Сетевая система обнаружения вторжений




Скачать 61.18 Kb.
НазваниеСетевая система обнаружения вторжений
Дата публикации07.04.2013
Размер61.18 Kb.
ТипДокументы
odtdocs.ru > Информатика > Документы

Сетевая система обнаружения вторжений



Материал из Википедии — свободной энциклопедии
Сетевая система обнаружения вторжений (англ. network intrusion detection system, NIDS) — система обнаружения вторжений, которая отслеживает такие виды вредоносной деятельности, как DoS атаки, сканирование портов или даже попытки проникновения в сеть.

Сетевая истема обнаружения вторжений просматривает все входящие пакеты на наличие в них подозрительных признаков. Если, например, обнаружено большое количество запросов на TCP соединение с широким диапазоном различных портов, то, вероятней всего, проводится сканирование портов. Также подобная система чаще всего отслеживает входящий шелкод схожим образом с обычной истемой обнаружения вторжений.

Сетевая система обнаружения вторжений не ограничивается отслеживанием только входящего сетевого трафика. Часто важную информацию а происходящем вторжении можно получить также из исходящего или локального трафика. Действие некоторых атак может разворачиваться внутри наблюдаемой сети или сегмента сети, и никак не отражаться на входящем трафике.

Зачастую, сетевая система обнаружения вторжений хорошо взаимодействует с другими защитными системами. Системы обнаружения вторжений могут на основе результатов своей работы обновлять черные списки межсетевых экранов, занося туда IP адреса машин, заподозренных в осуществлении атаки злоумышленников.

Untangle


Untangle - сетевая система обнаружения вторжений с открытым кодом. Создана на основе более 30 решений с открытыми исходными текстами, среди которых дистрибутив Knoppix, Snort, ClamAV, SpamAssasin, Squid и другие.В Untangle администратор самостоятельно выбирает необходимые ему модули защиты, которые устанавливаются уже после инсталляции основной системы (Untangle Gateway Platform). Среди них компоненты обеспечивающие маршрутизацию, фильтрацию спама, антивирусную и spyware проверку, межсетевой экран, антифишинг, обнаружение атак, контент фильтр, контроль протоколов, сервер OpenVPN и другие. Модуль Attack Blocker собственной разработки позволяет защитить сеть от DoS атак и некоторых других атак низкого уровня. Каждому компьютеру в зависимости от его активности присваивается определенный статус, хосты получившие плохую репутацию (атака, SYN flooding или сканирование портов) ограничиваются в трафике или полностью блокируется доступ к защищаемым ресурсам (расположенным в DMZ).

Система предоставляет администратору разнообразные отчеты по сетевой активности, протоколам и пользователям, инцидентам, количеству спама и обнаруженных вирусов, которые можно сохранить в файлы форматов PDF, HTML, XLS, CSV и XML. Поддерживается NAT и при наличии третьего сетевого интерфейса возможна организация DMZ.

Поддерживаются только Ethernet соединения со статически или динамически выдаваемым адресом и PPPoE.

^

Системные требования



В Untangle использован Java. Отсюда и системные требования. Так для работы понадобится компьютер с Intel-совместимым процессором с частотой 1 Гц, оперативной памятью 512 Мб, жестким диском на 20 Гб и двумя сетевыми картами. Это минимальные требования, которые примерно соответствуют обслуживанию сети с 50 пользователями. Рекомендуемые требования следует умножить на 2, плюс для DMZ понадобится еще одна сетевая карта. Компьютер с такой конфигурацией сможет обслуживать уже сеть с 300 пользователями.

Untangle весьма привередлив к аппаратной части.У многих пользователей возникали проблемы с установкой Untangle, о чем свидетельствует содержание раздела “Hardware Discussion” [http://forums.untangle.com/forumdisplay.php?f=3] на форуме проекта. Поэтому, покупать новый компьютер для установки Untangle без предварительного тестирования весьма рисковано.

Установка



ISO образ размером в 410 Мб, скачивается по ссылке с SourceForge без предварительной регистрации и других неудобств, которыми изобилуют некоторые проекты. После загрузки ядра появится окно приветствия, и далее для установки Untangle необходимо будет сделать еще четыре шага. Сначала принимаем лицензионное соглашение, затем выбираем диск. Кстати если в системе будет подключено два диска, то установщик может прекратить работу. Прочитав два раза предупреждение о том, что на выбранном диске будут уничтожены все данные, переходим к этапу проверки оборудования. После оценки производительности процессора, объема ОЗУ, жесткого диска и наличия сетевых карт будет показана оценка их соответствия минимальным и рекомендуемым требованиям.

Если компьютер не подходит под минимальные требования, появится предупреждение красного цвета, а если рекомендуемого – оранжевого. Читаем финальное предупреждение и нажимаем кнопку Finish, после чего файлы копируются на жесткий диск, дальше потребуется перезагрузка.

^

Работа в программе


На первом шаге проводника вводятся пароль администратора и часовой пояс, на следующем - регистрационная информация для разработчиков, третий шаг - сетевые карты, их можно поменять местами (внутр. и внеш.), которых должно быть не меньше двух. Четвёртый - способ сетевого соединения (internet), есть возможность выбрать между dhcp, static ip и ppoe. Пятый шаг - настройка поведения сетевых интерфейсов:

а) Прозрачный мост между внутренним и внешним интерфейсами. Рекомендуется в случае, если до шлюза стоит сетевой экран, dhcp соответственно отключено.

б) Роутер. Соединение с интернет-шлюзом напрямую, активированы nat и dhcp (можно на месте деактивировать)

И последний, шестой шаг: email (напрямую, либо через указанный сервер) для репортов и алертов. В дальнейшем все настройки можно поправить в разделе "Сonfig" (см.ниже)


На скриншоте цветными маркерами обозначены сегменты рабочего окна веб-интерфейса.

Синий "Apps":

Здесь листинг модулей, которые будут контролировать работу шлюза. Две верхние кнопки ведут на офсайт и позволят загрузить модули из списка, представленного на страничке.

Professional Package список платно предоставляемых услуг

Spam Blocker - блокирует разнообразные спам-ухищрения, фильтрует smtp, pop и imap. Нажатие на эту кнопку приведёт на страничку с описанием мудуля, отсюда его можно установить. По аналогии с этим производится дальнейшая установка других модулей. Попутно система проверяет модуль на возможность обновления.

Phish Blocker - блокирует перехват пользовательских данных, охраняет почтовые протоколы и hhtp.

Spyware Blocker - охраняет систему от шпионских модулей и т.п. (adware, malware).

Web Filter - инструмент общего назначения, используется для контроля посещаемых пользователями ресурсов. Можно устанавливать соответствующие политики и вести логи. После установки, в области, где на скриншоте была красная метка, будут доступны настройки модуля.

eSoft Web Filter — платный сервис. Блокирует вредоносные сайты по встроенному списку и ip в 53 категориях и на 20 языках. Подробности по ссылке.

Kaspersky Virus Blocker - платный сервис. По заверению разработчиков Untangle каспер - лучший выбор для linux-серверов.

Commtouch Spam Booster - платный сервис. Это блокиратор спама и вирусов в рассылках . Как заявляют разработчики, эффективность модуля может достигать 98 процентов за счёт хитрой технологии: обращение сервера к специальной централизованной базе данных, при этом используются параллельные вычисления, так что обзор даже крупного трафика проходит "на лету".

Virus Blocker - название раскрывает смысл модуля. Встроенный антивирус проверяет почтовые протоколы и http/ftp, умеет "смотреть" в архивы, включая rar. Модуль с открытым кодом и бесплатный.

Intrusion Prevention — препятствует (детект/лог/блок) проведению хакерских атак через уязвимости машин во внутренней сети.




Protocol Control - это вариант брандмауэра для блокировки приложений по специфическим особенностям их протокола.

Firewall — собственно, межсетевой экран.

PC Remote - платный сервис, служит для удалённого доступа к машинам в сети, используя RDP (Windows) и VNC (Linux).

Untangle Support - платный сервис, модуль поддержки, используется для контакта со специалистами Untangle и отсюда же можно бекапить на их сервак системные конфиги.

Policy Manager - платный сервис, менеджер политик и привилегий. Можно создавать свои правила и привязывать их к юзерам и конкретному времени.

AD Connector - платный сервис, интеграция с Active Directory Server.

Remote Acces Portal - RAP, удалённый зашифрованный доступ к серверу, вроде "SSL VPN", без участия клиентского специального ПО, работает через браузер. Возможна аутентификация через AD. Сервис платный.

OpenVPN — vpn-туннелирование.

AttackBlocker - постоянная защита от Dos-атак (отказ в обслуживании), контролирует неавторизованный доступ из внешней сети.

Configuration Backup - автоматическое сохранение системных настроек шлюза на удалённый сервер Untangle. Доступно при оплаченном Untangle Support или в коммерческом варианте.

Reports - отчёты. Возможно сохранение в pdf и html.

Routing & QoS - этот модуль отвечает за маршрутизацию, позволяет выставлять приоритеты трафика, работает с dns, nat, dhcp и dm-зонами. Поддержка VoIP трафика.

Branding Manager - настройка внешенего вида Untangle. Работает в коммерческом варианте.




Зелёный маркер "config":

Во второй закладке настраиваются системные конфиги.

Network - всё достаточно понятно: свойства интерфейсов, dns-сервер, qos, dhcp и проброс портов.

Administaration - здесь административные настройки:

учётные записи

разрешение внешнего доступа, в т.ч. по ip и сегментам

настройки внешнего ip

генерация/импорт сертификатов

настройки мониторинга

скины интерфейса

Email - "почтовые" настройки системы для связи с администратором, возможна отсылка отчётов напрямую, либо через указанный почтовый сервер.

Local Directory - назначает юзеров (ldap и ad), которых можно добавлять|исключать в соответствующих модулях, например, Remote Acces Portal.

Upgrade - обновление системы и предустановки (автоматом\руками).

Systen Info - некоторая информация о системе, регистрационные данные, условия лицензии.

Помимо веб интерфейса в Untangle присутствуют:

Терминал - при первом обращении понадобится забить новый рутовый пароль. Есть nano.

Recovery Utilities - консольные утилиты восстановления системы.




Backup & Restore - здесь делаются бекапы (backup settings) и восстановление из них (restore settings). Второй и третий пункты - сброс системы до "заводских" установок, удаление администратора.

Вывод.


Рассмотрев подробно сетевую система обнаружения вторжений Untangle можно выделить следующие её недостатки:

Untangle ресурсоемка и довеольно капризна при установке. Зачастую система не устанавливается из-за ее нежелания(незнаю как назвать это другим словом) работать с тем или иным аппаратным обеспечением. При установке программы возникали ошибки, причины которых установить и устранить я так и не смог.

Из положительных качеств можно выделить простоту в настройке и …....................

http://www.tux.in.ua/articles/379

http://tuxologia.blogspot.com/2009/04/untangle.html

Добавить документ в свой блог или на сайт

Похожие:

Linux — как полноценная домашняя система
Добрый день. Своим докладом я представлю операционную систему Linux, как систему для решения повседневных задач. В последнее время...

37. Структура сетевой ос (одноранговые, с выделенными серверами,...
Ком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения...

Отчет по лабораторной работе №1. 2: “Обработка и представление
Получение навыков обнаружения и устранения влияния систематических погрешностей на результаты прямых однократных измерений

Памятка по системе «Проход\питание» Система «Проход/питание»
Система «Проход/питание» (далее Система), предназначена для организации контрольно-пропускного режима и питания в школьной столовой,...

Разработать тесты для обнаружения ошибки
Построение схемы. Моделирование и отладка схемы. Найти ошибку в схеме и показать с помощью моделирования, что схема корректна

Структура нашей Галактики
Наша Галактика звездная система, в которую погружена Солнечная система, называется Млечный Путь

Передача информации в компьютерных сетях
Какие компоненты компьютерной сети ((1) — модем, (2) —сетевая карта, (3) — витая пара, (4) — коммутируемая линия связи)

Техническое задание на разработку автоматизированной системы Вариант №20 «Радиостанция»
Предметом разработки является автоматизированная система (далее – «система») управления работой радиостанции

Техническое задание на разработку автоматизированной системы Вариант №5 «Правозащитный фонд»
Предметом разработки является автоматизированная система управления деятельностью правозащитного фонда (далее система)

Доклада: runa wfe свободная система управления бизнес-процессами...
В прошлом году система была включена в специализированный дистрибутив AltLinuxWorkflow

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
odtdocs.ru
Главная страница