Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ
Посмотреть оригинал

Лекции 17. Применение программных продуктов дли защиты интеллектуальной собственности. При меры программных продуктов (2 часа)

Система обнаружении атак RealSecure

Система обнаружения атак RealSecure разработана американской компанией Internet Security Systems, Inc. и ориентирована на защиту как целого сегмента сети (network-based), так и отдельного узла (host-based). Компоненты системы RealSecure

Система RealSecure использует распределенную архитектуру и содержит два основных типа компонентов:

  • • модули слежения»;
  • • модули управления.

Существуют следующие разновидности модулей слежения:

  • • сетевой сенсор (Network Sensor);
  • • серверный сенсор (Server Sensor).

Модули управления позволяют осуществлять сбор данных от сенсоров и их конфигурирование. Для работы с сенсорами могут быть использованы следующие компоненты:

  • • Workgroup Manager - многофункциональный инструмент, осуществляющий централизованное управление сенсорами, сбор и хранение данных;
  • • Site Protector - система централизованного управления различными продуктами компании Internet Security Systems;
  • • Command Line Interface модуль управления сенсорами, предоставляющий интерфейс командной строки;
  • • Sensor Manager - графическая утилита (JAVA-интерфейс), позволяющая управлять группами сенсоров. Эффективна при большом количестве сенсоров.

Основным инструментом управления сенсорами является Workgroup Manager. Он включает в себя следующие компоненты:

  • • Console - Управляющая консоль;
  • • Enterprise Database - База данных событий, обнаруженных модулями слежения;
  • • Asset Database - База данных «активов» (сетевых объектов);
  • • Event Collector - Компонент, отвечающий за сбор данных от сенсоров.

События, обнаруженные сенсорами, передаются на специальный компонент, отвечающий за сбор данных с сенсоров - Event Collector. Затем они могут быть помещены в базу данных событий Enterprise Database (если это требуется) или (и) переданы на консоль для вывода на экран. Для хранения сведений о сетевых объектах (это могут быть модули слежения или другие узлы сети) используется вспомогательная база данных Asset Database.

Система RealSecure с Рис. 17.2. Трехуровневая архитектура распределенной архитектурой системы RealSecure

Рис. 17.1. Система RealSecure с Рис. 17.2. Трехуровневая архитектура распределенной архитектурой системы RealSecure

Таким образом, система RealSecurc имеет трехуровневую архитектуру с отношениями между консолями и модулями слежения «многие-ко- многим». Это показано на следующем рисунке (рис 17.2). Центральная роль отводится Компоненту сбора событий с сенсоров.

Взаимодействие компонентов системы RealSecure отражено на следующем рисунке 17.3.

Сенсоры не хранят собранные данные, а передают их коллектору, который в свою очередь, может записать их в базу данных и передать на консоль. Консоль подключается к сенсорам напрямую только для выполнения операций по их настройке. На основе данных из базы Enterprise Database могут быть сформированы отчеты.

Сетевой модуль устанавливается на критичный сегмент сети и обнаруживает признаки атак в перехваченном сетевом трафике.

Взаимодействие компонентов системы RealSecure

Рис. 17.3.Взаимодействие компонентов системы RealSecure

Консоль подключается к сенсорам напрямую только для выполнения операций по их настройке. На основе данных из базы Enterprise Database можно сформировать отчеты.

Сетевой модуль устанавливается на критичный сегмент сети и обнаруживает признаки атак в перехваченном сетевом трафике (рис. 17.4).

Обнаружение признаков атак в перехваченном сетевом трафике

Рис. 17.4. Обнаружение признаков атак в перехваченном сетевом трафике

Входными данными для него служат сетевые пакеты (фреймы). Варианты реагирования на атаки

Модули слежения системы RealSecure могут предпринимать следующие действия при обнаружении событий:

  • • выдача сообщения (на консоль, по электронной почте, по протоколу SNMP);
  • • разрыв соединения;
  • • запись события в базу данных (обычный и расширенный варианты);
  • • выполнение заданной программы;
  • • реконфигурация МЭ.

Размещение модулей слежения RealSecure

Эффективность работы системы RealSecure во многом зависит от размещения ее компонентов.

Существует шесть основных участков, на которых может быть установлен сетевой модуль слежения системы RealSecure:

  • • между МЭ и маршрутизатором;
  • • в «демилитаризованной зоне» (DMZ);
  • • за межсетевым экраном (в intranet);
  • • на ключевых сегментах корпоративной сети;
  • • в одном сегменте с сервером удаленного доступа (для контроля модемных соединений);
  • • на сетевой магистрали.

При этом потребуется учесть многие факторы, например, загруженность сегмента, шифрование трафика, «коммутируемость» сети и т.д. Работа с программой RealSecure

Познакомимся с основными возможностями сетевого модуля слежения RealSecure. Пусть на узле уже установлен сетевой модуль слежения и все компоненты Workgroup Manager.

Для запуска программы надо:

Загрузить ОС Windows 2000 Professional (или другую).

Запустить консоль RealSecure.

Для подключения сенсора:

В меню Assets нижнего окна надо выбрать пункт Manage.

Выбрать в списке Network Sensor, нажать OK.

Для применения политики надо:

Выполнить щелчок правой кнопкой мыши на подключенном сенсоре.

Выбрать в меню пункт Policies.

Из предлагаемых политик выбрать Attacks and Audit.

Нажать кнопку Apply Policy.

С этого момента сенсор обнаруживает события, указанные политикой.

Для действий с программой RealSecure надо:

Запустить процесс сканирования портов, например программу Shad- owScan..

Найти запись о событии на консоли RealSecure.

Получить справку о событии, щелкнув правой кнопкой мыши на его названии и выбрав пункт What's this.

Для создания политики обнаружения атак надо:

Выполнить щелчок правой кнопкой мыши на подключенном сенсоре.

Выбрать в меню пункт Policies.

Из предлагаемых политик выбрать Blank.

Нажать кнопку Derive New для создания новой политики.

Отметить какие-либо события.

Сохранить политику и применить ее к сенсору.

Проверить работу сенсора, воспроизводя отмеченные события и просматривая информацию о них на консоли.

Как видно из приведенного описания работы с программой RealSecure ее использование не отличается сложностью, но требует определенного практического навыка, приобретаемого опытным путем.

 
Посмотреть оригинал
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы