Структура и функционирование СОВ Snort
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
одукт выпускает французская компания.
. Snort - это продукт с открытым исходным кодом для обнаружени и предотвращения вторжений. Изначальной система умела только обнаруживать вторжения, но затем переросла в зрелую и более многофункциональную систему предотвращения вторжений. Система способна выполнять в режиме реального времени анализ трафика и регистрацию по ip-сети. Она заслужила всемирную известность, в связи с этим существует довольно большое число сообщест по поддрежке продукта.
В таблице 1.6.1. приведём сравнение четыёх систем обнаружения систем по нескольким параметрам.
Табл. 1.6.1. Сравнительная характеристика систем обнаружения вторжений
СОВ ПараметрBroCATNETOSSECSnortБесплатность+?++Открытость исходных кодов+?++Мультиплатформенность?+++Графический интерфейс?++?Тип по мониторингу системысетеваясетеваяузловаясетевая, узловая
Для рассмотрения СОВ предпочтение было отдано Snort. При выборе системы руководствовались следующими принципами:
. Бесплатность.
Для меня данный фактор являлся существенным, так как все СОВ работают по одному принципу. При рассмотрении структуры и организации работы одной из систем, можно легко ориентироваться в других в будущем.
. Открытость исходного кода.
Данный продукт с открытым исходным кодом. Преимущество в том, что любой желающий может просмотреть и редактировать исходный код программы, внося свой вклад в развитие проекта. Благодаря этому Snort развивается быстрыми темпами.
. Мультиплатформенность.
Snort разрабатывается для разных операционных систем. Проще говоря, установив и настроив СОВ на одном компьютере, его можно перенести без особых трудностей на другую машину с отличной от этой операционной системой. Данный продукт существует под такие операционные машины как Windows и семейство UNIX-подобных систем.
. Простота в настройке.
Программный продукт хорошо документирован. На официальном сайте разработчика можно скачать руководство пользователя, в котором доступно описаны все возможности Snort и каким образом его можно сконфигурировать. Язык написания собственных правил гибкий и мощный.
. Наличие различных сообществ.
Существуют много различных сообществ поддерживающих пользователей Snort. Также есть сообщества разрабатывающие правила для Snort, тем самым база правил постоянно совершенствуется для распознавания новых видов атак.
. Включение в себя системы определения и предотвращения вторжений.
Snort включает в себя не только систему определения вторжения, но и систему предотвращения вторжений.
Из данной главы можно сделать вывод, что применение систем обнаружения вторжений довольно актуально, поэтому давайте же перейдём к рассмотрению СОВ Snort.
Глава 2 Структура и функционирование СОВ Snort
В этой главе мы рассмотрим Snort, которая является бесплатной сетевой системой предотвращения вторжений (IPS) и сетевой системой обнаружения вторжений (IDS) с открытым исходным кодом, способной выполнять регистрацию пакетов и в реальном времени осуществлять анализ трафика в IP сетях. Snort была написана Мартином Роешом и в настоящее время разрабатывается компанией Sourcefire, основателем и техническим директором которой является Роеш. Sourcefire предлагает так же коммерческие версии систем для предприятий, специализированные аппаратные платформы и услуги по поддержке.
Snort выполняет протоколирование, анализ, поиск по содержимому, а также широко используется для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований, таких как переполнение буфера, стелс-сканирование портов, атаки на веб-приложения, SMB-зондирование и попытки определения ОС. Программное обеспечение в основном используется для предотвращения проникновения, блокирования атак, если они имеют место.
2.1 Общий принцип функционирования СОВ
Систему обнаружения вторжений Snort по способу мониторинга системы можно отнести как к узловой, так и к сетевой системе в зависимости от параметров настройки. Обычно она защищает определённый сегмент локальной сети от внешних атак из интернета. На Рис. 2.1.1. показана схема сети и работа Snort в ней. СОВ выделенная красным прямоугольником работает как узловая СОВ, другая же как сетевая. Пусть кто-то через сеть интернет отправляет пакет. После этого пакет попадает в маршрутизатор и передаётся дальше в нужную подсеть. Пройдя через маршрутизатор, пакет проходит или не проходит через межсетевой экран. Его ещё называею файервол, брауменд. Межсетевой экран - это комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Здесь нужно отметить, что файервол, как правило, совмещён с маршрутизатором, но они могут сосуществовать как и отдельные устройства.
Рис. 2.1.1. Построение сети с установленной сетевой СОВ Snort
После этого пакет попадает на машину с СОВ Snort, которая контролирует нашу подсеть. Snort просмартривает не подпадает ли пакет под какое-либо, существующее в её базе, правило. Если такого правила не существует, то пакет передаётся дальше получателю, иначе же Snort передаёт межсетевому экрану соответсвующие команды. Команды могут быть двух видов:
. Система позволяет передавать пакет получателю;
. Система запрещает передавать пакет получателю.
Существует также и другой способ, в котором сетевые пакеты из интернета попадают сначала не межсетевому экрану, а системе обнаружения вторже