Wykład 7 12 11 28

Wykład 7 28-11-2012

Sposoby reakcji:

Rodzaje systemów (IDS/IPS) ze względu na miejsce instalacji/wdrożenia

Zainstalowane na hostach „host based” (HIDS/HIPS)

Instalowane w oprogramowaniu hosta analizują:

Zalety:

Wady:

Przykład:

Zainstalowane na urządzeniach sieciowych „network based” (NIDS/NIPS)

System zbiera ruch sieciowy z monitorowanej sieci (poprzez odpowiednie włączenie do sieci komputerowej i analizowanie wszystkiego co tam trafia)

Zalety

System ma scentralizowany charakter

Rozw….

Brak możliwości analizowania polaczen szyfrowanych

Rodzaje systemów ze względu na sposób działania

Network based – „On-line”

System nasłuchujący transmisji sieciowej stoi „z boku”, np. jest podłączony poprzez port monitorowane na przełączniku. Po wykryciu nadużycia może jedynie informować o tym.

Network based – „In-line”

Systemy „stojące” na rzeczywistej drodze analizowanej transmisji sieciowej, przez co możliwe jest natychmiastowe działanie i analizowanie.

Sygnatury

Skuteczność IDS/IPS zależy m.in. od sygnatur

Sposoby aktualizacji sygnatur:

Kryteria oceny rozwiązań klasy IPS/IDS

Oceniać i porównywać systemy IDS/IPS można biorąc pod uwagę ich:

Przykładowe dodatkowe funcje systemów IDS/IPS:

Produkty alernatywne / uzupełniające w zakresie transmisji

Filtry aplikacyjne (WAF – Web Application Firewall), np Imperva SecureSphere, F5 BIG IP

Zapory sieciowe, a takze systemy IDS/IPS najczęściej mają ograniczone możliwości w zakresie blokowania ataków wykorzystującuch błędy logiczne aplikacji Web I baz danych:

Secure Device Event Exchange – SDEE

Protokół opracowany w celu zwiększenia możliwości monitorowania urządzeń bezpieczeństwa.

Ri# config t

Ri# config)# Ip http server

Ip http secure-server

Ips notify sdee

Ip sdee events 500

Uruchomienie IPS na routerach Cisco

  1. Konieczność posiadania odpowiedniego urządzenia I IOS-a.

  2. Pobranie sygnatur i umieszczenie ich w pamięci Flash.

  3. Pobranie i dołączenie do konfiguracj klucza RSA, który słyży do weryfikacji integralności pobranych sygnatur

  4. Stworzenie reguły inspekcji IPS
    R1(config)#ip ips name „nazwa”

  5. Wskazanie lokalizacji sygnatur
    R1(config)# ip ips config location flash:ips

  6. Uaktywnienie wszystkich lub wybranych sygnatur
    R1(config)# ip ips signature-category
    R1(config-ips-category)# category all
    R1(config-ips-category-action)# retired true

  7. Przypisanie regły inspekcji do interfejsu
    R1(cinfig-if)#ip ips „nazwa” in/out

Sprawdzenie konfiguracji IPS – cisco

R1# show run

R1# Show ip ips signature (detail)

R1# Show / clear ip ips statistics

R1# clear ip ips configuration

R1# show ip ips signature count

Dostrajanie funkcji IPS

R(config)# ip ips signature-definition

R(config-sigdef)# signature 2004 0

R(config-sigdef-sig)# status

R(config-sigdef-sig-status)# retired false

R(config-sigdef-sig-status)# enabled true

R(config-sigdef-sig)# engine

R(config-sigdef-sig-engine)# event-action produce-alert

R(config-sigdef-sig-engine)# exit

R(config-sigdef-sig)# exit

R(config-sigdef)# exit

Do you want to accept these changes?

R(config-sigdef-sig-engine)#event-action produce-alert

R(config-sigdef-sig-engine)#event-action reset-tcp-conn

Translacja adresów (NAT, PAT)

Stosując NAT można zastosować:

Translacja adresów

Source Network Address translation (SNAT) to technika polegajaca na zmianie adresu źródłowego pakietu IP na jakiś inny

Destination Network Address Translation (DNAT) to technika zmiany adresu docelowego IP na inny.

Statyczny wpis translacji:

Router(config)# ip nat inside source static 10.6.1.20(local-ip) 171.69.68.10 (global-ip)

Router(config)# interface type number

Router(config-if)# ip nat inside (po stronie adresów prywatnych)

Router(config-if)# ip nat outside(po stronie adresów publicznych)

Konfiguracja usług NAT – komendy:

Router(config)# ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0

Router(config)# access-list 1 permit 10.0.0.0 0.0.0.255

Konfiguracja usług PAT

Tłumaczenie a aktualny adres interfejsu:

Router(config)# ip nat inside source list 1 interface serial0/0 overload

Tłumaczenie na adresy zdefiniowanej wcześniej puli adresowej

Router(config)# ip nat pool nat-pool2 179.9.8.0 netmask 255.255.255.0

Router(config)#ip nat inside source list 1 pool nat-pool2 overload

Weryfikacja konfiguracji NAT/PAT

Router# show ip nat translations [verbose]

Router# debug ip nat

Router# debug ip nat detailed

Usuwanie wpisów

Clear ip nat translation

Clear ip nat translation inside [outside]

Clear ip nat translation protocol inside global-ip global-port


Wyszukiwarka

Podobne podstrony:
AKO Wyklad 12 11 11 id 53978 Nieznany (2)
12 11 28 Como hablar? Dios hoy
Filozofia z etyką wykład 5 (12 11)
Baraniewski, wykład, 1 12 11
wyklad 5 12.11.2007, wyklady - dr krawczyk
Baraniewski, wykład, 8 12 11
Wykład 5 12 11 07
Wykład 4 12 11 07
Wykład 6 12 11 21
12 11 28, Jak dziś mówić o Bogu
AKO Wykład 12 11 11
wykłady 12 11 2013
Wykłady PAU Wykłąd PAU 7 12 11
wykłady do 11 12 13
Wyklad 3 makro 12.11, Finanse i Rachunkowość, Semestr I, Makroekonomia, inne
12 bankowosc wyklad 12 28 01 2015

więcej podobnych podstron