Система обнаружения вторжений Snort

ВВЕДЕНИЕ

Компьютерные сети за несколько десятилетий из чисто технического решения превратились в глобально явление, оказывающие значительное влияние на подавляющее большинство сфер жизнедеятельности человека. С увеличением количества соединений систем в сети и, особенно, с глобальной сетью Интернет все больше из них становятся объектами для атаки со стороны нарушителей. Эти попытки взлома систем нередко проводятся с использованием существующих «дыр безопасности» операционных систем (ОС) и пользовательских приложений.

Использование систем обнаружения вторжений (СОВ, англ. – Intrusion Detection System (IDS)) способно уменьшить вероятность реализации угроз и повысить существующий уровень защищенности компьютерной сети, достигаемый использованием как «стандартных» средств (соответствующая настройка ОС), так и дополнительных (межсетевое экранирование, использование скредств криптографической защиты информации, серверов аутентификации и т.д.)

СОВ является комплексом аппаратных и программных средств, политик и процедур.

В рамках данной лабораторной работы предлагается познакомиться с работой СОВ Snort для организации обнаружения несанкционированного доступа к защищаемым сетевым информационным ресурсам, организованного через эксплуатации уязвимостей тех или иных компонентов ИС. Данная СОВ относится к типу NIDS – сетевых систем обнаружения вторжений.

СОВ Snort – это сетевая СОВ с открытым исходным кодом, распространяемая по лицензии GNU General Public License, способная выполнять в режиме реального времени анализ трафика, передаваемого на контролируемых интерфейсах, с целью обнаружения попыток вторжения или попыток поиска уязвимостей (таких, как переполнение буфера, сканирование портов, CGI-атаки, идентификация операционной системы, идентификация версий используемых сетевых сервисов и др.). Данная СОВ относится к типу сетевых СОВ (Network-Based IDS – NIDS). Гибкость и удобство Snort основываются на следующем:

- языке правил, используемый для описания свойств подозрительного и потенциально опасного трафика;

- механизме оповещения об обнаружении атаки;

- модульной архитектуре кода, анализирующего трафик, основанной на концепции подключаемых модулей.

СОВ Snort позволяет выявлять:

- использование эксплоитов (выявление Shellcode);

- сканирование портов ОС;

- атаки на сетевые службы (Telnet, FTP, DNS, и т.д.);

- атаки типа DoS/DDoS;

- атаки, связанные с web-серверами (CGI, PHP, Frontpage, ISS и т.д.);

- атаки на СУБД (SQL, Oracle и т.д.);

- атаки по протоколам SNMP, NetBios, ICMP, SMTP, IMAP, POP2, POP3;

- обращение к различным web-ресурсам (потенциально опасные и нежелательные web-ресурсы);

- вирусы.

Следует отметить, что процедуры, декодирующие сетевой трафик, работают начиная с канального и заканчивая прикладным уровнем. В настоящее время Snort поддерживает декодирование для интерфейсов Ethernet, SLIP и PPP.

СОВ Snort может работать на многих операционных системах Linux, Windows, SunOS, *BSD и др.

Дата добавления: 2017-02-01; Просмотров: 65; Нарушение авторских прав?; Мы поможем в написании вашей работы!