Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Обнаружение сетевых атак

Содержание

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак
Обнаружение сетевых атакРаздел 2 – Тема 14 Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак Архитектура систем обнаружения атакМодуль слеженияМодуль управления Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ Архитектура модуля слеженияИсточники данныхМеханизмыреагированияАлгоритм (технология)обнаружения Классификация систем обнаружения атакИсточники данных Системы на базе узла Системы на базе Системы обнаружения атак  на базе узлаE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ Системы обнаружения атак  на базе узлаИсточники данных: Журналы аудита Действия пользователейНеобязательно:Сетевые Системы обнаружения атак  на базе сетиE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ Системы обнаружения атак  на базе сетиИсточник данных: Сетевые пакеты (фреймы) Классификация систем обнаружения атакАлгоритм (технология)обнаруженияПо технологии обнаруженияОбнаружение аномалийОбнаружение злоупотреблений Обнаружение злоупотребленийАнализ сигнатурИсточникданныхСписок правил (сигнатур)Обнаруженаатака Сигнатуры для сетевых IDS Синтаксический разбор отдельных пакетов   (Packet grepping Анализ сигнатурABООВPort=139Windows Атака “WinNuke”Синтаксический разбор отдельных пакетов Анализ сигнатур Атака “FTP_SITE_EXEC”Анализ протоколовFTP-серверXtelnet ftp-server 21220 edu-main2k Microsoft FTP Service (Version Анализ сигнатур Удачная попытка обращения к файлуFTP-серверXАнализ протоколов с учётом состояния(сопоставление запросов Анализ сигнатур Атака “SynFlood”Анализ протоколов с учётом состояния(отслеживание количества запросов в единицу Системы обнаружения атакSourcefireIMS Secure IDSeTrustIntrusionDetectionRealSecureSnortПроизводительSourcefireCiscoSystemsComputerAssociatesInternetSecuritySystemsНетПлатформаUnixЗащищеннаяверсияSolarisWindows NTWindows NT(2000)UnixТехнологияобнаруженияСигнатурыатакПринципреализацииСигнатурыатакСигнатурыатакСигнатурыатакСигнатурыатакНа базесетиНа базесетиНа базе сети+возможности МЭНа Система обнаружения атак Snort АрхитектураПо принципу реализации Система на базе сетиПо технологии обнаружения Анализ сигнатур Режимы работы Sniffer Mode Packet Logger Intrusion Detection System Sniffer ModeВывод на экран содержимого пакетовEthernetIPTCPUDPICMPДанные./snort -v./snort -vd./snort -vdeIPTCPUDPICMPДанныеIPTCPUDPICMP Packet Logger Запись содержимого пакетов в файл./snort –vde –l ./logподкаталог log в текущем каталоге Intrusion Detection System  Обнаружение событий./snort –vde –l ./log – c snort.confПравила срабатывания (контролируемые события) Практическая работа 16Работа с программой Snort Система обнаружения атак RealSecure TCPIPNICНа базе узлаНа базе сети Компоненты RealSecureМодули слеженияМодули управленияСетевой модуль(Network Sensor)Серверный модуль(Server Sensor) Компоненты RealSecureМодули слеженияМодули управленияWorkgroupManagerSensor ManagerКомандная строкаSite Protector Компоненты RealSecureWorkgroup Manager Event Collector Enterprise Database Asset Database ConsoleКонсольEnterprise Database Asset DatabaseEvent Collector Трёхуровневая архитектураКомпонент, отвечающий засбор событий с сенсоровКонсолиМодули слежения Взаимодействие компонентов RealSecureКонсольEnterprise Database Asset DatabaseEvent Collector Расположение сетевого модуля слеженияNetwork SensorEvent CollectorСобранныеданные Механизмы реагирования RealSecureРазрыв соединенияРеконфигурация межсетевого экранаВыполнение программы, определённой пользователемОтправка сообщенияНа консольПо протоколу Размещение модулей слеженияE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ Практическая работа 16Работа с программой RealSecure Обнаружение атак и МЭКонцепция OPSecOPSECМЭСетевой модуль слежения Концепция OPSec OPSec SDK (набор необходимых API) Открытые протоколы CVP(Content Vectoring Protocol) Реконфигурация МЭПротокол SAMPNetwork Sensor Реконфигурация МЭПротокол SAMPNetwork Sensor Реконфигурация МЭNetwork Sensor
Слайды презентации

Слайд 2 Средства защиты сетей
МЭ
Средства анализа защищённости
Средства

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак

обнаружения атак


Слайд 3 Архитектура систем обнаружения атак
Модуль
слежения
Модуль
управления

Архитектура систем обнаружения атакМодуль слеженияМодуль управления

Слайд 4
Архитектура систем обнаружения атак
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ

Архитектура систем обнаружения атакE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ

Слайд 5 Архитектура модуля слежения

Источники
данных

Механизмы
реагирования

Алгоритм (технология)
обнаружения

Архитектура модуля слеженияИсточники данныхМеханизмыреагированияАлгоритм (технология)обнаружения

Слайд 6 Классификация систем обнаружения атак

Источники
данных
Системы на базе

Классификация систем обнаружения атакИсточники данных Системы на базе узла Системы на

узла
Системы на базе сегмента
По источнику данных (принципу реализации)
Защита

ОС

Защита СУБД

Защита приложений


Слайд 7
Системы обнаружения атак на базе узла
E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ

Системы обнаружения атак на базе узлаE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ

Слайд 8 Системы обнаружения атак на базе узла
Источники данных:

Журналы

Системы обнаружения атак на базе узлаИсточники данных: Журналы аудита Действия пользователейНеобязательно:Сетевые

аудита

Действия пользователей

Необязательно:
Сетевые пакеты (фреймы),
направленные к узлу и от

узла



Слайд 9 Системы обнаружения атак на базе сети

E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ

Системы обнаружения атак на базе сетиE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ

Слайд 10 Системы обнаружения атак на базе сети
Источник данных:

Сетевые

Системы обнаружения атак на базе сетиИсточник данных: Сетевые пакеты (фреймы)

пакеты (фреймы)


Слайд 11 Классификация систем обнаружения атак

Алгоритм (технология)
обнаружения
По технологии обнаружения
Обнаружение аномалий

Обнаружение

Классификация систем обнаружения атакАлгоритм (технология)обнаруженияПо технологии обнаруженияОбнаружение аномалийОбнаружение злоупотреблений

злоупотреблений


Слайд 12 Обнаружение злоупотреблений
Анализ сигнатур
Источник
данных


Список правил
(сигнатур)

Обнаружена
атака

Обнаружение злоупотребленийАнализ сигнатурИсточникданныхСписок правил (сигнатур)Обнаруженаатака

Слайд 13 Сигнатуры для сетевых IDS
Синтаксический разбор отдельных пакетов

Сигнатуры для сетевых IDS Синтаксический разбор отдельных пакетов  (Packet grepping

(Packet grepping signature)

Анализ протоколов (protocol analysis signature)

Анализ протоколов с учётом состояния (stateful protocol analysis signature)

Слайд 14 Анализ сигнатур
A
B
ООВ
Port=139
Windows

 Атака “WinNuke”
Синтаксический разбор отдельных пакетов

Анализ сигнатурABООВPort=139Windows Атака “WinNuke”Синтаксический разбор отдельных пакетов

Слайд 15 Анализ сигнатур
 Атака “FTP_SITE_EXEC”
Анализ протоколов
FTP-сервер
X
telnet ftp-server 21
220 edu-main2k

Анализ сигнатур Атака “FTP_SITE_EXEC”Анализ протоколовFTP-серверXtelnet ftp-server 21220 edu-main2k Microsoft FTP Service

Microsoft FTP Service (Version 5.0).
USER ftp
331 Anonymous access allowed,

send identity (e-mail name) as password.
PASS www@
230 Anonymous user logged in.
SITE EXEC
……

Слайд 16 Анализ сигнатур
 Удачная попытка обращения к файлу
FTP-сервер
X
Анализ протоколов

Анализ сигнатур Удачная попытка обращения к файлуFTP-серверXАнализ протоколов с учётом состояния(сопоставление

с учётом состояния
(сопоставление запросов и ответов)
Обращение к определённому файлу
Код

ответа «2хх»

Слайд 17 Анализ сигнатур
 Атака “SynFlood”
Анализ протоколов с учётом состояния
(отслеживание

Анализ сигнатур Атака “SynFlood”Анализ протоколов с учётом состояния(отслеживание количества запросов в

количества запросов в единицу времени)
A
SYN
X
SYN
ACK
SYN

Узел А

SYN Узел А

SYN Узел А

SYN Узел А

SYN Узел А


Слайд 18 Системы обнаружения атак

Sourcefire
IMS
Secure IDS
eTrust
Intrusion
Detection
RealSecure
Snort
Производитель
Sourcefire

Cisco
Systems
Computer
Associates
Internet
Security
Systems
Нет
Платформа
Unix
Защищенная
версия
Solaris
Windows NT
Windows NT
(2000)
Unix
Технология
обнаружения
Сигнатуры
атак
Принцип
реализации
Сигнатуры
атак
Сигнатуры
атак
Сигнатуры
атак
Сигнатуры
атак
На базе
сети
На

Системы обнаружения атакSourcefireIMS Secure IDSeTrustIntrusionDetectionRealSecureSnortПроизводительSourcefireCiscoSystemsComputerAssociatesInternetSecuritySystemsНетПлатформаUnixЗащищеннаяверсияSolarisWindows NTWindows NT(2000)UnixТехнологияобнаруженияСигнатурыатакПринципреализацииСигнатурыатакСигнатурыатакСигнатурыатакСигнатурыатакНа базесетиНа базесетиНа базе сети+возможности

базе
сети
На базе сети
+
возможности МЭ
На базе сети
и на базе
узла
На базе
сети


Слайд 19 Система обнаружения
атак Snort

Система обнаружения атак Snort

Слайд 20
Архитектура
По принципу реализации

Система на базе сети
По технологии

АрхитектураПо принципу реализации Система на базе сетиПо технологии обнаружения Анализ сигнатур

обнаружения

Анализ сигнатур


Слайд 21 Режимы работы
Sniffer Mode

Packet Logger

Intrusion Detection

Режимы работы Sniffer Mode Packet Logger Intrusion Detection System

System


Слайд 22 Sniffer Mode
Вывод на экран содержимого пакетов
Ethernet
IP
TCP
UDP
ICMP
Данные
./snort -v
./snort -vd
./snort

Sniffer ModeВывод на экран содержимого пакетовEthernetIPTCPUDPICMPДанные./snort -v./snort -vd./snort -vdeIPTCPUDPICMPДанныеIPTCPUDPICMP

-vde
IP
TCP
UDP
ICMP
Данные
IP
TCP
UDP
ICMP


Слайд 23 Packet Logger
Запись содержимого пакетов в файл
./snort –vde –l

Packet Logger Запись содержимого пакетов в файл./snort –vde –l ./logподкаталог log в текущем каталоге

./log
подкаталог log в текущем каталоге


Слайд 24 Intrusion Detection System
Обнаружение событий
./snort –vde –l ./log

Intrusion Detection System Обнаружение событий./snort –vde –l ./log – c snort.confПравила срабатывания (контролируемые события)

– c snort.conf
Правила срабатывания (контролируемые события)


Слайд 25 Практическая работа 16
Работа с программой Snort

Практическая работа 16Работа с программой Snort

Слайд 26 Система обнаружения атак RealSecure
TCP
IP
NIC

На базе узла
На базе

Система обнаружения атак RealSecure TCPIPNICНа базе узлаНа базе сети

сети


Слайд 27 Компоненты RealSecure
Модули слежения
Модули управления
Сетевой модуль
(Network Sensor)
Серверный модуль
(Server Sensor)

Компоненты RealSecureМодули слеженияМодули управленияСетевой модуль(Network Sensor)Серверный модуль(Server Sensor)

Слайд 28 Компоненты RealSecure
Модули слежения
Модули управления
Workgroup
Manager
Sensor
Manager
Командная
строка
Site Protector

Компоненты RealSecureМодули слеженияМодули управленияWorkgroupManagerSensor ManagerКомандная строкаSite Protector

Слайд 29 Компоненты RealSecure
Workgroup Manager
Event Collector
Enterprise Database
Asset

Компоненты RealSecureWorkgroup Manager Event Collector Enterprise Database Asset Database ConsoleКонсольEnterprise Database Asset DatabaseEvent Collector

Database
Console

Консоль

Enterprise Database
Asset Database
Event Collector


Слайд 30 Трёхуровневая архитектура
Компонент, отвечающий за
сбор событий с сенсоров
Консоли

Модули слежения


Трёхуровневая архитектураКомпонент, отвечающий засбор событий с сенсоровКонсолиМодули слежения

Слайд 31
Взаимодействие компонентов RealSecure
Консоль

Enterprise Database
Asset Database
Event Collector

Взаимодействие компонентов RealSecureКонсольEnterprise Database Asset DatabaseEvent Collector

Слайд 32 Расположение сетевого модуля слежения
Network
Sensor
Event Collector


Собранные
данные

Расположение сетевого модуля слеженияNetwork SensorEvent CollectorСобранныеданные

Слайд 33 Механизмы реагирования RealSecure
Разрыв соединения
Реконфигурация межсетевого экрана
Выполнение программы, определённой

Механизмы реагирования RealSecureРазрыв соединенияРеконфигурация межсетевого экранаВыполнение программы, определённой пользователемОтправка сообщенияНа консольПо

пользователем
Отправка сообщения
На консоль
По протоколу SNMP
По E-mail
Регистрация события в БД
Расширенная

регистрация с возможностью
последующего воспроизведения сессии
прикладного уровня

Слайд 34 Размещение модулей слежения

E-Mail сервер
WWW
сервер
Рабочие места
Маршру-тизатор
МЭ

Размещение модулей слеженияE-Mail серверWWWсерверРабочие местаМаршру-тизаторМЭ

Слайд 35 Практическая работа 16
Работа с программой RealSecure

Практическая работа 16Работа с программой RealSecure

Слайд 36 Обнаружение атак и МЭ
Концепция OPSec
OPSEC
МЭ
Сетевой модуль слежения

Обнаружение атак и МЭКонцепция OPSecOPSECМЭСетевой модуль слежения

Слайд 37 Концепция OPSec
OPSec SDK (набор необходимых API)
Открытые

Концепция OPSec OPSec SDK (набор необходимых API) Открытые протоколы CVP(Content Vectoring

протоколы
CVP(Content Vectoring Protocol)
UFP (URL Filter Protocol)

SAMP (Suspicious Activity Monitoring Protocol)
Язык INSPECT



Слайд 38 Реконфигурация МЭ
Протокол SAMP

Network
Sensor

Реконфигурация МЭПротокол SAMPNetwork Sensor

Слайд 39 Реконфигурация МЭ
Протокол SAMP

Network
Sensor

Реконфигурация МЭПротокол SAMPNetwork Sensor

  • Имя файла: obnaruzhenie-setevyh-atak.pptx
  • Количество просмотров: 134
  • Количество скачиваний: 0