Thursday, November 23rd, 2017

Еще раз о специализированных инструментах (Часть 1)

Published on Февраль 2, 2009 by   ·   Комментариев нет

Сегодня мы снова обратимся к статье «Специализированные инструменты». Однако теперь мы рассмотрим вопрос с точки зрения IDS (Intrusion-Detection System – Система обнаружения вторжений).

Если вы хотите ознакомиться с остальными частями этой темы, пожалуйста, прочитайте:

В марте месяце в трех частях статьи я описал некоторые из средств, которые должен ежедневно использовать, или, как минимум, знать, специалист в области защиты и безопасности сети. Было описано использование и установка большого количества средств. Мы рассмотрели такие продукты, как сетевые анализаторы пакетов, сканеры сети, усилители пакетов, а закончили мы HTTP-прокси. Целью прошлой статьи было знакомство не только с этими средствами, но и понимание того, как они используются злоумышленниками для получения доступа к компьютерным сетям как изнутри, так и снаружи.

Учитывая вышесказанное, теперь мы пойдем в другом направлении: как эти средства обнаруживаются Системами обнаружения вторжений (Intrusion Detection System — IDS)? Наличие IDS в сети теперь не является показателем излишней мнительности системного администратора. Эти устройства, аппаратные или программные, теперь используются повсеместно. Отсутствие IDS в сети вызывает сегодня как минимум недоумение. IDS можно считать частью системы раннего предупреждения.

О NIDS, HIDS и всем, что между ними

Часто при разговоре об IDS люди затрудняются сказать, где на самом деле располагается устройство (в случае аппаратного IDS) или программного (в случае программного IDS). Тут-то вы и начинаете задумываться о различных типах IDS. Существует узловые IDS (Host Intrusion Detection System — HIDS) и сетевые IDS (Network Intrusion Detection System — NIDS). Системы HIDS располагаются прямо на клиентском компьютере, а NIDS обычно вставлены в SPAN-порт свитча. Каждая из этих разновидностей IDS имеет свои преимущества и недостатки, обсуждение которых выходит за рамки этой статьи.

Начнем!

Итак, я дал вам немного вводной информации и рассказал о HIDS и NIDS. Теперь самое время сообщить, что я использовал при написании данной статьи. Вот список использованных мной средств:

  • VMware
  • Snort
  • W2K Pro, Win XP Pro (пакеты обновлений и исправления не имеют значения)
  • Средства, о которых было рассказано в статье «Средства работы, части I, II, III»

Если у вас есть копия Vmware, я настоятельно рекомендую вам использовать ее и следовать моим советам, поскольку я буду использовать эти средства против IDS, в данном случае Snort. Более того, для большей уверенности убедитесь, что мы используем одну версию Snort:

Snort посмотреть отчеты

Рисунок 1

Я не буду описывать процесс установки Snort, поскольку он уже был мной описан несколько раз ранее. Просто скачайте приложение и установите его в корень диска C. При желании вы можете скачать и последние правила . Не забудьте установить правильную версию winpcap для вашей версии Snort.

Анализаторы пакетов и Snort

Первым средством, которое мы рассмотрели в статье “Средства для работы ”, был анализатор пакетов. Вы должны помнить, что анализатор пакетов – это одно из средств, с которым нужно научиться работать и понимать, как оно работает. Вопрос состоит в следующем: будет ли использование анализатора пакетов запускать правило IDS? Не думаю, что вы удивитесь, узнав, что IDS не определит сетевую карту, работающую в смешанном режиме. Для такого типа определения существуют другие методы и средства. Однако, Snort не является таким средством. Теперь перейдем к другому средству, рассмотренному в предыдущей статье.

nmap и Snort

Без сомнения, Nmap – самый известный на сегодня сканер сети. Он является грозным оружием и с годами становится только сильнее. Из-за популярности nmap и способа, которым он производит сканирование, для IDS уже написаны сигнатуры для него. Что бы вы ни делали, об этом все равно рано или поздно будет известно, и не важно касается ли это, например, известного художника и репродукций его знаменитых картин, или, в случае nmap, генерации пакетов. Но, как говорится, лучше один раз увидеть. Так что сделаем то, что нам необходимо.

Для начала рассмотрим несколько требований. Вам понадобится snort, запущенный на компьютере или на VM-образе. На другом компьютере вам необходим установленный порт nmap. Отлично! Теперь запустим Snort (см. Рисунок 2).

Правила для snort на сетевую папку

Рисунок 2

Snort работает и анализирует «нехорошие» пакеты, проходящие через компьютер. Теперь нам необходимо послать Snort’у несколько пакетов от nmap, чтобы посмотреть, запустит ли использование nmap какое-либо предупреждение из набора правил Snort. Запустите nmap на втором компьютере (см. Рисунок 3). Обратите внимание, что вам нужно заменить IP-адрес на тот, который используется в вашей сети.

Snort на Windows

Рисунок 3

Параметры nmap и соответствующие пакеты передаются на целевой компьютер. Snort действительно распознает nmap. Это происходит благодаря набору правил, созданных именно для тех методов, которые использует nmap. Я говорил, что nmap все выполняет в определенной манере. Как только ты становишься предсказуемым, тебя начинают распознавать. Обратите внимание, что после остановки Snort вы получите некоторую информацию. Теперь, когда Snort вывел информацию, давайте посмотрим на нее. Вам нужно зайти в папку /log и просмотреть там файл журнала “alert.ids”.

Правила snort

Рисунок 4

Я закончу первую часть статьи на этом месте, а вторую начну с анализа файла “alert.ids”. Затем мы рассмотрим, как это согласуется с правилом Snort, а также посмотрим на сами пакеты, рассылаемые nmap. После того, как мы пройдем весь процесс с начала до конца, мы сможем точно понять, почему nmap был «пойман» Snort’ом. Некоторые из вас сочтут это скучным, даже ненужным. Но позвольте вас уверить, что это единственный способ понять все тонкости того, почему Snort «отлавливает» nmap. Чтобы понять что-либо недостаточно просто прочесть то, что я так подробно описал выше, необходимо сделать все самому. На этом я прощаюсь. До встречи в части.

Источник www.windowsecurity.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]