Тестирование конфигурации и политики безопасности систем обнаружения вторжений.

Перечень сокращений и обозначений 6
Введение 7
1 Теоретические сведения, требования нормативных документов 9
1.1 Теоретические сведения 9
1.1.1 Уровни функционирования систем обнаружения вторжений 9
1.1.2 Архитектура сов 10
1.1.3 Модели сов 11
1.2 Нормативные требования 13
1.2.1 Нормативные требования к системам обнаружения вторжений 13
1.2.3 Snort 16
1.2.4 Suricata 16
1.2.5 Bro 17
1.2.6 Выбор оптимальной совокупности признаков оценки защищаемой системы 18
1.2.7 Сов snort 19
1.2.8 Snort состоит из пяти видов модулей. 20
1.2.9 Преимущества snort: 20
1.2.10 Сов suricata 21
1.2.11 Сравнение snort и suricata 23
1.2.12 Выводы 24
2 Практическая часть 25
2.1 Установка и конфигурирование snort 25
2.2 Установка oinkmaster 30
2.3 Установка и конфигурирование suricata 31
2.4 Тестирование suricata 35
2.5 Вывод 36
Заключение 37
Список использованных источников 38

Весь текст будет доступен после покупки

Современный мир немыслим без средств коммуникации и вычислительной техники. Неуклонно продвигающиеся информационные технологии все шире охватывают различные области человеческой деятельности: информатизация производства, бизнеса, образования, государственных учреждений и т.д., интеграция автоматизированных систем в локальные и глобальные вычислительные сети. Статистические данные показывают, что объем трафика пользователей увеличивается год от года на 50%, а значит, необходимы меры по запасу ресурсов, включая обработку большого объема сетевого трафика с помощью маршрутизаторов, межсетевых экранов и систем обнаружения и пресечения атак.
В связи с этим возрастают требования к системам защиты вычислительных сетей, которые должны не только пассивно блокировать несанкционированный доступ к внутренним ресурсам сети предприятия из внешних сетей, но и активно обнаруживать успешные атаки, анализировать причины их возникновения и, при возможности, автоматически удалять эти угрозы. В связи с этим, подсистемой системы защиты информации является система обнаружения вторжений (СОВ, IDS).
СОВ - это техническая система, использованная для определения того, была ли предпринята попытка вторжения, если вторжение произошло, а также возможность отреагировать на вторжения в информационные системы и сети. СОВ являются необходимым дополнением к инфраструктуре сетевой безопасности. В дополнение к межсетевым экранам (МЭ), СОВ участвуют в мониторинге подозрительной активности. Они могут обнаружить атакующих, которые обошли МЭ, и сформировать отчет для администратора сети, который будет выполнять дополнительные меры по предотвращению атак или блокированию несанкционированных действий злоумышленника.

Весь текст будет доступен после покупки

Система обнаружения вторжений (СОВ) является программным или аппаратным средством, которое предназначено для выявления фактов неавторизованного доступа в компьютерную систему или сеть, а также несанкционированного управления ими, в основном через Интернет. Соответствующий английский термин для СОВ - английское Intrusion Detection System (IDS). СОВ обеспечивают дополнительный уровень защиты для компьютерных систем.

Существует классическое разделение СОВ на два типа:
1) Системы уровня сети, которые отслеживают весь доступный сетевой трафик для определенных сегментов сети или устройств (Network-based);
2) Системы уровня хоста, которые обнаруживают изменения на отдельно взятой машине, например, анализируя журналы или сетевую активность (Host-based).

СОВ уровня сети собирают информацию из сетевого трафика. Эти системы могут выполняться как на обычных компьютерах, так и на специализированных, или интегрируются в маршрутизаторы или коммутаторы. В первых двух случаях анализируемая информация собирается посредством захвата и анализа пакетов. При этом обращение к сетевым интерфейсам осуществляется в беспорядочном (promiscuous) режиме. При таком подходе данные поступают без каких-либо специальных требований для механизмов аудита, использование систем не оказывает влияния на источники данных, и не зависит от прикладного программного обеспечения. Существует возможность обнаруживать атаки типа «отказ в обслуживании» и одновременно контролировать большое число узлов сети. Такие СОВ имеют относительно низкую стоимость эксплуатации, позволяют обнаруживать атаки в реальном масштабе времени. Системы данного класса не применимы в сетях, использующих канальное и прикладное шифрование, а также существенно зависят от конкретных сетевых протоколов и неэффективны при высоких скоростях.

СОВ уровня хоста могут быть прикладного уровня и уровня операционной системы (ОС). СОВ прикладного уровня собирают и анализируют информацию от конкретных приложений, например, от систем управления базами данных, веб-сервисов или М

Весь текст будет доступен после покупки

1. ГОСТ Р ИСО/МЭК 18028-1-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. (дата обращения 13.05.2020).
2. ГОСТ 12.0.003–74. Опасные и вредные производственные факторы. Классификация (дата обращения 19.05.2020).
3. СанПиН 2.2.2/2.4.1340-03. Санитарные правила и нормы (дата обращения 19.05.2020).
4. ФСТЭК России «Информационное письмо об утверждении требований к системам обнаружения вторжений [Электронный ресурс] // URL:https://fstec.ru/component/attachments/download/305 (дата обращения 17.05.2020).
5. Вишняков В.А., Моздурани Шираз М.Г. Модели и реализация обнаружения вторжений в корпоративной информационной системе предприятия с использованием интеллектуального подхода. Доклады БГУИР. 2017. №8 (110) [Электронныйресурс] //URL:https://cyberleninka.ru/article/n/modeli-i-realizatsiya-obnaruzheniya-vtorzheniy-v-korporativnoy-informatsionnoy-sisteme-predpriyatiya-s-ispolzovaniem/ (дата обращения 15.05.2020).
6. Лось А.Б., Даниелян Ю.Ю. Сравнительный анализ систем обнаружения вторжений, представленных на отечественном рынке. Вестник МФЮА. 2014. №3 [Электронный ресурс] //URL: https://cyberleninka.ru/article/n/sravnitelnyy-analiz-sistem-obnaruzheniya-vtorzheniy-predstavlennyh-na-otechestvennom-rynke (дата обращения 17.05.2020).
7. «Корнев П.А., Пылькин А.Н., Свиридов А.Ю. — Применение инструментария искусственного интеллекта в системах обнаружения вторжений в вычислительные сети» [Электронный ресурс] // URL: https://www.science-education.ru/pdf/2014/6/1632.pdf (дата обращения 18.05.2020).
8. Жигулин П.Э., Подворчан Д.В. — Анализ сетевого трафика с помощью нейронных сетей — 2013 // URL:https://storage.tusur.ru/files/425/КИБЭВС-1005_Жигулин_П.В__Подворчан_Д.Э.pdf (дата обращения 18.05.2020).
9. Корниенко А.А., Слюсаренко И.И. — Системы и методы обнаружения вторжений: современное состояние и направления совершенствования — 2009 [Электронный ресурс] // URL: http://citforum.ru/security/internet/ids_overview/ (дата обращения 17.05.2020).
10. Боршевников А.В. — Сетевые атаки. Виды. Способы борьбы — 2011 // URL:https://moluch.ru/conf/tech/archive/5/1115/(дата обращения 17.05.2020).
11. Система обнаружения вторжений (IDS) (Traditional NAT) [Электронный ресурс]. – Режим доступа: https://goo.gl/VySb43 (дата обращения 15.05.2020).
12. Национальная стратегия безопасности США. — 2010 г. [Электронный ресурс].Режим доступа: https://goo.gl/VySb48 http://www.whitehouse.gov/sites/default/files/rss_viewer/national_security_strategy.pdf (дата обращения 17.05.2020).

Весь текст будет доступен после покупки