ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ Компьютерийн сүлжээний 4-р анги С.Отгонлхагва Удирдсан багш Г.Гандэмбэрэл
• Хамгаалалтыг хийхэд төвөгтэй болсон • Халдлага эсэргүүцэх систем - Өртөг өндөр - Сүлжээний гүйцэтгэлийг бууруулдаг • Өртөг багатай халдлага эсэргүүцэх системийн шийдлийг олж практик нөхцөлд турших
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Зорилго
Төслийн нэр
Эхэлсэ
Сүүлд
Суулгах
Чөлөөт эсвэл
Дэмждэг үйлдлийн
н он
гарсан
боломж
нээлттэй эх
систем
хувилбар Snort
1998
2.8.3.2
бүхий Repository,
Чөлөөт болон
Linux, BSD-based OSes,
HIDS, NIDS, DIDS боловч
rpm, source,
нээлттэй эх
Solorais, Mac OS X, HP-
IPS болгон өргөтгөх
UX, IRIX
боломжтой.
Чөлөөт болон
Windows, Өөртөө агуулсан
HIPS, NIPS
нээлттэй эх
debian суурьт үйлдлийн
exe
Untangle
2003
6.1(2009)
HIPS/NIPS/DIPS
boot cd, exe
систем Gnome lokkit
HLBR
-
2005
1.0
1.6(2008)
Rpm, source
Rpm, source
Чөлөөт болон
Gnome-ийг дэмждэг бүх
HIPS
нээлттэй эх
үйлдлийн систем
Чөлөөт болон
Linux
HIPS
Windows
HIPS
нээлттэй эх GeSwall
2006
2.8 (2009)
exe
Чөлөөт
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Халдлага эсэргүүцэх системийн сонголт
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Халдлага илрүүлэх системийн зураг
Ангилал
Халдла гын тоо
Unclassified
29009
Attempted administrator privilege gain
1274
Executable code was detected
1623
Access to a potentially vulnerable Web application
297
Web application attack
35
Attempted information leak
74
policy-violation
67
Information leak
15
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Халдлагын төрлүүд
Ангилал
Эх хаяг
Unclassified
690
Attempted administrator privilege gain
537
Executable code was detected
9
Access to a potentially vulnerable Web application
60
Web application attack
8
Attempted information leak
9
policy-violation
3
Information leak
12
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Халдлагын төрлүүд
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Олон халдсан хаягууд
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Цагийн хамаарал
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Халдлагат өртсөн портууд (services)
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Web-д үндэслэсэн халдлагын үр дүн
Програмын нэр
Сүүлийн хувилбар
Ажиллах боломжтой kernel-ийн хувилбар
Холбогдох snort-ийн хувилбар
Блоклох түвшин
Snortsam
2.57 (2008.11.05 patched)
2.6.27.12
snort-2.8.3.1
Layer 3, layer 4
Fwsnort
1.0.5 (2008.08.21)
2.4.0
snort-2.3.3
Layer 3, layer 4
Snort_inline
2.6.1.5 (2007.05.09)
2.4.0
Layer 3, layer 4, layer 7
Guardian
1.7
2.4.0
Layer 3, layer 4
Snort2c
0.2 (2005.02.29)
2.4.0
Layer 3, layer 4
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Snort-ийг өргөтгөх боломжууд
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Халдлага эсэргүүцэх системийн зураг
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Ажиллах зарчим IPS Log IDS files/alert files/databas e Output plugins (Logging/ Alerting) Rules
Fwsam alert plugin
Alerts
Snortsam
Detection engine Rules
Preproccessor Sniffers pcap
Network traffic
Firewall (Iptables, Cisco ACL ...)
Network traffic
•hping3 пакежийг суулгаж доорх командаар dos халдлага хийж веб серверийн хэвийн үйл ажиллагаанд нөлөөлж болно. •hping3 -i u1 -S -p 80 –a 10.2.3.4 10.0.0.161
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Зохиомол халдлага
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Халдлагын үр дүн
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- 10.2.3.4 10.0.5.112
tcp dpt:http
Chain FORWARD (policy ACCEPT) target prot opt source destination DROP tcp -- 10.2.3.4 10.0.5.112
tcp dpt:http
Chain OUTPUT (policy ACCEPT) target prot opt source destination
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Блоколсон үр дүн
Signature ID Блоклогдсон тоо Тайлбар 469
390
ICMP PING NMAP
483
2886
ICMP PING CyberKit 2.2 Windows
486
13104
ICMP Destination Unreachable Communication with Destination Хост is Administratively Prohibited
524
214
BAD-TRAFFIC tcp port 0 traffic
1070
3354
WEB-MISC WebDAV search access
1248
1872
WEB-FRONTPAGE rad fp30reg.dll access
1384
702
MISC UPnP malformed advertisement
1497
468
WEB-MISC cross site scripting attempt
1852
156
WEB-MISC robots.txt access
2049
858
SQL ping attempt
2050
1404
MS-SQL version overflow attempt
2410
1248
WEB-PHP IGeneric Free Shopping Cart page.php access
2381
588
WEB-MISC Checkpoint Firewall-1 HTTP parsing format string vulnerability attempt
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Ажлын үр дүн
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Ажлын үр дүн
• Энэхүү халдлага эсэргүүцэх системийг ашигласан нь дараах давуу талуудтай байна: -Өртөг багатайгаар халдлагаас сэргийлэх -Халдлагыг оновчтой эсэргүүцэх -Системийн хэвийн ажиллагаанд сөрөг нөлөө үзүүлэхгүй -Төвлөрсөн удирдлагатай байх
ХАЛДЛАГА ЭСЭРГҮҮЦЭХ СИСТЕМ
Дүгнэлт
АНХААРАЛ ТАВЬСАН ЯВДАЛД БАЯРЛАЛАА