Развертывание сетевой IDS

Данный проект призван продемонстрировать процесс развертывания сетевой IDS. Он начинается с предварительных этапов, которые необходимо выполнять перед непосредственной процедурой развертывания. При желании можете на самом деле осуществить развертывание датчика сетевой IDS.

Шаг за шагом

  • 1. Определите, какие действия вы пытаетесь осуществить посредством развертывания датчика IDS. Это поможет четко обрисовать цели применения IDS.
  • 2. На основе целей применения IDS определите, какой сетевой трафик требуется отслеживать.
  • 3. Теперь решите, каким образом будут обрабатываться различные события, выявляемые IDS. Попробуйте определить, что будет разумнее - поручить выполнение некоторого действия системе IDS или оператору, который будет выполнять нужную процедуру.
  • 4. При отсутствии опыта работы с датчиком IDS вам придется нелегко при первой установке пороговых значений. Если в вашем обозрении есть уже функционирующая система IDS, можете посмотреть, какие пороговые значения установлены на этой системе для различных признаков атак.
  • 5. Составьте план развертывания IDS. Определите, кого в организации нужно задействовать для выполнения этой задачи.
  • 6. Если вы хотите попробовать осуществить развертывание датчика NIDS, выделите для этого компьютер и установите на него Linux, FreeBSD или другую версию операционной системы семейства Unix.
  • 7. Загрузите последнюю версию программы Snort (бесплатная IDS) с сайта ссылка: http://www.snort.org/.
  • 8. Следуйте инструкциям по установке и выполните инсталляцию программы Snort. Можно также установить ряд дополнительных программных пакетов для упрощения процесса управления и конфигурации.
  • 9. Подключите датчик к сети. Лучше всего сделать это при помощи концентратора. Тем не менее, можно также использовать порт разветвителя на коммутаторе.
  • 10. Разместив датчик на нужном месте, просмотрите файлы журналов, чтобы выяснить, какие события в них фиксируются. Также можно использовать программу Acid для просмотра файлов журнала через веб-интерфейс. Acid - это веб-интерфейс, используемый для анализа данных программы Snort.

Выводы

При наличии некоторого опыта работы с операционной системой Unix вам будет несложно разобраться с программой Snort. Данное упражнение поможет выполнить шаги по установке датчика NIDS. Однако если вы намереваетесь использовать его как действующий датчик в организации, необходимо заручиться поддержкой сетевых и системных администраторов организации. Также не следует думать, что этот проект удастся выполнить за один день. Настройка датчика и оценка результатов его работы потребует некоторых временных затрат.

Контрольные вопросы

  • 1. Что подразумевается под обнаружением вторжений?
  • 2. Назовите два основных типа IDS.
  • 3. Может ли узловая IDS всегда определять успех или неудачу проведения атаки?
  • 4. Может ли узловая IDS предотвращать атаку?
  • 5. Возможно ли противостоять контролеру целостности файлов?
  • 6. Назовите пять этапов реализации системы IDS.
  • 7. Является ли идентификация действий пользователей корректной целью применения IDS?
  • 8. Может ли сетевая IDS предотвращать достижение атаками их целей?
  • 9. Что подразумевается под пассивными ответными действиями?
  • 10. Что подразумевается под активными ответными действиями?
  • 11. Должна ли применяться процедура выполнения ответных действий на инцидент в случае половинчатого IP-сканирования?
  • 12. Почему оповещения о наличии в системе "черных ходов"часто оказываются ложными срабатываниями системы обнаружения вторжений?
  • 13. О чем, как правило, говорит ситуация, при которой за небольшой промежуток времени наблюдается большое число различных атак?
  • 14. Какой тип IDS следует применить в организации для защиты вебсервера от причинения ущерба?
  • 15. Какой тип системы IDS следует выбрать организации для защиты от атак, если в первую очередь рассматривается вопрос стоимости?
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >