Лабораторная работа №1 Басып кіруді анықтау жүйелерімен жұмыс Жұмыстың мақсаты: "форпост" жүйесін және оның қолданылуын зерттеу



бет3/5
Дата01.10.2022
өлшемі3,91 Mb.
#151337
түріЛабораторная работа
1   2   3   4   5
Байланысты:
лаб -1 каз

Unix-ке арналған басып кіруді анықтау жүйелері
Хостқа негізделген басып кіруді анықтау жүйелері:

  • CrowdStrike Falcon

  • OSSEC

  • EventLog Analyzer

  • Sagan

  • AIDE

  • Samhain

  • Fail2Ban

Желіге негізделген басып кіруді анықтау жүйелері:

  • Snort

  • Zeek

  • Suricata

  • Sagan

Mac OS үшін басып кіруді внықтау жүйелері
Хостқа негізделген басып кіруді анықтау жүйелері:

  • CrowdStrike Falcon

  • OSSEC

  • EventLog Analyzer

  • Sagan

  • AIDE

  • Samhain

  • Fail2Ban

Желіге негізделген басып кіруді анықтау жүйелері:

  • Zeek

  • Suricata

  • Sagan

Басып кіруді анықтаудың ашық жүйелері, бағдарламалық қамтамасыз етудің үздік құралдары (Open Intrusion Detection Systems)





  1. SolarWinds Security Event Manager 




SolarWinds Security Event Manager (SEM) Windows Server серверінде жұмыс істейді, Unix, Linux және Mac OS компьютерлерінде, сонымен қатар Windows компьютерлерінде құрылған хабарламаларды тіркей алады. Журнал менеджері ретінде бұл хостқа негізделген шабуылды анықтау жүйесі, өйткені ол жүйеде файлдарды басқарумен байланысты. Сонымен бірге, ол Snort жинаған деректерді басқарады, бұл оны желілік негіздегі басып кіруді анықтау жүйесінің бөлігі етеді.
SolarWinds өнімі, сондай-ақ басып кіруді болдырмау жүйесі ретінде әрекет ете алады, өйткені ол басып кіруді анықтау бойынша іс-қимыл жасауға бастамашы болады. Пакет 700 астам оқиғаны корреляциялау ережелерімен жеткізіледі, бұл оған күдікті әрекеттерді анықтауға және түзету бойынша әрекеттерді автоматты түрде орындауға мүмкіндік береді. Бұл әрекеттер белсенді реакциялар деп аталады. Бұл белсенді реакциялар қамтиды:

  • SNMP, экрандық хабарлар немесе электрондық пошта арқылы инциденттер туралы хабарландыру

  • USB құрылғысын оқшаулау

  • Пайдаланушының есептік жазбасының қолданылуын тоқтата тұру немесе пайдаланушыны алып тастау

  • IP-адрестерді бұғаттау

  • Өлтіру процестері

  • Жүйені өшіру немесе қайта қосу

  • Қызметті аяқтау

  • Қызметті іске қосу

Қауіпсіздік оқиғаларының диспетчерінің қысқа хабарламаларын өңдеу мүмкіндігі оны желілік қауіпсіздік мониторы етеді. Зиянды белсенділік жүйенің Snort деректерін басқа да оқиғалармен біріктіре отырып, құралдардың қабілеттілігінің арқасында бірден өшірілуі мүмкін. Жалған іске қосылулар анықталған кезде сервис жұмысының бұзылу тәуекелі оқиғаларды корреляциялаудың икемделген ережелерінің арқасында айтарлықтай төмендейді. Сіз 30 күндік тегін сынақ нұсқасында осы желілік қауіпсіздік жүйесіне қол жеткізе аласыз.

  1. CrowdStrike Falcon




CrowdStrike Falcon жүйесі - бұл соңғы нүктелерді қорғау платформасы (EPP). Бұл HIDS, өйткені ол желілік белсенділіктен гөрі жеке нүктелердегі әрекеттерді бақылайды. Алайда, типтік HIDS қарағанда, жүйе қадағаланатын құрылғыларда журнал файлдарына назар аударылмайды және әрбір компьютерде іске қосылған процестерді қарастырады, бұл әдетте NIDS стратегиясы болып табылады.
Falcon платформасы - модульдер жиынтығы. HIDS функционалдығы Falcon Insight блогымен қамтамасыз етіледі. Бұл соңғы нүктелерді анықтау және әрекет ету жүйесі (EDR). EPP негізгі модулі келесі ұрпақтың AV-жүйесін білдіретін Falcon Prevent деп аталады. Бұл зиянды әрекеттерді анықтау үшін оның әдіснамасын пайдаланады. Бұл екі модульдің әдістері арасындағы айырмашылық үлкен емес, себебі екі әдіс де ауытқушылық әрекеттерді қадағалайды. Дегенмен, Falcon Prevent ерекше ерекшелігі, ол зиянды бағдарламалық қамтамасыз ету іздейді, ал Falcon Insight арнайы басып кіруді іздейді.
Falcon Insight журнал файлында сақталуы тиіс қорғалған компьютердегі оқиғаларды жазады, сондықтан зерттеу және анықтау құралы таза HIDS стратегиясын пайдаланады, сондықтан осы оқиғалар жазылған. EPP оқиғасын жинау элементі-қорғалған құрылғыда орнатылған агент. Агент бұлтты резидент болып табылатын орталық EPP өңдеу жүйесімен өзара іс-қимыл жасайды. Адам-әкімші қорғалған соңғы нүктелер кез келген стандартты браузер арқылы Falcon мониторинг панеліне қол жеткізеді.
Crowdstrike Falcon бағдарламалық қамтамасыз етудің гибридті, бұлтты архитектурасының артықшылығы - бұл жүйе сіздің аппараттық құралдарыңызға өте жеңіл. Қатерлерді талдауға арналған барлық өңдеу қуаты CrowdStrike серверлерінде аналитикалық бағдарламалармен қамтамасыз етілген. Бұл қауіпсіздік қызметін орнату компьютерлердің жұмысын баяулатпайды және оларға берілген тапсырмаларды орындауға мүмкіндік береді. Дегенмен, агент қауіптерді жоюдың іске асырылған құралы ретінде әрекет етеді, сондықтан Интернетке қосылу мүмкін болмай қалса да, ол жұмысын жалғастырады.
CrowdStrike Falcon төрт нұсқада шығарылады: Pro, Enterprise, Premium және толық. Falcon Insight Premium және Enterprise шығарылымдарының құрамына кіреді. CrowdStrike 15 күндік тегін Falcon EPP сынақ нұсқасын ұсынады.



  1. Snort




Snort NIDS саласындағы саланың көшбасшысы болып табылады, бірақ оны әлі де тегін пайдалануға болады. Бұл Windows-қа орнатылатын бірнеше идентификаторлардың бірі. Ол Cisco компаниясымен құрылды. Бұл жүйе үш түрлі режимдерде жұмыс істей алады және қорғаныс стратегиясын жүзеге асыра алады, сондықтан бұл үздік басып кіруді болдырмау жүйесі және басып кіруді анықтау жүйесі. Snort — желілерде трафикті талдауды жүзеге асыруға және пакеттерді тіркеуді орындауға қабілетті ашық бастапқы коды бар басып кіруді (IDS) анықтау және басып кіруді болдырмаудың еркін желілік жүйесі. Хаттамалауды, талдауды, мазмұн бойынша іздеуді орындайды, сондай-ақ буферді асыра толтыруға шабуыл жасау әрекеті, порттарды жасырын сканерлеу, веб-қосымшаларға шабуыл жасау, SMB-зондтау және операциялық жүйені анықтауға әрекет жасау сияқты шабуылдар мен зондтаулардың тұтас қатарын белсенді бұғаттау немесе пассивті табу үшін кеңінен қолданылады. Бағдарламалық қамтамасыз ету олар орын алған жағдайда, шабуылдардың енуін болдырмау, бұғаттау үшін пайдаланылады. Мысалы, SnortSnarf, sguil, OSSIM және BASE сияқты басқа бағдарламалық жасақтамамен бірге жұмыс істей алады. Snort-тың үш режимі:

  • Сниффер режимі

  • Пакеттер тіркеуіші

  • Басып кіруді анықтау

Егер сіз Snort басып кіруді анықтау мүмкіндігін есептемегенде, тек қана пакеттердің сниффері ретінде пайдалануға болады. Бұл режимде желі арқылы өтетін пакеттерді жедел оқуға болады. Пакеттерді хаттамалау режимінде бұл пакеттер туралы мәліметтер файлға жазылады. Сіз Snort басып кіруді анықтау функцияларына қол жеткізгенде, сіз жүріп өтетін трафикке ережелер жинағын қолданатын талдау модулін шақырасыз. Бұл ережелер "базалық саясаткерлер" деп аталады, егер сіз қандай ережелер қажет екенін білмесеңіз, оларды Snort веб-сайтынан жүктей аласыз. Ереже порттарды жасырын сканерлеу, буфердің толып кету шабуылдары, CGI шабуылдары, SMB-зондтар және OS саусақ іздері сияқты оқиғаларды анықтайды. Анықтау әдістері нақты қолданылатын ережелерге байланысты және сигналатуралық әдістерді, сондай-ақ аномалияларға негізделген жүйелерді қамтиды. Snort-тың даңқы бағдарламалық жасақтама жасаушылар индустриясының ізбасарларын қызықтырды. Басқа бағдарламалық жасақтамалар жасаған бірнеше қосымшалар Snort жинаған деректерге терең талдау жасай алады. Оларға Snorby, BASE, Squil және Anaval кіреді. Бұл серіктес қосымшалар сізге Snort интерфейсі өте ыңғайлы емес екендігін көрсетеді.



  1. OSSEC




OSSEC ашық бастапқы қауіпсіздік кодын ашады. Бұл HIDS -тің жетекші түрі және оны пайдалану тегін. Хост негізінде басып кіруді анықтау жүйесі ретінде, бағдарлама сіз орнататын компьютердегі журнал файлдарына назар аударады. Ол сіздің барлық журнал файлдарыңыздың мүмкін болатын кедергілерді анықтау үшін бақылау жүргізеді. Windows жүйесінде кез-келген тізілімдегі өзгерістерді қадағалап отырады. Unix тәрізді жүйелерде түпнұсқа тіркелгісіне кірудің кез-келген әрекетін бақылайтын болады. OSSEC ашық көз болып табылатын жоба болғанымен, ол іс жүзінде белгілі бағдарламалық жасақтама өндірушісі Trend Micro-ға тиесілі. OSSEC-еркін және ашық бастапқы коды бар басып кіруді (HIDS) анықтау хосты жүйесі. Ол жүйелік логтарды талдайды, бүтіндігін тексереді, Windows ОЖ тізілімін бақылайды, руткиттерді анықтайды, берілген уақытта және қандай да бір оқиға анықталса хабарлау. Ол Linux, OpenBSD, FreeBSD, Mac OS X, Solaris және Windows сияқты операциялық жүйелердің көпшілігі үшін кіруді анықтау функциясын ұсынады. Оның кроссплатфорлы архитектурасы бірнеше операциялық жүйелерді оңай басқаруға және бақылауға мүмкіндік береді.
Мониторингтің негізгі қосымшасы деректерді бір консольде біріктіре отырып, бір компьютерден немесе бірнеше хосттан тұрады. Windows компьютерлерін бақылауға мүмкіндік беретін Windows агенті болса да, негізгі қосымшаны Unix-ке ұқсас жүйеге орнатуға болады, яғни Unix, Linux немесе Mac OS. Негізгі бағдарлама үшін OSSEC интерфейсі бар, бірақ ол бөлек орнатылады және бұдан былай қолдау көрсетілмейді. OSSEC-тің тұрақты пайдаланушылары деректерді жинау құралына арналған сыртқы интерфейс сияқты жақсы жұмыс істейтін басқа қосымшаларды тапты: Splunk, Kibana және Graylog.
OSSEC қамтыған журнал файлдарына FTP, пошта және веб-сервер деректері кіреді. Ол сонымен қатар операциялық жүйенің оқиғаларын, брандмауэрді және антивирустық журналдарды, кестелер мен трафик журналдарын бақылайды. OSSEC-тің әрекеті сіз орнатқан саясатпен басқарылады. Оларды осы өнім үшін белсенді болатын үлкен пайдаланушы қауымдастығынан қосымша қондырғы ретінде алуға болады. Саясат ескерту жағдайын анықтайды. Бұл ескертулер консольде көрсетілуі немесе электронды пошта арқылы хабарлама түрінде жіберілуі мүмкін. Trend Micro OSSEC арқылы қолдауын ұсынады.

  1. ManageEngine EventLog Analyzer




ManageEngine компаниясы АТ инфрақұрылымын басқару және мониторинг үшін жетекші шешім өндіруші болып табылады. EventLog анализаторы-компанияның қауіпсіздік өнімдерінің бір бөлігі. Бұл стандартты бағдарламалар мен операциялық жүйелер жасаған журнал файлдарын басқару мен талдауға бағытталған HIDS. Бұл құрал Windows Server немесе Linux орнатылған. Ол осы операциялық жүйелерден, сондай-ақ Mac OS, IBM AIX, HP UX және Solaris жүйелерінен деректерді жинайды. Windows жүйесіндегі журналдар Windows Server Windows Vista және одан жоғары көздерді, сондай-ақ DHCP-Windows серверін қамтиды.
Операциялық жүйелерден басқа, қызмет Microsoft SQL Server және Oracle деректер қорынан журналдарды жинайды және топтастырады. Ол сондай-ақ Microsoft Anti-malware, ESET, Sophos, Norton, Kaspersky, FireEye, Malwarebytes, McAfee және Symantec сияқты бірқатар антивирустық жүйелерден хабардар етуге қабілетті. Ол веб-серверлерден, брандмауэрлерден, гипервизорлардан, маршрутизаторлардан, коммутаторлардан және желілік осалдықтардың сканерлерінен журналдар жинайды.
Бұл қызмет жүйелі қауіпсіздік есептерін жасау үшін журналдарды автоматты түрде іздеуді және оқиғаларды корреляцияны қамтиды. Осы есептердің ішінде артықшылықты пайдаланушылардың мониторингі мен аудитіне (PUMA) арналған форматтары және PCI DSS, FISMA, ISO 27001, GLBA, HIPAA, SOX және GDPR талаптарына сәйкестігін көрсету үшін қажетті әртүрлі форматтар бар.



  1. Suricata




Suricata Snort-тың негізгі баламасы. Suricata-ның Snort-қа қарағанда маңызды артықшылығы бар, ол мәліметтерді қолданбалы қабатқа жинайды. Бұл Snort-тың бірнеше TCP пакетіне бөлінген қолтаңбаларды бөлуі керек деген кемшілігін жеңеді. Suricata ақпараттарды талдауға жібермес бұрын пакеттердегі барлық мәліметтер жиналғанша күтеді. Жүйе қолданбалы деңгейде жұмыс істесе де, ол IP, TLS, ICMP, TCP және UDP сияқты төмен деңгейде протоколдардың белсенділігін бақылай алады. Ол FTP, HTTP және SMB қоса әр түрлі желілік қосымшалар үшін нақты уақытта трафикті зерттейді. Монитор пакеттердің құрылымына қарап қана қоймайды. Ол TLS сертификаттарын тексере алады және HTTP сұраныстары мен DNS қоңырауларына назар аудара алады. Файлдарды шығару құралы вирусты инфекция сипаттамасымен күдікті файлдарды зерттеуге және оқшаулауға мүмкіндік береді. Snortby, BASE, Squil және Anaval сияқты Snortby-мен біріктірілген құралдар Suricata-ны қолдана алады. Осылайша, Snort қауымдастығына кеңестер мен ақысыз ережелерді алу Suricata қолданушылары үшін үлкен артықшылық болуы мүмкін. Кірістірілген сценарий модулі ережелерді біріктіруге және Snort ұсынғаннан гөрі дәлірек анықтауға мүмкіндік береді. Suricata қолтаңбалар мен аномалияларды анықтау әдістемесін қолданады.
Suricata бір мезгілде көп ағынды жұмыс үшін көптеген түрлі процессорларды пайдалану арқылы аппараттық үдеуді қамтамасыз ететін ақылды өңдеу архитектурасына ие. Ол тіпті ішінара бейне картада жұмыс істей алады. Мұндай есептерді бөлу тек бір хост құлаудан жүктемені ұстап қалады. Бұл NIDS проблемаларының бірі-бұл өте ауыр өңдеу. Қымбат болуына қарамастан, Suricata тегін беріледі.

  1. Zeek




Zeek ( бұрын Brio) - басып кіруді анықтау шеңберінен шығатын тегін NIDS және басқа да желі мониторингі функцияларын ұсына алатын бағдарлама. Zeek пайдаланушылар қауымдастығы көптеген академиялық және ғылыми-зерттеу институттарын қамтиды. Zeek кіруді анықтау функциясы екі кезеңде орындалады: трафикті тіркеу және талдау. SQL-ді құру үшін қажет.
Сіз Zeek көмегімен HTTP, DNS және FTP белсенділігін бақылай аласыз, сондай-ақ SNMP трафигін бақылай аласыз. Әрбір саясат ережелер жиынтығы болып табылады және сіз белсенді саясаттардың санымен немесе сіз зерттеуге болатын қосымша хаттамалар стек қабатымен шектелмеген. Төмен деңгейде сіз syn flood DDoS-шабуылдарын бақылап, порттарды сканерлеуді анықтай аласыз. Zeek Unix, Linux және Mac OS орнатылуы мүмкін.



  1. Sagan




Sagan - басып кіруді анықтаудың хост жүйесі, сондықтан ол OSSEC балама болып табылады және сондай-ақ тегін. Бұл HIBS болғанымен, бағдарлама IDS жүйесі болып табылатын Snort жиналған мәліметтермен үйлесімді. Бұл үйлесімділік Snorby, BASE, Squil және Anaval сияқты Snort бірге пайдаланылуы мүмкін басқа құралдарға да қолданылады. Zeek пен Suricata алынған деректер көздері Sagan да түсуі мүмкін. Бұл құрал Unix, Linux және Mac OS орнатылуы мүмкін. Сіз Windows Sagan іске қосу мүмкін емес болса да, сіз оған Windows іс-шаралар журналдарын енгізуге болады.



  1. Security Onion


IDS шешімдерінің қоспасы үшін сіз қауіпсіз Onion жүйесін қолдана аласыз. Бұл тізімдегі IDS құралдарының көпшілігі ашық көзден алынған жобалар болып табылады. Бұл кез-келген адам бастапқы кодты жүктеп, оны өзгерте алатынын білдіреді. Security Onion әзірлеушісі дәл осылай жасады. Ол Snort, Suricata, OSSEC және Zeek бастапқы кодтарынан элементтер алып, оларды Linux негізіндегі NIDS / HIDS ақысыз гибридін жасау үшін біріктірді. Security Onion Ubuntu-да жұмыс істеу үшін жазылған және ол Snorby, Sguil, Squert, Kibana, ELSA, Xplico және NetworkMiner-ді қоса алғанда, алдыңғы қатарлы жүйелер мен талдау құралдарының элементтерін біріктіреді.

  1. AIDE


"Басып кіруді анықтаудың кеңейтілген ортасы" - бұл жазу ұзақ болғандықтан, IDS бағдарламалық жасақтамасының әзірлеушілері оның атауын AIDE дейін қысқартуды шешті. Бұл руткиттерді анықтауға және Unix және Unix-ұқсас операциялық жүйелер үшін файл сигналдарын салыстыруға бағытталған Тегін HIDS, сондықтан ол сондай-ақ Mac OS және Linux-та жұмыс істейтін болады.



  1. Open WIPS-NG


Aircrack-NG - бұл сымсыз желілер пакеті және құпия сөздерді бұзушы, WiFi желісі хакерлерінің құралдар жинағының құрамдас бөлігі. Бұл тегін бағдарламалық қамтамасыз ету сымсыз желілерді қорғауға арналған. Aircrack-NG түрлі операциялық жүйелерде жұмыс істей алады, дегенмен, OpenWIPS-NG тек Linux жұмыс істейді. "WIPS" атауы "басып кіруді болдырмау сымсыз жүйесі" дегенді білдіреді, сондықтан бұл NIDS бір мезгілде басып кіруді анықтайды және бұғаттайды. Жүйе үш элементті қамтиды:



  • Сенсорлық модуль

  • Сервер

  • Интерфейс


  1. Samhain


Германияда Samhain Design Labs шығарған Samhain-тегін пайдалануға болатын хост негізіндегі басып кіруді анықтау бағдарламалық құралы. Ол әр машинада жұмыс істейтін агенттер анықтаған оқиғалар туралы деректерді орталықтандырылған жинауды қамтамасыз ете отырып, бір компьютерде немесе бірнеше хостарда іске қосылуы мүмкін.

13.  Fail2Ban



Fail2Ban-бұл жүйеге кірудің шамадан тыс сәтсіз әрекеттері сияқты логикалық файлдарда жазылған дабыл оқиғаларын анықтауға бағытталған хосттың негізінде басып кіруді анықтаудың тегін жүйесі. Жүйе күдікті мінез-құлықты көрсететін IP мекенжайларына блоктарды орнатады. Бұл тыйымдар әдетте бірнеше минутқа созылады, бірақ бұл дөрекі күшпен автоматты бұзу стандартты сценарийін бұзу үшін жеткілікті болуы мүмкін. Бұл қауіпсіздік саясаты DoS шабуылына қарсы тиімді болуы мүмкін. IP мекенжайына тыйым салудың нақты ұзындығын әкімші түзетуі мүмкін.


Достарыңызбен бөлісу:
1   2   3   4   5




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет