Обнаружение вторжений

Развертывание сетевой IDS

Данный проект призван продемонстрировать процесс развертывания сетевой IDS. Он начинается с предварительных этапов, которые необходимо выполнять перед непосредственной процедурой развертывания. При желании можете на самом деле осуществить развертывание датчика сетевой IDS.

Шаг за шагом

1. Определите, какие действия вы пытаетесь осуществить посредством развертывания датчика IDS. Это поможет четко обрисовать цели применения IDS.
2. На основе целей применения IDS определите, какой сетевой трафик требуется отслеживать.
3. Теперь решите, каким образом будут обрабатываться различные события, выявляемые IDS. Попробуйте определить, что будет разумнее - поручить выполнение некоторого действия системе IDS или оператору, который будет выполнять нужную процедуру.
4. При отсутствии опыта работы с датчиком IDS вам придется нелегко при первой установке пороговых значений. Если в вашем обозрении есть уже функционирующая система IDS, можете посмотреть, какие пороговые значения установлены на этой системе для различных признаков атак.
5. Составьте план развертывания IDS. Определите, кого в организации нужно задействовать для выполнения этой задачи.
6. Если вы хотите попробовать осуществить развертывание датчика NIDS, выделите для этого компьютер и установите на него Linux, FreeBSD или другую версию операционной системы семейства Unix.
7. Загрузите последнюю версию программы Snort (бесплатная IDS) с сайта http://www.snort.org/.
8. Следуйте инструкциям по установке и выполните инсталляцию программы Snort. Можно также установить ряд дополнительных программных пакетов для упрощения процесса управления и конфигурации.
9. Подключите датчик к сети. Лучше всего сделать это при помощи концентратора. Тем не менее, можно также использовать порт разветвителя на коммутаторе.
10. Разместив датчик на нужном месте, просмотрите файлы журналов, чтобы выяснить, какие события в них фиксируются. Также можно использовать программу Aсid для просмотра файлов журнала через веб-интерфейс. Aсid - это веб-интерфейс, используемый для анализа данных программы Snort.

Выводы

При наличии некоторого опыта работы с операционной системой Unix вам будет несложно разобраться с программой Snort. Данное упражнение поможет выполнить шаги по установке датчика NIDS. Однако если вы намереваетесь использовать его как действующий датчик в организации, необходимо заручиться поддержкой сетевых и системных администраторов организации. Также не следует думать, что этот проект удастся выполнить за один день. Настройка датчика и оценка результатов его работы потребует некоторых временных затрат.

Контрольные вопросы

1. Что подразумевается под обнаружением вторжений?
2. Назовите два основных типа IDS.
3. Может ли узловая IDS всегда определять успех или неудачу проведения атаки?
4. Может ли узловая IDS предотвращать атаку?
5. Возможно ли противостоять контролеру целостности файлов?
6. Назовите пять этапов реализации системы IDS.
7. Является ли идентификация действий пользователей корректной целью применения IDS?
8. Может ли сетевая IDS предотвращать достижение атаками их целей?
9. Что подразумевается под пассивными ответными действиями?
10. Что подразумевается под активными ответными действиями?
11. Должна ли применяться процедура выполнения ответных действий на инцидент в случае половинчатого IP-сканирования?
12. Почему оповещения о наличии в системе "черных ходов"часто оказываются ложными срабатываниями системы обнаружения вторжений?
13. О чем, как правило, говорит ситуация, при которой за небольшой промежуток времени наблюдается большое число различных атак?
14. Какой тип IDS следует применить в организации для защиты веб-сервера от причинения ущерба?
15. Какой тип системы IDS следует выбрать организации для защиты от атак, если в первую очередь рассматривается вопрос стоимости?