Учебное пособие 1290
.pdf./snort -v – на экран выводятся только IP и TCP/UDP/ICMP заголовки пакетов, которые программа перехватывает в сети;
./snort -vd – в отличие от предыдущего случая ключ d обеспечивает ещё вывод на экран пакетных данных;
./snort -dev – ключ e обеспечивает дополнительный вывод данных на канальном уровне.
2. Пакетное журналирование – читает пакеты из сети и записывает их на диск в так называемый лог-файл. Отличается от режима сниффера только тем, что вывод осуществляется не на экран, а в файл на диск.
Запуск Snort в данном режиме осуществляется таким же образом как и в режиме сниффера с добавлением ключа l после которого следует указать путь к каталогу где будут хранится лог-файлы. Если же указанного каталога не существует, то запуск программы будет завершён с ошибкой. Ниже приведён пример:
./snort -dev -l /usr/local/var/logs/snort;
./snort -dev -l /home/user/logs -h 192.168.1.0/24
./snort -l /home/user/logs –b – запись данных в бинарный лог-файл;
./snort -dv -r packet.log – чтение бинарного файла для дальнейшего анализа.
3.Сетевая система обнаружения вторжений – Snort анализирует сетевой трафик и выполняет какие-либо действия в зависимости от вида атак.
./snort -dev -c /usr/local/etc/snort/snort.conf
4. inline – режим работы совместно с файерволом iptables. Для того, чтобы запустить в этом режиме, необходимо добавить дополнительный ключ Q:
./snort -GDc ../etc/drop.conf -l /var/log/snort
Перед запуском в этом режиме необходимо убедиться, что программа установлена с поддержкой данного режими. После этого следует настроить файервол для взаимодействия со Snort.
19
3.1.4. Контрольные вопросы
1.Порядок создания автоматизированных систем в защищенном исполнении.
2.Перечислите основные технические требования к средствам вычислительной техники, применяемой для защиты от НСД.
3.Каковы основания для прекращения АСЗИ?
4.Перечислите типовое содержание работ по защите информации на этапе:
- формирования требований к АС; - разработки концепции;
- технического задания и эскизного проекта; - технического проекта;
5.В чём особенности конфигурирования СОВ Snort?
3.2.Примерное содержание раздела 2
|
|
|
Таблица 2 |
Тематика самостоятельных работ раздела 2 |
|||
Наименование |
|
Содержание |
Вид контроля и |
разделов и тем |
|
самостоятельной |
отчетность по |
|
|
работы |
результатам |
|
|
|
самостоятельной |
|
|
|
работы |
Раздел 2 |
Теоретический |
|
|
Основные |
материал: |
|
|
принципы и |
1. |
Классификация |
Проверка |
технологии |
СОВ |
конспекта |
|
построения систем |
2. |
Архитектура СОВ |
Проверка |
обнаружения |
|
|
конспекта |
вторжений |
3. |
Структура СОВ |
Проверка |
|
|
|
конспекта |
|
4. |
Технологии |
Проверка |
|
обнаружения |
конспекта |
|
|
аномальной |
|
|
|
активности |
|
|
20
|
|
Продолжение табл. 2 |
|
Наименование |
|
Содержание |
Вид контроля и |
разделов и тем |
|
самостоятельной |
отчетность по |
|
|
работы |
результатам |
|
|
|
самостоятельной |
|
|
|
работы |
|
5. |
Технологии на |
Проверка |
|
основе сигнатурного |
конспекта |
|
|
метода |
|
|
|
|
|
|
|
Практические |
|
|
|
занятия: |
|
|
|
|
|
|
|
1. |
Обзор и техни- |
Доклад |
|
ческие характеристики |
|
|
|
Аргус, версия 1.5 |
|
|
|
2. |
Обзор и техни- |
Доклад |
|
ческие характеристики |
|
|
|
«Детектор атак |
|
|
|
«Континент» |
|
|
|
3. |
Обзор и |
Доклад |
|
технические |
|
|
|
характеристики |
|
|
|
«Рубикон» |
|
|
|
4. |
Обзор и |
Доклад |
|
технические |
|
|
|
характеристики |
|
|
|
«Ручей-М» |
|
|
|
5. |
Обзор и |
Доклад |
|
технические |
|
|
|
характеристики «Тор» |
|
|
|
6. |
Обзор и |
Доклад |
|
технические |
|
|
|
характеристики |
|
|
|
«Форпост» |
|
|
|
7. |
Обзор и |
Доклад |
|
технические |
|
|
|
характеристики |
|
|
|
«ViPNet IDS» |
|
|
21
3.2.1. Контрольные вопросы
1.Приведите классификация атак и систем их обнаружения.
2.Охарактеризуйте особенности сигнатурных и аномальных правил обнаружения атак.
3.Какие способы поиска компьютерных атак поддерживают АПК «Аргус» 1.5, ДА «Континент», «Рубикон», «Ручей-М», «Тор», «Форпост», «ViPNet IDS»?
4.Назовите основные конструкции языка политик, которые поддерживают данные комплексы?
5.Какие протоколы поддерживают данные комплексы?
3.3.Примерное содержание раздела 3
|
|
|
|
Таблица 3 |
Тематика самостоятельных работ раздела 3 |
||||
Наименование |
Содержание |
Вид контроля и |
||
разделов и тем |
самостоятельной |
отчетность по |
||
|
|
работы |
результатам |
|
|
|
|
|
самостоятельной |
|
|
|
|
работы |
Раздел 3 |
|
Теоретический |
|
|
Анализ |
сетевого |
материал: |
|
|
трафика |
и |
Программы анализа и |
Проверка |
|
контента |
|
мониторинга |
|
конспекта |
|
|
сетевого трафика |
|
|
|
|
Получение и |
|
Составление |
|
|
подготовка |
|
отчета о |
|
|
данных для |
анализа |
проделанной |
|
|
свойств |
аномалий |
работе |
|
|
трафика |
|
|
|
|
Анализ |
образцов |
Проверка |
|
|
трафика |
|
конспекта |
22
|
|
|
|
Продолжение табл. 3 |
|
Наименование |
|
Содержание |
|
Вид контроля и |
|
разделов и тем |
|
самостоятельной |
отчетность по |
||
|
|
работы |
|
результатам |
|
|
|
|
|
|
самостоятельной |
|
|
|
|
|
работы |
|
Практические |
|
|
||
|
занятия: |
|
|
|
|
|
1. |
Обновления правил |
Демонстрация |
||
|
СОВ Snort |
|
алгоритма |
||
|
2. |
Настройка |
СОВ |
Демонстрация |
|
|
Snort на |
обнаружение |
работы |
||
|
Malware |
|
|
|
|
|
|
|
|
|
|
|
3. |
Настройка |
СОВ |
Демонстрация |
|
|
Snort на |
обнаружение |
работы |
||
|
вирусов |
|
|
|
|
|
|
|
|
|
|
3.3.1.Контрольные вопросы
1.Каковы характерные особенности подозрительного
трафика?
2.Охарактеризуйте IDS как средство управления
рисками.
3.Какие Вы знаете шкалы для оценки серьезности атак?
23
СПИСОК РЕКОМЕНДУЕМОЙ ЛИТЕРАТУРЫ
1.Шелухин, О. И. Обнаружение вторжений в компьютерные сети (сетевые аномалии) [Текст]: учеб. пособие для вузов / О. И. Шелухин, Д. Ж. Сакалема, А. С. Филинова; под ред. профессора О. И. Шелухина. – М.: «Горячая линия – Телеком», 2013.
2.Щербаков, В. Б. Риск-анализ атакуемых беспроводных сетей [Текст]: монография / В. Б. Щербаков, С. А. Ермаков, Н. С. Коленбет; под ред. чл.-корр. РАН Д. А. Новикова. – Воронеж: Издательство «Научная книга», 2013. –
160 с.
3.Владимиров, А. А. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей / А. А. Владимиров, К. В. Гавриленко, А. А. Михайловский; пер. с англ. А. А. Слинкина.
–M.: НТ Пресс, 2005. – 464 с.
4.Приказ ФСТЭК России от 18 февраля 2013 г. N 21 Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. [Электронный ресурс]. – Режим доступа: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691- prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21
5.Приказ ФСТЭК России от 11 февраля 2013 г. N 17 Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах [Электронный
ресурс]. – Режим доступа: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek- rossii-ot-11-fevralya-2013-g-n-17
6. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/317
7. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня узла
24
четвертого класса защиты [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/318
8. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети пятого класса защиты [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/319
9. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/320
10. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня узла пятого класса защиты [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/321
11. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня узла шестого класса защиты [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/322
12.Язов Ю.К. Технология проектирования систем защиты информации в информационно-телекомуникационных системах [Текст]: учеб. пособие / Ю.К. Язов. – Воронеж: ВГТУ, 2007. – 275 с.
13.SNORT Users Manual 2.9.7 [Электронный ресурс]. –
Режим доступа: https://s3.amazonaws.com/snort-org- site/production/document_files/files/000/000/051/original/snort_ma nual.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expir es=1430088901&Signature=chV1DgwXUMeuj8vAaNREnEk%2B cM4%3D.
14. Установка Snort в Ubuntu 12.04 [Электронный ресурс]. – Режим доступа: http://desk-notes.blogspot.ru /2013/03/snort-ubuntu-1204.html.
25
ПРИЛОЖЕНИЕ Примерный перечень и содержание нормативной
информации национальных стандартов, рекомендуемых к применению при создании автоматизированных систем в защищенном исполнении
26
|
СОДЕРЖАНИЕ |
|
ВВЕДЕНИЕ ..................................................................................... |
1 |
|
1. |
ЦЕЛИ И ЗАДАЧИ САМОСТОЯТЕЛЬНОЙ РАБОТЫ .......... |
2 |
2. |
ВИДЫ САМОСТОЯТЕЛЬНОЙ РАБОТЫ .............................. |
3 |
3. |
ТЕМАТИКА САМОСТОЯТЕЛЬНОЙ РАБОТЫ.................... |
4 |
|
3.1. Примерное содержание раздела 1 ..................................... |
4 |
|
3.1.1. Теоретический материал .......................................... |
6 |
|
3.1.2. Примерное содержание практических сведений |
|
|
по структуре и функционированию СОВ Snort .............. |
12 |
|
3.1.3. Режимы запуска Snort............................................. |
18 |
|
3.1.4. Контрольные вопросы ............................................ |
20 |
|
3.2. Примерное содержание раздела 2 ................................... |
20 |
|
3.2.1. Контрольные вопросы ............................................ |
22 |
|
3.3. Примерное содержание раздела 3 ................................... |
22 |
|
3.3.1. Контрольные вопросы ............................................ |
23 |
СПИСОК РЕКОМЕНДУЕМОЙ ЛИТЕРАТУРЫ....................... |
24 |
|
|
Приложение. Примерный перечень |
|
|
и содержание нормативной информации |
|
|
национальных стандартов, рекомендуемых |
|
|
к применению при создании автоматизированных |
|
|
систем в защищенном исполнении .................................. |
26 |
27
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к самостоятельным работам по дисциплинам «Теория управления информационной безопасностью распределенных компьютерных систем», «Управление информационной безопасностью»
для студентов специальностей 090301 «Компьютерная безопасность», 090303 «Информационная безопасность автоматизированных систем»
очной формы обучения
Составители:
Разинкин Константин Александрович Голозубов Артем Александрович
В авторской редакции
Подписано к изданию 13.05.2015. Уч. - изд. л. 1,7.
ФГБОУ ВПО «Воронежский государственный технический университет»
394026 Воронеж, Московский просп., 14