Сетевые Системы обнаружения атак  на базе сетиE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ Системы обнаружения атак  на базе сетиTCPIPNICИсточник данных: Сетевые пакеты (фреймы) Принципы работы систем обнаружения атакОбнаружение аномалийАнализ сигнатур Анализ сигнатурABООВPort=139Windows Атака “WinNuke”Сигнатуры «State-less» (однопакетные) Анализ сигнатур Атака “SynFlood”Сигнатуры «State-based» (анализ таблиц)ASYNXSYNACKSYN Анализ сигнатур Атака “HTTP_Shell”Сигнатуры «Stream-oriented» (сборка сегментов)WWW-серверX Системы обнаружения атакNet ProwlerSecure IDSeTrustIntrusionDetectionRealSecureSnortПроизводительAxentTechnologiesCiscoSystemsComputerAssociatesInternetSecuritySystemsНетПлатформаWindows NTЗащищеннаяверсияSolarisWindows NTWindows NT(2000)UnixТехнологияобнаруженияСигнатурыатакПринципреализацииСигнатурыатакСигнатурыатакСигнатурыатакСигнатурыатакНа базесетиНа базесетиНа базе сети+возможности Система обнаружения атак RealSecure TCPIPNICНа базе узлаНа базе сети Компоненты RealSecureМодули слеженияМодули управленияСетевой модуль(Network Sensor)Системный агент(OS Sensor)Server Sensor Компоненты RealSecureМодули слеженияМодули управленияWorkgroupManagerServer ManagerКомандная строка Компоненты RealSecureМодули управленияWorkgroup Manager Event Collector Enterprise Database Asset Database ConsoleServer ManagerКомандная строка АрхитектураEvent Collector (сбор событий с сенсоров)КонсолиСетевой модуль(Network Sensor)Системный агент(OS Sensor)Server Sensor Взаимодействие компонентовСенсорыКонсоли Enterprise Database Asset DatabaseEvent Collector Расположение сетевого модуляNetwork SensorEvent Collector Расположение системного агентаOS SensorEvent Collector Расположение Server SensorServerSensorEvent Collector Пример атакиFirewallWeb ServerUNIXШаг 1. 	 При сканировании портов через МЭ была обнаружена Пример атаки: Сеть + RealSecureFirewallE-MailServerWebServerRouterNTClients & WorkstationsNetworkUNIXNTUNIXUNIXШаг 1. 	 Сетевой сенсор обнаруживает Категории контролируемых событий Атаки Уровня сети (Сканирование портов, SYN Flood, Ping of Механизмы реагирования RealSecureРазрыв соединенияРеконфигурация межсетевого экранаВыполнение программы, определённой пользователемОтправка сообщенияНа консольПо протоколу Server SensorОбнаружение атак на всех уровнях на конкретный узел сетиОсобенности: производительность работа Server Sensor2. Стек TCPIP1. Low Module3. High Module Система обнаружения атак Snort АрхитектураTCPIPNICПо принципу реализации Система на базе сетиПо технологии обнаружения Анализ сигнатур Режимы работы Sniffer Mode Packet Logger Intrusion Detection System Sniffer ModeВывод на экран содержимого пакетовEthernetIPTCPUDPICMPДанные./snort -v./snort -vd./snort -vdeIPTCPUDPICMPДанныеIPTCPUDPICMP Packet Logger Запись содержимого пакетов в файл./snort –vde –l ./logподкаталог log в текущем каталоге Intrusion Detection System  Обнаружение событий./snort –vde –l ./log – c snort.confПравила срабатывания (контролируемые события) Обнаружение атак и МЭ Использование OPSec SDK,    предоставляющих необходимые Реконфигурация МЭNetwork SensorПротокол SAMP Реконфигурация МЭNetwork SensorПротокол SAMP Реконфигурация МЭNetwork Sensor
Слайды презентации

Слайд 2 Средства защиты сетей
МЭ
Средства анализа защищённости
Средства

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак

обнаружения атак


Слайд 3 Архитектура систем обнаружения атак
Модуль слежения
Модуль

Архитектура систем обнаружения атак Модуль слежения Модуль управления Системы на базе узла Системы на базе сегмента

управления
Системы на базе узла
Системы на базе

сегмента

Слайд 4
Архитектура систем обнаружения атак
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ
Сенсоры







Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭСенсоры

Слайд 5
Архитектура систем обнаружения атак
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ
Управляющие компоненты







Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭУправляющие компоненты

Слайд 6
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ





Системы обнаружения атак на базе узла

E-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭСистемы обнаружения атак на базе узла

Слайд 7
Системы обнаружения атак на базе узла
Источники данных:

Журналы

Системы обнаружения атак на базе узлаИсточники данных: Журналы аудита Действия пользователейНеобязательно:Сетевые

аудита

Действия пользователей

Необязательно:
Сетевые пакеты (фреймы),
направленные к узлу и от

узла

Слайд 8
Системы обнаружения атак на базе сети
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ


Системы обнаружения атак на базе сетиE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ

Слайд 9 Системы обнаружения атак на базе сети
TCP
IP
NIC

Источник данных:

Сетевые

Системы обнаружения атак на базе сетиTCPIPNICИсточник данных: Сетевые пакеты (фреймы)

пакеты (фреймы)


Слайд 10 Принципы работы систем обнаружения атак

Обнаружение аномалий

Анализ сигнатур





Принципы работы систем обнаружения атакОбнаружение аномалийАнализ сигнатур

Слайд 11 Анализ сигнатур
A
B
ООВ
Port=139
Windows


 Атака “WinNuke”
Сигнатуры «State-less» (однопакетные)

Анализ сигнатурABООВPort=139Windows Атака “WinNuke”Сигнатуры «State-less» (однопакетные)

Слайд 12 Анализ сигнатур

 Атака “SynFlood”
Сигнатуры «State-based» (анализ таблиц)
A
SYN
X
SYN
ACK
SYN

Анализ сигнатур Атака “SynFlood”Сигнатуры «State-based» (анализ таблиц)ASYNXSYNACKSYN   Узел АSYN

Узел А
SYN

Узел А

SYN Узел А

SYN Узел А

SYN Узел А


Слайд 13 Анализ сигнатур
 Атака “HTTP_Shell”
Сигнатуры «Stream-oriented» (сборка сегментов)

WWW-сервер
X

Анализ сигнатур Атака “HTTP_Shell”Сигнатуры «Stream-oriented» (сборка сегментов)WWW-серверX

Слайд 14 Системы обнаружения атак

Net Prowler
Secure IDS
eTrust
Intrusion
Detection
RealSecure
Snort
Производитель
Axent
Technologies
Cisco
Systems
Computer
Associates
Internet
Security
Systems
Нет
Платформа
Windows NT
Защищенная
версия
Solaris
Windows NT
Windows NT
(2000)
Unix
Технология
обнаружения
Сигнатуры
атак
Принцип
реализации
Сигнатуры
атак
Сигнатуры
атак
Сигнатуры
атак
Сигнатуры
атак
На

Системы обнаружения атакNet ProwlerSecure IDSeTrustIntrusionDetectionRealSecureSnortПроизводительAxentTechnologiesCiscoSystemsComputerAssociatesInternetSecuritySystemsНетПлатформаWindows NTЗащищеннаяверсияSolarisWindows NTWindows NT(2000)UnixТехнологияобнаруженияСигнатурыатакПринципреализацииСигнатурыатакСигнатурыатакСигнатурыатакСигнатурыатакНа базесетиНа базесетиНа базе

базе
сети
На базе
сети
На базе сети
+
возможности МЭ
На базе сети
и на базе
узла
На

базе
сети

Слайд 15 Система обнаружения атак RealSecure
TCP
IP
NIC

На базе узла
На базе

Система обнаружения атак RealSecure TCPIPNICНа базе узлаНа базе сети

сети


Слайд 16 Компоненты RealSecure
Модули слежения
Модули управления
Сетевой модуль
(Network Sensor)
Системный агент
(OS Sensor)
Server

Компоненты RealSecureМодули слеженияМодули управленияСетевой модуль(Network Sensor)Системный агент(OS Sensor)Server Sensor

Sensor


Слайд 17 Компоненты RealSecure
Модули слежения
Модули управления
Workgroup
Manager
Server Manager
Командная
строка

Компоненты RealSecureМодули слеженияМодули управленияWorkgroupManagerServer ManagerКомандная строка

Слайд 18 Компоненты RealSecure
Модули управления
Workgroup Manager
Event Collector
Enterprise Database

Компоненты RealSecureМодули управленияWorkgroup Manager Event Collector Enterprise Database Asset Database ConsoleServer ManagerКомандная строка

Asset Database
Console
Server Manager
Командная
строка


Слайд 19 Архитектура
Event Collector
(сбор событий с сенсоров)
Консоли
Сетевой модуль
(Network Sensor)
Системный

АрхитектураEvent Collector (сбор событий с сенсоров)КонсолиСетевой модуль(Network Sensor)Системный агент(OS Sensor)Server Sensor

агент
(OS Sensor)
Server Sensor


Слайд 20

Взаимодействие компонентов
Сенсоры
Консоли
Enterprise Database
Asset Database
Event Collector

Взаимодействие компонентовСенсорыКонсоли Enterprise Database Asset DatabaseEvent Collector

Слайд 21 Расположение сетевого модуля
Network
Sensor
Event Collector

Расположение сетевого модуляNetwork SensorEvent Collector

Слайд 22 Расположение системного агента
OS Sensor

Event Collector

Расположение системного агентаOS SensorEvent Collector

Слайд 23 Расположение Server Sensor
Server
Sensor

Event Collector

Расположение Server SensorServerSensorEvent Collector

Слайд 24
Пример атаки

Firewall


Web Server








UNIX


Шаг 1. При сканировании портов через

Пример атакиFirewallWeb ServerUNIXШаг 1. 	 При сканировании портов через МЭ была

МЭ была обнаружена служба rlogin на нескольких узлах и

служба IMAP, содержащая уязвимость, на почтовом сервере

Шаг 2. Использование уязвимости в службе IMAP для получения доступа с правами администратора к почтовому серверу в DMZ.



Шаг 4. Получение доступа к файлам, содержащим пароли и попытка их расшифровки. Получение доступа к другим узлам сети

Шаг 5. Установка серверной части троянского коня на одном из узлов


rlogin

Шаг 3. Почтовый сервер используется в качестве платформы для получения доступа к узлу с ОС Unix за МЭ.


Слайд 25 Пример атаки: Сеть + RealSecure








Firewall

E-Mail
Server

Web
Server

Router

NT

Clients & Workstations
Network


UNIX

NT

UNIX

UNIX

Шаг 1.

Пример атаки: Сеть + RealSecureFirewallE-MailServerWebServerRouterNTClients & WorkstationsNetworkUNIXNTUNIXUNIXШаг 1. 	 Сетевой сенсор

Сетевой сенсор обнаруживает попытки сканирования и реконфигурирует МЭ для

их блокировки. Серверный сенсор обнаруживает попытки подключения к портам и блокирует ответы на них.

Шаг 2. Сетевой сенсор обнаруживает атаку на службу IMAP. Серверный сенсор блокирует исходящие соединения, направленные во внутреннюю сеть

Шаг 5. Сетевой и серверный сенсор обнаруживают попытки установки или использования серверных частей троянских коней

Шаг 4. Серверный сенсор обнаруживает попытки доступа к файлам с паролями а также ограничивает использование служб FTP/Telnet.

Шаг 3. Серверный сенсор оповещает о попытках подключения со стороны узла из DMZ или блокирует такие попытки.




Network Sensors

Server Sensors


Слайд 26 Категории контролируемых событий
Атаки
Уровня сети (Сканирование портов,

Категории контролируемых событий Атаки Уровня сети (Сканирование портов, SYN Flood, Ping

SYN Flood, Ping of Death)
Уровня СУБД (MS SQL Server)
Уровня

приложений (Атаки на MS IIS, MS Exchange)
Установленные соединения
TELNET, FTP, SMTP
Пользовательские события
HTTP – запросы, содержимое почтовых сообщений

Слайд 27 Механизмы реагирования RealSecure
Разрыв соединения
Реконфигурация межсетевого экрана
Выполнение программы, определённой

Механизмы реагирования RealSecureРазрыв соединенияРеконфигурация межсетевого экранаВыполнение программы, определённой пользователемОтправка сообщенияНа консольПо

пользователем
Отправка сообщения
На консоль
По протоколу SNMP
По E-mail
Регистрация события в БД
Расширенная

регистрация с возможностью
последующего воспроизведения

Слайд 28 Server Sensor
Обнаружение атак на всех уровнях на конкретный

Server SensorОбнаружение атак на всех уровнях на конкретный узел сетиОсобенности: производительность

узел сети
Особенности:
производительность
работа в коммутируемых сетях
работа в

сетях с шифрованием

Функции персонального межсетевого экрана


Слайд 29 Server Sensor
2. Стек TCPIP
1. Low Module
3. High Module

Server Sensor2. Стек TCPIP1. Low Module3. High Module

Слайд 30 Система обнаружения
атак Snort

Система обнаружения атак Snort

Слайд 31 Архитектура
TCP
IP
NIC

По принципу реализации

Система на базе сети
По технологии

АрхитектураTCPIPNICПо принципу реализации Система на базе сетиПо технологии обнаружения Анализ сигнатур

обнаружения

Анализ сигнатур


Слайд 32 Режимы работы
Sniffer Mode

Packet Logger

Intrusion Detection

Режимы работы Sniffer Mode Packet Logger Intrusion Detection System

System


Слайд 33 Sniffer Mode
Вывод на экран содержимого пакетов
Ethernet
IP
TCP
UDP
ICMP
Данные
./snort -v
./snort -vd
./snort

Sniffer ModeВывод на экран содержимого пакетовEthernetIPTCPUDPICMPДанные./snort -v./snort -vd./snort -vdeIPTCPUDPICMPДанныеIPTCPUDPICMP

-vde
IP
TCP
UDP
ICMP
Данные
IP
TCP
UDP
ICMP


Слайд 34 Packet Logger
Запись содержимого пакетов в файл
./snort –vde –l

Packet Logger Запись содержимого пакетов в файл./snort –vde –l ./logподкаталог log в текущем каталоге

./log
подкаталог log в текущем каталоге


Слайд 35 Intrusion Detection System
Обнаружение событий
./snort –vde –l ./log

Intrusion Detection System Обнаружение событий./snort –vde –l ./log – c snort.confПравила срабатывания (контролируемые события)

– c snort.conf
Правила срабатывания (контролируемые события)


Слайд 36 Обнаружение атак и МЭ
Использование OPSec SDK,

Обнаружение атак и МЭ Использование OPSec SDK,  предоставляющих необходимые API

предоставляющих необходимые API
Применение открытых протоколов
CVP(Content Vectoring

Protocol)
UFP (URL Filter Protocol)
SAMP (Suspicious Activity Monitoring Protocol
LEA (Log Export API )
OMI (Object Management Interface)
Использование языка INSPECT

Концепция OPSec


Слайд 37 Реконфигурация МЭ
Network
Sensor
Протокол SAMP

Реконфигурация МЭNetwork SensorПротокол SAMP

Слайд 38 Реконфигурация МЭ
Network
Sensor
Протокол SAMP

Реконфигурация МЭNetwork SensorПротокол SAMP

  • Имя файла: obnaruzhenie-atak-6.pptx
  • Количество просмотров: 140
  • Количество скачиваний: 0