Структура и функционирование СОВ Snort
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
ний. Первый способ более целесообразен нежели первый, так как нагрузка на машину со Snort уменьшается. На Рис. 2.1.1. межсетевой экран, маршрутизатор и СОВ показаны как логические блоки, физически же они могут заключаться все в одном устройстве.
При работе Snort в качестве узловой СОВ, она будет защищать только один сервер. Для этого она должна быть настроенно соответственно. На этом мы закончим рассмотрениие общего принципа работы СОВ и перейдём к более детальному её рассмотрению.
2.2 Архитектура СОВ Snort
Посмотрим, из каких же функциональных блоков состоит СОВ Snort. На Рис. 2.2.1. показаны компоненты, которых включает в себя Snort.
Рис. 2.2.1. Подсистемы СОВ Snort
Сенсорная подсистема - подсистема, занимающаяся сбором событий, которые связаны с безопасностью защищаемой система.
Подсистема анализа - подсистема, предназначенная для выявления атак и подозрительных действий на основе данных сенсорной подсистемы.
Подсистема хранения результатов анализа - подсистема, обеспечивающая накопление первичных событий и результатов анализа.
СОВ Snort включается в себя сниффер пакетов, который перехватывает все пакеты в своей подсети. На Рис. 2.2.2. показан принцип прохождения данных, полученных сниффером, через СОВ Snort.
Рис. 2.2.2. Прохождение данных через Snort
Рассмотрим этапы прождения данный через программный продукт Snort:
. Преобразование данных к пригодному для анализа виду. Это преобразование производится с помощью так называемого декодера;
. Анализ данных с помощью соответственных блоков программы;
. Преобразование полученных результатов к понятному для человека виду;
. Сохранение выходных данных в базу данных.
Глава 3 Практическое применение системы обнаружения вторжений Snort
3.1 Подготовка среды для проведения экспериментов
Для практического применение системы Snort нам необходимо несколько компьютеров, объединённых в сеть. Отличительной особенность является тот факт, что мы должны иметь одновременный доступ к нескольким машинам в этой компьютерной сети. В домашних условиях у нас не было возможности доступа к какой-нибудь реальной компьютерной сети, поэтому было найдено решение эмулировать виртуальную вычислительную сеть.
На современном рынке множество программных продуктов, созданных специально для решения подобных задач. Примером компании, занимающихся разработкой продуктов виртуализации, могут служить VMware, Parallels, Sun Microsystems. С помощью данных программ можно эмулировать оборудование реального компьютера. Созданная в этой среде машина называется виртуальной машиной. Виртуальная машина захватывает не все ресурсы компьютера сразу, пользователь может самостоятельно их ограничивать. К примеру, при создании виртуальной машины пользователь указывает объём жесткого диска, оперативной памяти, видео-памяти. На созданную виртуальный компьютер возможно произвести установку какого-нибудь программного обеспечения и комфортно с ним работать из своей же родной операционной системы. Для большей наглядности проиллюстрируем это рисунком 3.1.1.
Рис. 3.1.1. Использование ресурсов компьютера виртуальной машиной
Здесь показан реальный компьютер, на котором запущены такие программы, как браузер, видео проигрыватель и соответственно виртуальная машина. Все они используют реальные ресурсы компьютера. Виртуальная машина же эмулирует оборудование этого компьютера для своих гостевых операционных систем. На рисунке видно, что разным системам виртуальной машины отводится разное количество системных ресурсов. Операционная система реального компьютера по отношению к системам виртуальной машины называется хостовой.
Для моделирования компьютерной сети было создано несколько виртуальный машин, установлены операционные системы на них и объединение наших виртуальных компьютеров во внутреннюю сеть. Рассмотрим пошагово этапы моделирования сети с использованием выбранного нами программного продукта.
Выбор пал на кроссплатформенный продукт VirtualBox. Данная программа разрабатывается компанией Sun Microsystems. На виртуальную машину, созданную с использованием VirtualBox, можно установить такие операционные системы как Microsoft Windows, DOS, GNU/Linux, FreeBSD, Mac OS X, Sun Solaris/OpenSolaris. Приступим к созданию виртуальной машины.
По ходу создания виртуальной машин, система попросила нас установить объём оперативной памяти (Рис. 3.1.2.). Ограничимся 512 Мб памяти.
Рис. 3.1.2. Определение оперативной памяти
Затем указываем расположение файла с виртуальным диском на нашем физическом носителе, его название, а также его размер (Рис. 3.1.3.) Установим объём виртуального винчестера равный 10 ГБ.
Рис. 3.1.3. Определение объёма жесткого диска
В настройке программы можно указать количество ядер, которые будет использовать наша виртуальная машина (Рис. 3.1.4.). Выберем 2 ядра.
Рис. 3.1.4. Определние количество ядер просессора, используемое виртуальной машиной
Здесь же настраиваем сетевой интерфейс, выбрав внутренняя сеть (Рис. 3.1.5.).
Рис. 3.1.5. Выбор сетевого интерфейса
В конечном итоге на Рис. 3.1.6. показаны параметры созданной виртуальной машины:
Рис. 3.1.6. Параметры виртуальной машины
В результате получили две виртуальные машины с установленными операционными системами (Рис. 3.1.7.). В каждой виртуальной машине мы настроили сеть, указав ip-адрес