Структура и функционирование СОВ Snort
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
подделанные сетевые адреса, это может нанести большой вред невинным хостам и пользователям. Наконец, ответный удар может спровоцировать атакующего, который первоначально намеревался только просмотреть хост жертвы, не выполняя более никаких агрессивных действий.
.Пассивные действия.
Пассивные ответы СОВ предоставляют информацию пользователям системы, предполагая, что человек сам выполнит дальнейшие действия на основе данной информации. Многие коммерческие СОВ предполагают исключительно пассивные ответы.
2.1. Тревоги и оповещения.
Тревоги и оповещения создаются СОВ для информирования администраторов об обнаружении атак. Большинство коммерческих IDS позволяют администраторам определять детали того, какие и когда тревоги создаются и кому и как они передаются.
Чаще всего сигнал тревоги выводится на экран или в выпадающее окно на консоли СОВ или других систем, что может быть задано администратором при конфигурировании СОВ. Информация, указываемая в сообщении о тревоге, может сильно варьироваться: от простого уведомления, что происходит проникновение, до очень детализированных сообщений, указывающих IP-адреса источника и цели атаки, конкретное инструментальное средство атаки, используемое для получения доступа, и результат атаки.
Другим множеством опций, используемых в больших или распределенных организациях, является возможность удаленного оповещения о тревогах. Это позволяет организации сконфигурировать СОВ таким образом, чтобы она посылала сообщение о тревоге на сотовые телефоны.
В некоторых случаях также можно, например, использовать e-mail в качестве канала передачи сообщений об атаках. Но это не всегда оправданно, так как атакующий может иметь возможность просматривать исходящий e-mail трафик и блокировать это сообщение.
2.2. Использование SNMP Traps.
Некоторые коммерческие СОВ разработаны таким образом, чтобы передавать оповещения о тревоге системе управления сетью. При этом используются SNMP traps для передачи сообщения на центральную консоль управления сетью, где они могут быть обработаны персоналом, обслуживающим сеть. Данная схема имеет несколько преимуществ, которые включают возможность адаптировать всю инфраструктуру сети к ответу на осуществляемую атаку, возможность управлять нагрузкой системы и возможность использовать обычные коммуникационные каналы.
2.3. Возможности отчетов и архивирования.
Многие, если не все коммерческие СОВ предоставляют возможности создания отчетов и других детализированных информационных документов. Некоторые из них могут создавать отчет о системных событиях и проникновениях, обнаруженных за конкретный период (например, неделя или месяц). Некоторые предоставляют статистику или логи, созданные СОВ, в формате, понимаемом базами данных или другим ПО, создающим отчеты.
2.4. Возможность хранения информации о сбоях.
При обсуждении возможностей различных СОВ важно рассмотреть способы хранения информации о сбоях и отказах. Возможность хранения информации о сбоях обеспечивает дополнительный способ защиты СОВ от обхода ее атакующим. Это является обязательным требованием для средств управления, которые можно iитать безопасными.
Существует несколько областей при создании ответа, которые требуют возможности хранения сбоев. Например, в СОВ должна существовать возможность тихого и надежного мониторинга за атакующими. Должна также существовать функция ответа в СОВ, прерывающая данную тишину широковещательными сообщениями о тревоге открытым текстом в просматриваемой сети, что позволит атакующему определить наличие СОВ. При этом следует учитывать, что атакующие могут иметь непосредственной целью СОВ как часть атаки.
Зашифрованные туннели и другие криптографические механизмы, используемые для скрытия информации и аутентификации компонентов СОВ, являются отличным способом обезопасить и гарантировать надежность функционирования СОВ [4].
1.6 Существующие на рынке системы обнаружения вторжений
На современном рынке существует множество различные систем обнаружения вторжения. Приведём некоторые из них:
. OSSEC является масштабируемой, мультиплатформенной узловой системой обнаружения вторжений. Она имеет мощный компонента анализа, в неё интергрирован анализ логов, проверка целостности файлов, централизованная политика, обнаружение руткитов, оповещение в режиме рельного времени и активные ответные меры. СОВ работает в большинстве операционных систем, широко используемая. OSSEC очень активно развивается, т.е. выпускается каждые месяца. Для корпоративный клиентов существует коммерческая поддержка. Данный продукт хорошо задокументирован.
. Bro является сетевой системой обнаружения вторжений с открытым исходным кодом. Она является пассивной СОВ только для пользователей unix-подобный операционных систем. На сайте производителя утверждается, что данный программный продукт настоятельно рекомендуется использовать только как дополнение к уже установленной СОВ. Документация весьма скудная.
. CATNET - это интелектуальная система для обнаружения, анализа и регистрации инциндентов в сети. Она может обнаруживать аномалии и попытки сетевых вторжений, контролировать инфраструктуру организации. Продукт предлагает быстрый и эффективный мониторинг сети, мониторинг безопасности, журнал событий для последующего анализа, поддержка продукта. К сожалению документация к данному программному продукту была найдена только на французком языке, пр