Ақпараттық Технологиялар Факультеті



бет1/3
Дата14.01.2020
өлшемі476.64 Kb.
  1   2   3
Л.Н. Гумилев атындағы Еуразия Ұлттық Университеті

Ақпараттық Технологиялар Факультеті

«Информатика және ақпараттық қауіпсіздік» кафедрасы
Курстық жұмыс

Тақырыбы: «Ақпаратты қорғаудың әдістері мен құралдары»

Л.Н. Гумилев атындағы Еуразия Ұлттық Университетінің

базасының негізінде



Жұмысты орындаған




Жетекші:

АҚЖ-31




Назырова Айжан Есболовна

топ атауы




тегі, аты, әкесінің аты

Ақылбекова Назерке

Атанбекова Зере

Зәйнікен Аяулым

Құрман Асылтас

Нұрғалиқызы Маржан









тегі, аты, әкесінің аты




қолы
















Қорғауға жіберілді:







«___» ____________2019 ж.

























бағасы
















Комиссия мүшелері














тегі, аты, әкесінің аты, қолы








тегі, аты, әкесінің аты, қолы








тегі, аты, әкесінің аты, қолы







Нұр-Сұлтан 2019 ж

МАЗМҰНЫ

КІРІСПЕ..................................................................................................................2



I. Ең көп таралған IDS жүйелері …………………………………………..5

ІІ. Қалыпты емес белсенділікті анықтауға негізделген интрузияны анықтау жүйелері ............................................................................7

ІІI. Рұқсатсыз енуді анықтау желілерінің мысалдары .......................

IV. Жалған дабылдар желісінің шабуылын анықтау жүйелері …..

4.1Жалған іске қосудың типтік себептері ………………………..

4.2Желілік кіруді анықтау жүйесін дұрыс орналастыру……….

V. Snort: рұқсатсыз енудің ашық текстілі коды……………………

5.1Snort-тың ерекшіліктері………………………………..

5.2Snort-ты орнату……………………………………………………….

5.3Пакеттік талдау режимі………………………………………………..



VI. Рұқсатсыз енуді аныктайтын режим…………………………………….

VII. Snort сигнал беру режимдері……………………………………………..

6.1Рұқсатсыз кіруді анықтайтын хостық жүйелер…………………..



IIX. Хост шабуылын анықтау әдістерінің артықшылығы……………….

7.1Хост шабуылын анықтау әдістерінің кемшіліктері……………



IX. Tripwire: файлдың тұтастығын тексеру…………………………….

X. Анықтамалық базаны инициализациялау………………………..

XI. Деректер базасын жаңарту…………………………………………..

Қорытынды

Кіріспе

Бүгінгі күнде қорғанысы ең мықты деген компьютерлік жүйелердің де осал тұстары бар. Алайда, көптеген адамдар желіаралық экран және антивирустық жүйені дұрыс реттесе, ДК мен LAN - ға төнетін кез - келген шабуылға төтеп береді деп ойлайды. Өкінішке орай, бұл жеткіліксіз. Компьютерлік қауіпсіздік саласындағы сарапшылардың көпшілігі жүз пайыз қорғалған жүйені құрудың мүмкін еместігімен келіседі. Сондықтан рұқсатсыз енуді анықтау және қалпына келтіру әдістері әр заманда да өзекті мәселе болып қала бермек.

Брандмауэрлерлер есіктің құлпы іспеттес, көптеген қиындықтардан қорғауға мүмкіндік береді, бірақ олар пассивті қорғауға арналған бағдарламалар болып табылады. Алайда, көптеген жағдайларда құлыпқа қосымша дабыл қажет болады, себебі, ол сіздің желіңізге (немесе сіздің желіңіздің маңызды серверіне) рұқсатсыз енуге тырысатын әрекеттерді хабарлайды. Мұндай сигналдың рөлін - басып кіруді анықтау жүйесі атқарады - Intrusion Detection Systems (IDS). IDS жүйелер желісі / желілік адаптердің мониторингі көмегімен алынатын ақпараттың үздіксіз мониторингін жүргізеді. IDS - тің аса мықты корпоративтік жүйелері тыйым салынған әрекеттерді (мысалы, порттарды сканерлеу) және сигнатураларды (мысалы, қандай да бір эксплойтты қолдану) анықтай отырып, ішкі желідегі барлық трафиктің мониторингін жүргізе алады. Мұндай жүйелер NIDS - Network Intrusion Detection Systems класына жатады. Жекеленген IDS әдетте белгілі бір компьютерге анық бағытталған трафикті талдауымен ғана шектеледі. Мұндай жүйелер HIDS - Host Intrusion Detection Systems класына жатады.

IDS - бұл кәсіпорын желісін қорғау инфрақұрылымының бір бөлігі ғана, және барлық басқа компоненттер сияқты, IDS жалғыз өзі абсолютті қорғауды қамтамасыз етпейді. IDS - ті пайдалану кезінде келесі сәттерді ескеру қажет:

- IDS әдетте үлкен ТРАФИГІ БАР желілерде қалыпты жұмыс істей алмайды (кейбір өте қымбат аппараттық жүйелерден басқа). Әдетте 100 Мбит желіде секундына 50 000 пакет (орташа мөлшері 180 байт) - көптеген IDS жүйелері үшін қол жетпейтін шек;

- Көптеген IDS snow blind алдында әлсіз болып келеді. Бұл жағдайда шабуылдаушы IDS жүйесіне "алдамшы" IP және MAC-адрестері бар жүздеген пакеттерді тастайды. Мұндай ағында, IDS рұқсатсыз ену үшін жіберілітін пакеттерді анықтай алмайды;



- Шабуылдаушының көптеген жалған IDS қосымшаларын іске қосуы, әкімшінің (администратор) IDS мүмкіндіктерінің бір бөлігін ажыратуына себепші болады. Жалпы айтқанда, IDS орнатқанда, іске қосылудың көп бөлігі күрделі болады , бұл әкімші тарапынан қосымша уақыт пен көңіл бөлуді талап етеді.


Ең көп таралған IDS жүйелері
Прокси - серверлер мен брандмауэрдерге орнатылған IDS жүйелері жиі қолданылады (мысалы, Kerio WinRoute Firewall немесе Microsoft ISA Server). Әдетте мұндай IDS жүйелері үлкен функционалдылығымен ерекшеленбейді - оларда басып кіруді анықтаудың бірнеше ережесі (мысалы, порттарды сканерлеу) орнатылған. Дегенмен, мұндай IDS жүйелері шабуылға дереу әрекет ету үшін сәтті қолданылуы мүмкін.

SNORT (www.snort.org) - ең көп таралған IDS жүйесі (классикалық) болып табылады. Бастапқыда ол *nix астында құрылды, содан кейін Windows платформасы үшін де құрылды. Классикалық нұсқада SNORT - тың мәтіндік файл конфигурациясын қолмен өңдеу қажет, бірақ Windows - IDSCenter астында оны күйге келтіретін графикалық қосымшасы бар. EagleX - қосымшаны Windows-та жылдам орнату және баптау үшін қолданылатын SNORT-тың бір түрі. SNORT-тың артықшылықтарына келесі критерийлерді жатқызуға болады: сенімділік, құжаттаманың және қосымша утилиттердің үлкен саны, сондай-ақ тегін жүктеп алу мүмкіндігі(утилитаның ашық бастапқы коды бар). Кемшілігі: орнатуында және баптауында кездесетін қиыншылықтар, сонымен қатар, бағдарламаның жұмысына қажетті қосымша компоненттердің көптігі(Apache, Perl, mySQL және т.б.). Қазіргі уақытта SNORT басып кіруді анықтау жүйесі үшін ең маңызды стандарттардың бірі болып табылады.Шабуылдарды анықтаудың коммерциялық жүйелерінің көптеген түрі бар (әдетте өте қымбат, бірақ өте қуатты). Мұндай жүйелердің мысалдары ретінде Computer Associates фирмасының McAfee Entercept немесе eTrust Intrusion Detection келтіруге болады. Әдетте, олардың баптауы жеңіл және олар ресурстық емес жүйелер болып табылады . Осындай сәтті бағдарламалардың біріне Internet Periscope жатқызуға болады. Сонымен қатар, бұл жүйе рұқсатсыз енуден бөлек, автоматты режимде шабуылдаушы қолданып отырған доменді және IP – адрестің координаттарын көрсетеді. IDS жеке класына желілік трафикті талдауды ғаан емес, Windows оқиғаларының журналдарына тұрақты мониторинг жүргізетін арнайы бағдарламаларды жатқызуға болады (әдетте олардың көмегімен аудитті реттеуге болады). Мұндай жүйелерге, мысалы, GFI SELM жатады. Әрине, басып кіруді анықтаудың аппараттық жүйелері де бар (аппараттық брандмауэрмен біріктірілген). Мұндай құрылғылар CheckPoint және NetScreen фирмаларында кең таралған.

Honeypots (басқаша аты - Deception немесе Decoy systems) – рұқсатсыз енуді анықтауға тікелей қатысы бар программалардың бір түрі. Өз атауына сәйкес, олар хакерлерді қақпанға түсіру үшін (жабысқақ лента) қолданылады. Honeypots - тың коммерциялық және коммерциялық емес өнімдері, жекелеген аппараттық шешімдер (мысалы, Specter) немесе дайын Unix жүйелер бейнелері түрінде жеткізіледі. Дегенмен, Honeypot-ты өзіміз ескі компьютерді (немесе VMware негізіндегі виртуалды компьютерде) пайдалану арқылы құра аламыз. Әдетте онда осал қосымшалардың және хакер үшін сыртқы тартымды ресурстардың ең көп саны орналастырылады, және сонымен бір мезгілде хакердің барлық әрекеттерін тіркейтін басып кіруді анықтау жүйесі (мысалы, SNORT) тұрады. Интернет шабуылдаушылар үшін әдетте мұндай белгілер DMZ-ге орналастырылады, ал ішкі желіде Honeypots-тың рөлі әдетте тартымды атаулары мен файлдық серверлерде реттелген аудиті бар каталогтар ойнайды.


Негізінде, IDS бағдарламалары өзгертілген анализаторлар болып табылады, олар желідегі барлық ағындарды көреді, ықтимал зиянды желілік трафикті анықтауға тырысады және пайда болған кезде ескертеді. Олардың әрекетінің негізгі әдісі - өткен трафикті зерттеу және оны қолдар деп аталатын зиянды әрекеттің белгілі заңдылықтарының мәліметтер базасымен салыстыру. Қолтаңбаларды пайдалану антивирустық бағдарламаларға өте ұқсас. TCP / IP деңгейіндегі шабуылдардың көпшілігінің өзіндік ерекшеліктері бар. Шабуылды анықтау жүйесі IP-мекен-жайларға, порт нөмірлеріне, мазмұнға және критерийлердің еркін санына негізделген шабуылдарды анықтай алады. Жүйелік деңгейде интрузияны анықтаудың тағы бір тәсілі бар, ол негізгі файлдардың тұтастығын бақылаудан тұрады. Бұған қоса, басып кіруді анықтау және брандмауэрлік ұғымдарды біріктіретін немесе қарапайым анықтаудан тыс қосымша қадамдар жасайтын жаңа әдістер әзірленуде. Мұнда желілер мен жүйелердегі шабуылдарды анықтаудың ең танымал екі әдісі келтірілген: желілік кіруді анықтау және файл тұтастығын бақылау.

Желіге кіруді анықтау жүйесі брандмауэр арқылы ішкі LAN-ға түсетін шабуылдардан қорғай алады. Желіаралық қалқан желіге қажетсіз трафиктің өтуі үшін дұрыс конфигурацияланбаған болуы мүмкін. Желіаралық қалқан дұрыс жұмыс істесе де, әдетте кейбір қосымшаларға қауіпті болуы мүмкін трафиктің ішінде өтуіне мүмкіндік береді. Порттар көбінесе брандмауэрден поштаға немесе басқа жалпы серверге арналған трафигі бар ішкі серверлерге жіберіледі. Желіні басып кіруді анықтау жүйесі бұл трафикті қадағалап, қауіпті пакеттер туралы сигнал бере алады. Дұрыс конфигурацияланған желілік кіруді анықтау жүйесі брандмауэр ережелерін екі рет тексеріп, қосымша серверлер үшін қосымша қорғауды қамтамасыз етеді.

Желілік шабуылды анықтау жүйелері сыртқы шабуылдардан қорғауда пайдалы, алайда олардың басты артықшылықтарының бірі - ішкі шабуылдар мен пайдаланушының күдікті әрекеттерін анықтау мүмкіндігі. Брандмауэр көптеген сыртқы шабуылдардан қорғайды, бірақ шабуылдаушы жергілікті желіде болған кезде, брандмауэр көмектесе алмайды. Ол тек ол арқылы өтетін трафикті көреді және әдетте жергілікті желідегі әрекеттерді көрмейді. Желіні басып кіруді анықтау жүйесін және брандмауэрді қосымша қауіпсіздік құрылғылары ретінде қарастырыңыз - мысалы, сенімді есік құлпы және желілік қауіпсіздік дабылы. Олардың бірі сіздің сыртқы шекараңызды, екіншісі - ішкі бөлігіңізді қорғайды.

Ішкі трафикті мұқият бақылауға жақсы себеп бар. ФБР статистикасы бойынша, компьютерлік қылмыстардың 70 пайыздан астамы ішкі көзден туындайды. Ішкі зиянкестер әрқашан түнгі хакерлер бола бермейді. Бұл ренжіген жүйелік әкімшілер де, ұқыпсыз қызметкерлер де болуы мүмкін. Файлды жүктеу немесе электрондық поштаның хабарламасына тіркелген файлды ашудың қарапайым әрекеті сіздің жүйеңізге троянды енгізуі мүмкін, ол брандмауэрде кез-келген қиындыққа жол ашады.



Достарыңызбен бөлісу:
  1   2   3


©netref.ru 2019
әкімшілігінің қараңыз

    Басты бет