Лабораторная работа №1 Басып кіруді анықтау жүйелерімен жұмыс Жұмыстың мақсаты: "форпост" жүйесін және оның қолданылуын зерттеу



бет1/5
Дата01.10.2022
өлшемі3,91 Mb.
#151337
түріЛабораторная работа
  1   2   3   4   5
Байланысты:
лаб -1 каз

Лабораторная работа № 1


Басып кіруді анықтау жүйелерімен жұмыс


Жұмыстың мақсаты: "ФОРПОСТ" жүйесін және оның қолданылуын зерттеу
I. Теориялық бөлім.

Компьютерлік шабуылдарды анықтау жүйесі (IDS-Intrusion detection system, анг-дан аударылған. орыс тіліндегі термин-СОВ/СОА)" ФОРПОСТ " 2.0 нұсқасы. компьютерлік шабуылдар немесе басып Кірулер ретінде жіктелуі мүмкін осы құралмен бақыланатын автоматтандырылған ақпараттық жүйеге әсерді автоматты түрде анықтауға және анықталған компьютерлік шабуылдардың дамуын тежеуге арналған.


Басып кіруді анықтау жүйесі (Intrusion Detection System, IDS) - компьютерлік жүйеге немесе желіге авторланбаған кіру немесе оларды интернет арқылы рұқсатсыз басқару фактілерін анықтауға арналған бағдарламалық немесе аппараттық құрал. IDS - бұл желіні бақылайтын және орынсыз, дұрыс емес немесе аномалды әрекеттерді анықтайтын жүйе.
Басып кіруді анықтау жүйелері компьютерлік жүйелерді қорғаудың қосымша деңгейін қамтамасыз етеді. Басып кіруді анықтау жүйелері компьютерлік жүйенің қауіпсіздігін бұзатын зиянды белсенділіктің кейбір түрлерін анықтау үшін қолданылады. Мұндай белсенділікке осал сервистерге қарсы желілік шабуылдар, артықшылықтарды арттыруға бағытталған шабуылдар, маңызды файлдарға авторланбаған қол жеткізу, сондай-ақ зиянды бағдарламалық қамтамасыз етудің (компьютерлік вирустар, трояндар мен құрттар) әрекеттері жатады. IDS архитектурасы кіреді:

  • қорғалатын жүйенің қауіпсіздігіне байланысты оқиғаларды жинауға арналған сенсорлық жүйе;

  • сенсорлар деректерінің негізінде шабуылдарды және күдікті әрекеттерді анықтауға арналған талдау жүйесі;

  • бастапқы оқиғалар мен талдау нәтижелерінің жинақталуын қамтамасыз ететін қойма;

  • IDS конфигурациялауға, қорғалған жүйе мен IDS күйін бақылауға, талдау ішкі жүйесі анықтаған оқиғаларды көруге мүмкіндік беретін басқару консолі.

Сенсорлардың түрі мен орналасуына, сондай-ақ күдікті белсенділікті анықтау үшін қолданылатын ішкі талдау әдістеріне байланысты IDS жіктеудің бірнеше жолы бар.
IDS (Intrusion Detection System) - бұл желіде орынсыз, дұрыс емес немесе аномалиясыз әрекеттерді анықтайтын және олар туралы есеп беретін жүйелер. Сонымен қатар, IDS желіні немесе серверді рұқсат етілмеген басып кіруді анықтау үшін пайдаланылуы мүмкін. IDS екі негізгі түрі бар. Біріншісі - желіні басып кіруді анықтау жүйесі (NIDS). Бұл жүйелер желідегі трафикті зерттейді және шабуылдарды анықтау үшін бірнеше хосттарды бақылайды. Сенсорлар желідегі трафикті түсіру үшін қолданылады және зиянды мазмұнды анықтау үшін әр пакетке талдау жасалады. Екінші түрі - хостқа негізделген басып кіруді анықтау жүйесі (HIDS).
IDS желісінде сенсорлар бақылау үшін маңызды желінің нүктелерінде, көбінесе қарусызданған аймақта немесе желінің шекарасында орналасады. Сенсор барлық желілік трафикті ұстап алады және зиянды компоненттер үшін әр пакеттің мазмұнын талдайды. IDS хаттамасы белгілі бір хаттамалардың немесе тіл синтаксисінің ережелерін бұзатын трафикті бақылау үшін қолданылады (мысалы, SQL). IDS хосты сенсор орнатылған хосттың жұмысын бақылайтын бағдарламалық жасақтама құралы болып табылады. Сондай-ақ, IDS түрлерінің гибридті нұсқалары:

  • Желіге негізделген IDS (Network-based IDS, NIDS) желілік трафикті тексеру арқылы басып кіруді қадағалайды және бірнеше хостқа бақылау жүргізеді. Басып кіруді анықтаудың желілік жүйесі хабқа немесе порттардың айналануына немесе желілік TAP құрылғысына қосылған желілік трафикке қол жеткізуге болады. Желіге негізделген IDS мысалы - Snort.

  • Хаттамаға негізделген IDS (Protocol-based IDS, PIDS) - байланыс жүйелерін немесе пайдаланушылармен байланыс протоколдарын бақылайтын және талдайтын жүйе (немесе агент). Веб-сервер үшін мұндай IDS HTTP және HTTPS протоколдарын бақылайды. HTTPS IDS пайдаланғанда HTTPS пакеттерін шифрлау және желіге жібергенге дейін көру үшін интерфейсте орналасуы керек.

  • Қолданбалы хаттамаға негізделген IDS (Application Protocol-based IDS, APIDS) - қолданбалы хаттамалардың көмегімен берілетін деректерді бақылайтын және талдайтын жүйе (немесе агент). Мысалы, SQL дерекқоры бар веб-серверде IDS серверге жіберілген SQL командаларының мазмұнын қадағалайды.

  • Тораптық IDS (Host-based IDS, HIDS) — хостта орналасқан жүйе (немесе агент), жүйелік шақыруларды, қосымшалар логтарын, файлдардың модификацияларын (орындалатын, пароль файлдарын, жүйелік деректер базасын), хост жағдайын және басқа да көздерді талдауды пайдалана отырып, басып кіруді қадағалайтын жүйе (немесе агент). Тораптық IDS мысалы - OSSEC.

  • Гибридті IDS - IDS әзірлеуге екі және одан да көп тәсілдерді біріктіреді. Сонымен қатар, желі қауіпсіздігі туралы толық түсінік беру үшін, хостердегі агенттерден алынған мәліметтер желілік ақпаратпен біріктіріледі. Гибридті IDS мысалы ретінде Prelude келтіруге болады.

Пассивті жүйеде қауіпсіздік бұзылуы анықталған кезде, бұзушылық туралы ақпарат қосымшалар журналына жазылады, ал қауіп-қатер туралы ақпарат консольге немесе жүйелік әкімшісіне нақты байланыс арнасы арқылы жіберіледі.
Активті жүйеде (Intrusion Prevention system) IPS басып кіруді болдырмау жүйесі IDS бұзушылыққа жауап берушіден трафикті бұғаттау үшін қосылымды қалпына келтіру немесе брандмауэрды қайта құру арқылы жауап береді. Жауап беру әрекеттері автоматты түрде немесе оператордың бұйрығымен орындалуы мүмкін.

Анықтау әдістері




Достарыңызбен бөлісу:
  1   2   3   4   5




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет