Общую суть вкратце про IDS/IPS системы я уже говорил. Это аппаратные или программные системы, анализирующие входящие данные и в случае обнаружения опасности генерируются алерты. В настоящее время, firewall не является абсолютным средством защиты компьютерных систем (сетей), IDS/IPS системы созданы сократить шанс взлома. Такие системы выявляют попытки взлома еще до того как он был совершен.
Естественно перед взломом, хакер прощупывает жертву выполняя определенный набор действий, IDS системы обнаруживают потенциальные попытки хакера, и сообщают администратору об этом. IPS системы позволяют пресечь такие попытки. При этом система все документирует, что позволяет анализировать и впоследствии совершенствовать систему.
Архитектура системы:
1) Сенсор - средство сбора данных.
2) Подсистема анализа входящих данных.
3) База данных
4) Консоль управления системой.
Snort® is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol, and anomaly-based inspection, Snort is the most widely deployed IDS/IPS technology worldwide. With millions of downloads and nearly 400,000 registered users, Snort has become the de facto standard for IPS.
Это сетевая система обнаружения и предотвращения вторжений (IDS/IPS) с открытым исходным кодом. Snort использует язык описания правил, который сочетает преимущества методов обследования, основанных на подписях, протоколах и аномалиях. Итого работа snort основана на трех принципах: язык правил, механизм оповещения об атаках, модульность.
Правило - инструкция поведения snort с пакетом, в зависимости от результата анализа пакета. В случае обнаружения аномалии или атаки, snort генерирует сообщение администратору. Модуль - программное дополнение расширяющее возможности. Таким образом Snort представляет из себя очень гибкую систему, способную подстроиться под любые сети.
Snort способен работать в трех режимах:
1) Сниффер аля tcpdump.
2) Логгер пакетов.
3) Полнофункциональная система.
Разобраться с работой snort достаточно легко, его правила логичны и просты в чтении. Написано множество книг и не одна статья про его работу и составление правил. Я же хочу поделиться опытом и проблемами с которыми я столкнулся. Возможно их решения помогут сэкономить время вам. На этом введение я закончу, в следующий раз опишу внедрение в сеть.
Комментариев нет:
Отправить комментарий