Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Обнаружение атак. Система RealSecure

Содержание

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак
Обнаружение атак. Система RealSecure Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак Архитектура систем обнаружения атак Модуль слежения Модуль управления Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭСенсоры Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭУправляющие компоненты Классификация систем обнаружения атак По уровням информационной инфраструктуры Классификация систем обнаружения атак Системы на базе узла Системы на базе сегмента По принципу реализации E-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭСистемы обнаружения атак  на базе узла Системы обнаружения атак  на базе узлаИсточники данных: Журналы аудита Действия пользователейНеобязательно:Сетевые Системы обнаружения атак  на базе сетиE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ Системы обнаружения атак  на базе сетиTCPIPNICИсточник данных: Сетевые пакеты (фреймы) Классификация систем обнаружения атак По технологии обнаруженияОбнаружение аномалийАнализ сигнатур Системы обнаружения атакNet ProwlerSecure IDSeTrustIntrusionDetectionRealSecureSnortПроизводительAxentTechnologiesCiscoSystemsComputerAssociatesInternetSecuritySystemsНетПлатформаWindows NTЗащищеннаяверсияSolarisWindows NTWindows NT(2000)UnixТехнологияобнаруженияСигнатурыатакПринципреализацииСигнатурыатакСигнатурыатакСигнатурыатакСигнатурыатакНа базесетиНа базесетиНа базе сети+возможности RealSecure - система обнаружения атак в реальном времениУстанавливается в сетевом сегменте или Компоненты RealSecureМодули слеженияМодули управленияСетевой модуль(Network Sensor)Системный агент(OS Sensor)Server Sensor Компоненты RealSecureМодули слеженияМодули управленияWorkgroupManagerServer ManagerКомандная строка Компоненты RealSecureМодули управленияWorkgroup Manager Event Collector Enterprise Database Asset Database ConsoleServer ManagerКомандная строка Компоненты RealSecure версии 6.0Event Collector (сбор событий с сенсоров)КонсолиСетевой модуль(Network Sensor)Системный агент(OS Sensor)Server Sensor АрхитектураСенсорыКонсоли Enterprise Database Asset DatabaseEvent Collector Расположение сетевого модуляNetwork SensorУправляющая консоль Расположение системного агентаOS SensorУправляющая консоль Расположение Server SensorServerSensorУправляющая консоль Примеры размещения RealSecureИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Категории контролируемых событий Атаки Уровня сети (Сканирование портов, SYN Flood, Ping of Механизмы реагирования RealSecureРазрыв соединенияРеконфигурация межсетевого экранаВыполнение программы, определённой пользователемОтправка сообщенияНа консольПо протоколу Network SensorИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕОсобенности:- обнаружение в реальном режиме времени- независимость от операционной системы- RealSecure и межсетевые экраныИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Модемы Атаки через «туннели» Атаки со стороны Server SensorИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕОбнаружение атак на всех уровнях на конкретный узел сетиОсобенности: производительность Server Sensor2. Стек TCPIP1. Low Module3. High Module Что делает управляющая консоль?Предоставляет интерфейс для конфигурирования модулей слеженияНа консоль поступают сообщения Концепция OPSecИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Использование OPSec SDK,    предоставляющих необходимые API Реконфигурация МЭNetwork SensorПротокол SAMP Реконфигурация МЭNetwork SensorПротокол SAMP Реконфигурация МЭNetwork Sensor Система обнаружения атак Snort АрхитектураTCPIPNICПо принципу реализации Система на базе сетиПо технологии обнаружения Анализ сигнатур Режимы работы Sniffer Mode Packet Logger Intrusion Detection System Sniffer ModeВывод на экран содержимого пакетовEthernetIPTCPUDPICMPДанные./snort -v./snort -vd./snort -vdeIPTCPUDPICMPДанныеIPTCPUDPICMP Packet Logger Запись содержимого пакетов в файл./snort –vde –l ./logподкаталог log в текущем каталоге Intrusion Detection System  Обнаружение событий./snort –vde –l ./log – c snort.confПравила срабатывания (контролируемые события)
Слайды презентации

Слайд 2 Средства защиты сетей
МЭ
Средства анализа защищённости
Средства

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак

обнаружения атак


Слайд 3 Архитектура систем обнаружения атак
Модуль слежения
Модуль

Архитектура систем обнаружения атак Модуль слежения Модуль управления

управления


Слайд 4
Архитектура систем обнаружения атак
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ
Сенсоры







Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭСенсоры

Слайд 5
Архитектура систем обнаружения атак
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ
Управляющие компоненты







Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭУправляющие компоненты

Слайд 6 Классификация систем обнаружения атак
По уровням информационной инфраструктуры

Классификация систем обнаружения атак По уровням информационной инфраструктуры

Слайд 7 Классификация систем обнаружения атак
Системы на базе узла

Классификация систем обнаружения атак Системы на базе узла Системы на базе сегмента По принципу реализации


Системы на базе сегмента
По принципу реализации


Слайд 8
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ





Системы обнаружения атак на базе узла

E-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭСистемы обнаружения атак на базе узла

Слайд 9
Системы обнаружения атак на базе узла
Источники данных:

Журналы

Системы обнаружения атак на базе узлаИсточники данных: Журналы аудита Действия пользователейНеобязательно:Сетевые

аудита

Действия пользователей

Необязательно:
Сетевые пакеты (фреймы),
направленные к узлу и от

узла

Слайд 10
Системы обнаружения атак на базе сети
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ


Системы обнаружения атак на базе сетиE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ

Слайд 11 Системы обнаружения атак на базе сети
TCP
IP
NIC

Источник данных:

Сетевые

Системы обнаружения атак на базе сетиTCPIPNICИсточник данных: Сетевые пакеты (фреймы)

пакеты (фреймы)


Слайд 12 Классификация систем обнаружения атак
По технологии обнаружения

Обнаружение аномалий

Анализ

Классификация систем обнаружения атак По технологии обнаруженияОбнаружение аномалийАнализ сигнатур

сигнатур



Слайд 13 Системы обнаружения атак

Net Prowler
Secure IDS
eTrust
Intrusion
Detection
RealSecure
Snort
Производитель
Axent
Technologies
Cisco
Systems
Computer
Associates
Internet
Security
Systems
Нет
Платформа
Windows NT
Защищенная
версия
Solaris
Windows NT
Windows NT
(2000)
Unix
Технология
обнаружения
Сигнатуры
атак
Принцип
реализации
Сигнатуры
атак
Сигнатуры
атак
Сигнатуры
атак
Сигнатуры
атак
На

Системы обнаружения атакNet ProwlerSecure IDSeTrustIntrusionDetectionRealSecureSnortПроизводительAxentTechnologiesCiscoSystemsComputerAssociatesInternetSecuritySystemsНетПлатформаWindows NTЗащищеннаяверсияSolarisWindows NTWindows NT(2000)UnixТехнологияобнаруженияСигнатурыатакПринципреализацииСигнатурыатакСигнатурыатакСигнатурыатакСигнатурыатакНа базесетиНа базесетиНа базе

базе
сети
На базе
сети
На базе сети
+
возможности МЭ
На базе сети
и на базе
узла
На

базе
сети

Слайд 14 RealSecure - система обнаружения атак
в реальном времени
Устанавливается

RealSecure - система обнаружения атак в реальном времениУстанавливается в сетевом сегменте

в сетевом сегменте или на
отдельном узле
Просматривает весь трафик сегмента

или
действия пользователя конкретного узла

Анализирует трафик с целью обнаружения атак и других
событий, связанных с безопасностью

В случае обнаружения предпринимает ответные действия


Слайд 15 Компоненты RealSecure
Модули слежения
Модули управления
Сетевой модуль
(Network Sensor)
Системный агент
(OS Sensor)
Server

Компоненты RealSecureМодули слеженияМодули управленияСетевой модуль(Network Sensor)Системный агент(OS Sensor)Server Sensor

Sensor


Слайд 16 Компоненты RealSecure
Модули слежения
Модули управления
Workgroup
Manager
Server Manager
Командная
строка

Компоненты RealSecureМодули слеженияМодули управленияWorkgroupManagerServer ManagerКомандная строка

Слайд 17 Компоненты RealSecure
Модули управления
Workgroup Manager
Event Collector
Enterprise Database

Компоненты RealSecureМодули управленияWorkgroup Manager Event Collector Enterprise Database Asset Database ConsoleServer ManagerКомандная строка

Asset Database
Console
Server Manager
Командная
строка


Слайд 18 Компоненты RealSecure версии 6.0
Event Collector
(сбор событий с

Компоненты RealSecure версии 6.0Event Collector (сбор событий с сенсоров)КонсолиСетевой модуль(Network Sensor)Системный агент(OS Sensor)Server Sensor

сенсоров)
Консоли
Сетевой модуль
(Network Sensor)
Системный агент
(OS Sensor)
Server Sensor


Слайд 19

Архитектура
Сенсоры
Консоли
Enterprise Database
Asset Database
Event Collector

АрхитектураСенсорыКонсоли Enterprise Database Asset DatabaseEvent Collector

Слайд 20 Расположение сетевого модуля
Network
Sensor
Управляющая консоль

Расположение сетевого модуляNetwork SensorУправляющая консоль

Слайд 21 Расположение системного агента
OS Sensor
Управляющая консоль

Расположение системного агентаOS SensorУправляющая консоль

Слайд 22 Расположение Server Sensor
Server
Sensor
Управляющая консоль

Расположение Server SensorServerSensorУправляющая консоль

Слайд 23 Примеры размещения RealSecure
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Примеры размещения RealSecureИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Слайд 24 Категории контролируемых событий
Атаки
Уровня сети (Сканирование портов,

Категории контролируемых событий Атаки Уровня сети (Сканирование портов, SYN Flood, Ping

SYN Flood, Ping of Death)
Уровня СУБД (MS SQL Server)
Уровня

приложений (Атаки на MS IIS, MS Exchange)
Установленные соединения
TELNET, FTP, SMTP
Пользовательские события
HTTP – запросы, содержимое почтовых сообщений

Слайд 25 Механизмы реагирования RealSecure
Разрыв соединения
Реконфигурация межсетевого экрана
Выполнение программы, определённой

Механизмы реагирования RealSecureРазрыв соединенияРеконфигурация межсетевого экранаВыполнение программы, определённой пользователемОтправка сообщенияНа консольПо

пользователем
Отправка сообщения
На консоль
По протоколу SNMP
По E-mail
Регистрация события в БД
Расширенная

регистрация с возможностью
последующего воспроизведения

Слайд 26 Network Sensor
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Особенности:
- обнаружение в реальном режиме времени
-

Network SensorИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕОсобенности:- обнаружение в реальном режиме времени- независимость от операционной

независимость от операционной системы
- обнаружение атак до достижения ею

цели

- невозможность обнаружения (Stealth-режим)


Слайд 27 RealSecure и межсетевые экраны
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Модемы

Атаки через

RealSecure и межсетевые экраныИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Модемы Атаки через «туннели» Атаки со

«туннели»

Атаки со стороны авторизованных пользователей

Атаки на межсетевые

экраны

Слайд 28 Server Sensor
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Обнаружение атак на всех уровнях на

Server SensorИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕОбнаружение атак на всех уровнях на конкретный узел сетиОсобенности:

конкретный узел сети
Особенности:
производительность
обнаружение всех атак
работа в

коммутируемых сетях
работают в сетях с шифрованием

Функции персонального межсетевого экрана


Слайд 29 Server Sensor
2. Стек TCPIP
1. Low Module
3. High Module

Server Sensor2. Стек TCPIP1. Low Module3. High Module

Слайд 30 Что делает управляющая консоль?
Предоставляет интерфейс для
конфигурирования модулей

Что делает управляющая консоль?Предоставляет интерфейс для конфигурирования модулей слеженияНа консоль поступают

слежения
На консоль поступают сообщения от
модулей слежения и данные,


записанные модулями слежения

Позволяет формировать отчёты на
основе собранных данных


Слайд 31 Концепция OPSec
ИНФОРМЗАЩИТА
НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Использование OPSec SDK,

Концепция OPSecИНФОРМЗАЩИТАНАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Использование OPSec SDK,  предоставляющих необходимые API Применение

предоставляющих необходимые API
Применение открытых протоколов
CVP(Content Vectoring Protocol)


UFP (URL Filter Protocol)
SAMP (Suspicious Activity Monitoring Protocol
LEA (Log Export API )
OMI (Object Management Interface)
Использование языка INSPECT

Слайд 32 Реконфигурация МЭ
Network
Sensor
Протокол SAMP

Реконфигурация МЭNetwork SensorПротокол SAMP

Слайд 33 Реконфигурация МЭ
Network
Sensor
Протокол SAMP

Реконфигурация МЭNetwork SensorПротокол SAMP

Слайд 34 Реконфигурация МЭ
Network
Sensor

Реконфигурация МЭNetwork Sensor

Слайд 35 Система обнаружения
атак Snort

Система обнаружения атак Snort

Слайд 36 Архитектура
TCP
IP
NIC

По принципу реализации

Система на базе сети
По технологии

АрхитектураTCPIPNICПо принципу реализации Система на базе сетиПо технологии обнаружения Анализ сигнатур

обнаружения

Анализ сигнатур


Слайд 37 Режимы работы
Sniffer Mode

Packet Logger

Intrusion Detection

Режимы работы Sniffer Mode Packet Logger Intrusion Detection System

System


Слайд 38 Sniffer Mode
Вывод на экран содержимого пакетов
Ethernet
IP
TCP
UDP
ICMP
Данные
./snort -v
./snort -vd
./snort

Sniffer ModeВывод на экран содержимого пакетовEthernetIPTCPUDPICMPДанные./snort -v./snort -vd./snort -vdeIPTCPUDPICMPДанныеIPTCPUDPICMP

-vde
IP
TCP
UDP
ICMP
Данные
IP
TCP
UDP
ICMP


Слайд 39 Packet Logger
Запись содержимого пакетов в файл
./snort –vde –l

Packet Logger Запись содержимого пакетов в файл./snort –vde –l ./logподкаталог log в текущем каталоге

./log
подкаталог log в текущем каталоге


  • Имя файла: obnaruzhenie-atak-sistema-realsecure.pptx
  • Количество просмотров: 194
  • Количество скачиваний: 0