Системы обнаружения атак и реагирования

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Сибирский государственный университет науки и технологий имени академика М.Ф. Решетнева»

Аэрокосмический колледж

Информационной безопасности, (ЦК Сетевого и системного администрирования) цикловая комиссия

Отчет о практическом занятии

Системы обнаружения атак и реагирования тема

Преподаватель

Громова Т.А. подпись, дата инициалы, фамилия

Обучающийся И-8-17 171034012

Камышанский П.А.

Красноярск 2020



ПРАКТИЧЕСКАЯ РАБОТА

Тема: Системы обнаружения атак и реагирования.

Цели: Сделать анализ рынка средств анализа защищенности сетевых протоколов и сервисов.

Ход работы

Познакомились с назначением и принципами функционирования системы "Электронный замок "Соболь".

Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Электронный замок «Соболь» обладает следующими возможностями:

идентификация и аутентификация пользователей;

регистрация попыток доступа к ПЭВМ;

запрет загрузки ОС со съемных носителей;

контроль целостности программной среды.

Возможности по идентификации и аутентификации пользователей, а также регистрация попыток доступа к ПЭВМ не зависят от типа использующейся ОС.

Идентификация и аутентификация пользователей

Каждый пользователь компьютера регистрируется в системе электронный замок «Соболь», установленной на данном компьютере. Регистрация пользователя осуществляется администратором и состоит в определении имени регистрируемого пользователя, присвоении ему персонального идентификатора и назначении пароля.

Действие электронного замка «Соболь» состоит в проверке персонального идентификатора и пароля пользователя при попытке входа в систему. В случае попытки входа в систему не зарегистрированного пользователя электронный замок «Соболь» регистрирует попытку НСД и осуществляется аппаратная блокировка до 4-х устройств (например: FDD, CD-ROM, ZIP, LPT, SCSI-порты).

В электронном замке «Соболь» используются идентификаторы Touch Memory фирмы Dallas Semiconductor. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора. Служебная информация о регистрации пользователя (имя, номер присвоенного персонального идентификатора и т.д.) хранится в энергонезависимой памяти электронного замка.

Регистрация попыток доступа к ПЭВМ

Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Электронный замок «Соболь» фиксирует в системном журнале вход пользователей, попытки входа, попытки НСД и другие события, связанные с безопасностью системы.

В системном журнале хранится следующая информация: дата и время события, имя пользователя и информация о типе события, например:

факт входа пользователя;

введение неправильного пароля;

предъявление не зарегистрированного идентификатора пользователя;

превышение числа попыток входа в систему;

другие события.

Таким образом, электронный замок «Соболь» предоставляет информацию администратору о всех попытках доступа к ПЭВМ.

Контроль целостности программной среды и запрет загрузки со съемных носителей

Подсистема контроля целостности расширяет возможности электронного замка «Соболь». Контроль целостности системных областей дисков и наиболее критичных файлов производится по алгоритму ГОСТ 28147-89 в режиме имитовставки. Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов. Подсистема запрета загрузки с гибкого диска и CD ROM диска обеспечивает запрет загрузки операционной системы с этих съемных носителей для всех пользователей компьютера, кроме администратора. Администратор может разрешить отдельным пользователям компьютера выполнять загрузку операционной системы со съемных носителей.

Подсистемы контроля целостности и подсистемы запрета загрузки со съемных носителей функционируют под управлением следующих ОС:

MS DOS версий 5.0-6.22 (только ЭЗ «Соболь» для стандарта ISA);

ОС семейства Windows'9x (FAT12, FAT16 или FAT32);

Windows NT версий 3.51 и 4.0 с файловой системой NTFS;

Windows 2000 с файловой системой NTFS (только «Соболь-PCI»);

UNIX FreeBCD (только «Соболь-PCI»).

Возможности по администрированию

Для настройки электронного замка «Соболь» администратор имеет возможность:

определять минимальную длину пароля пользователя;

определять предельное число неудачных входов пользователя;

добавлять и удалять пользователей;

блокировать работу пользователя на компьютере;

создавать резервные копии персональных идентификаторов.

Использование

Электронный замок «Соболь» может применяться в составе системы защиты информации Secret Net для генерации ключей шифрования и электронно-цифровой подписи. Кроме того, при использовании ЭЗ «Соболь» в составе СЗИ Secret Net обеспечивается единое централизованное управление его возможностями. С помощью подсистемы управления Secret Net администратор безопасности имеет возможность управлять статусом персональных идентификаторов сотрудников: присваивать электронные идентификаторы, временно блокировать, делать их недействительными, что позволяет управлять доступом сотрудников к компьютерам автоматизированной системы организации.

Познакомьтесь с порядком сканирования файлов с помощью программы Safe'n'Sec

Программа Safe'n'Sec выгодно отличается от большинства приложений, предназначенных для обеспечения безопасности. Вместо того, чтобы находить вирусы и другие вредоносные программы, которые содержатся на жестком диске, она следит за активностью разнообразных приложений, процессов, а также за атаками извне и блокирует любые действия, которые она считает потенциально опасными. Интересно, что для работы программы не требуется постоянная загрузка свежих баз вредоносных модулей, поскольку она анализирует не код приложений, а их активность. Например, она пресекает попытки изменения системных файлов, добавления в реестр новых данных, открытия сетевого соединения для разнообразных приложений и т.д. Таким образом, Safe'n'Sec может защитить даже от самых новых вирусов, которые еще не были созданы на момент установки программы на компьютер.

Познакомьтесь с принципом работы программы WinPatrol.

Установка WinPatrol

Скачиваем программу WinPatrol и запускаем установочный файл.

Программы запуска

Каждый раз с включением компьютера стартует определенное количество программ, и чем больше программ стартует вместе с компьютером - тем больше он тормозит. И с помощью Winpatrol мы можем не только отключать, или удалять программы с автозапуска, но и добавить нужные. Еще мы можем получать предупреждения о добавлении новых программ в автозапуск, при этом можно как разрешить добавление, так и запретить (рисунок 1).



Рисунок 1 - Программы запуска

Мы можем сами выбрать частоту проверки изменений, нажав на кнопку "Контроль". По умолчанию стоит 2 минуты (рисунок 2).

Рисунок 2 - Частота проверки изменений

Планировщик задач.

Во вкладке задачи, мы можем узнать какие приложения и задачи выполняются по времени на вашем компьютере. А также узнать название, время предыдущего выполнения, следующего, и удалить задачу (рисунок 3).



Рисунок 3 - Планировщик задач

Сервисы

Во вкладке сервисы можно увидеть список всех услуг, увидить сведения о параметрах запуска, имя исполняемого файла. Также можно открыть папку с данным сервисом, удалить данный сервис и нажав на секундомер - выбрать как часто WinPatrol проверяет данный раздел (рисунок 4).

Рисунок 4 _ Сервисы

Куки

Во вкладке Cookies можно искать и удалять куки зная их название. Можно выбрать браузер в котором хотите найти куки и удалить ненужное (рисунок 5). сетевой протокол сервис программный

Рисунок 5 - Куки

Недавние

Во вкладке Recent мы можем посмотреть список всех программ и процессов которые были активны. И если у нас было вредоносное программное обеспечение, в данной вкладке мы можем увидеть и удалить его остатки (рисунок 6).

Рисунок 6 - Вкладка «Недавние»



Опции

Во вкладке опции можно: задать время проверки изменений стартовой страницы и поиска в браузерах, изменить время проверки настроек интернет хоста, посмотреть некоторые отчеты и еще настроить параметры для удобства программы (рисунок 7).

Рисунок 7 _ Опции

Сделали анализ предложенных программных средств анализа защищенности сетевых протоколов и сервисов (таблица 1).

Таблица 1 - программные средства анализа защищенности сетевых протоколов и сервисов

Название программы	Назначение программы
NetSonar	Программное обеспечение NetSonar обеспечивает всесторонний анализ уязвимости системы безопасности, выполняет подробное отображение сети и составляет электронную опись систем сети. Как проактивное приложение в наборе средств системы безопасности сети, программное обеспечение NetSonar обеспечивает современные средства уведомления конечного пользователя и консультантов по безопасности о внутренних аспектах уязвимости сети, таким образом, позволяя им эффективно решать потенциальные проблемы безопасности.
WinPatrol	WinPatrol сканирует систему и делает снимок самых важных системных ресурсов операционной системы пользователя (реестр Windows, файлы загрузки, системный каталог), от которых зависит работоспособность и быстродействие системы, а затем осуществляет полный контроль и мониторинг. С помощью утилиты можно отслеживать вредоносные программы, spyware, adware и сетевые черви, которые могут устанавливаться без предварительного согласия и серьёзно нарушить работу приложений, а также и целой операционной системы. В случае обнаружения опасного модуля, уведомляет пользователя об этом, а также позволяет быстро остановить процесс.
Safe'n'Sec	Основное назначение Safe'n'Sec Enterprise Suite - это защита информационного актива компании от внешних угроз, таких как вторжения хакеров и вредоносные программы, и внутренних угроз, таких как неосторожные или умышленно деструктивные действия сотрудников.
Internet Scanner	ISS Internet Scanner от фирмы ISS -- это средство сканирования сетевых систем оказывает сетевым администраторам большую помощь в поиске и исправлении дефектов системы безопасности сетей любого масштаба, хотя оно лишено функции мониторинга в реальном масштабе времени.

Ответили на Контрольные вопросы. Часть 1

Для чего предназначена Система Электронный замок?

Ответ на данный вопрос указан во 2 пункте практической части (первый абзац)

Какие средства защиты компьютера включает в свой состав Система Электронный замок?

Ответ на данный вопрос указан во 2 пункте практической части (последний абзац)

Что представляет собой параметр «Минимальная длина пароля пользователя»?

Параметр «Минимальная длина пароля пользователя» определяет минимальную длину пароля пользователя в символах. Пользователю нельзя назначить пароль, число символов в котором меньше числа, заданного этим параметром.

Что представляет собой параметр «Предельное число неудачных входов пользователя»?

Параметр «Предельное число неудачных входов пользователя» определяет, сколько раз пользователь может допустить ошибку при входе в систему, указав неверный пароль. Если число неудачных входов пользователя в систему превысило число, заданное этим параметром, вход пользователя в систему будет блокирован.

Что представляет собой параметр «Плата функционирует в автономном режиме»?

Параметр «Плата функционирует в автономном режиме» определяет режим функционирования системы «Электронный замок». В автономном режиме, любым внешним программам запрещается доступ к ОЗУ платы «Электронный замок». При этом управление пользователями, журналом регистрации, настройка общих параметров осуществляется средствами администрирования системы «Электронный замок» без ограничений (кроме параметра «Автоматический ввод пароля», который доступен для изменения только в режиме совместного использования системы).

При установке значения «Нет» система «Электронный замок» переводится в режим совместного использования, который является основным при работе Электронного замка в составе криптографического шлюза.

В режиме совместного использования список пользователей и журнал регистрации доступны администратору только для просмотра. Также запрещено изменение пароля администратора.

Блокируется изменение некоторых общих параметров:

Параметру «Показ статистики пользователю» присваивается значение «Нет» - запрещается вывод информационного окна при входе пользователя.

Параметру «Тестировать ДСЧ для пользователя» присваивается значение «Да» - включается тестирование правильности работы датчика случайных чисел.

Параметры «Контролировать целостность файлов» и «Автоматический ввод пароля» доступны для изменений.

Что представляет собой параметр «Тестировать ДСЧ для пользователя»?

Параметр «Тестировать ДСЧ для пользователя» позволяет включить или отключить тестирование правильности работы датчика случайных чисел (ДСЧ) платы «Электронный замок», осуществляющееся при входе пользователей в систему:

«Да» - тестирование правильности работы ДСЧ будет осуществляться при входе любого пользователя в систему.

«Нет» - тестирование ДСЧ не выполняется.

Нельзя отключить тестирование правильности работы ДСЧ, осуществляющееся при входе в систему администратора, и режиме совместного использования.

Как зарегистрировать нового пользователя?

При регистрации пользователя системы «Электронный замок» ему присваивается имя в системе, назначается пароль для входа в систему и присваивается персональный идентификатор.

Для регистрации нового пользователя перейдите в режим управления пользователями и нажмите клавишу «Insert». На экране появится запрос имени пользователя (рисунок 1).

Рисунок 1 - Ввод имени пользователя

Если введенное имя совпадает с именем пользователя, зарегистрированного ранее, в Строке сообщений появится сообщение об ошибке: Введенное имя уже зарегистрировано.

В этом случае нажмите любую клавишу и повторите ввод еще раз, изменив имя.

Рисунок 2 - Выбор варианта регистрации пользователя

Процедура регистрации может осуществляться в одном из двух вариантов (рисунок 20):

При первичной регистрации пользователя производится инициализация персонального идентификатора, присваиваемого пользователю. В персональный идентификатор записывается служебная информация о регистрации. Этот вариант используется в том случае, когда данный пользователь не зарегистрирован ни на одном из КШ.

Если пользователь был ранее зарегистрирован в системе «Электронный замок», ему уже присвоен персональный идентификатор, в который записана служебная информация о регистрации. Чтобы дать возможность этому пользователю осуществлять вход в систему на нескольких КШ, предъявляя один и тот же идентификатор, требуется сохранить служебную информацию, хранящуюся в идентификаторе. В этом случае используйте вариант повторной регистрации пользователя, при котором служебная информация считывается из персонального идентификатора, и в нее не вносятся изменения.

Чтобы осуществить первичную регистрацию пользователя, в меню «Варианты выбора» выберите пункт «Да». Для выполнения повторной регистрации - выберите пункт «Нет».

На экране появится запрос пароля пользователя. Если выбран вариант первичной регистрации, будет запрашиваться новый пароль (рисунок 3). При повторной регистрации запрашивается текущий пароль пользователя (старый пароль) (рисунок 4).

Рисунок 3 - Ввод нового пароля

Рисунок 4 - Ввод старого пароля

В зависимости от выбранного варианта регистрации на экране появится соответствующий запрос повторного ввода пароля (рисунок 5-6).

Рисунок 5 -Подтверждение нового пароля пользователя

Рисунок 6 - Подтверждение старого пароля пользователя

Нажать Enter, если возникла ошибка, то повторить ввод пароля.

Если оба значения пароля совпали, на экране появится запрос (рисунок 7).

Рисунок 7 - Запрос персонального идентификатора

Плотно прислоните к считывателю персональный идентификатор, присваиваемый пользователю. При неуспешном чтении информации из идентификатора или записи информации в идентификатор в Строке сообщений появится сообщение об ошибке. В этом случае повторно прислоните идентификатор к считывателю.

При первичной регистрации пользователя производится запись служебной информации в предъявленный идентификатор. Если персональный идентификатор регистрировался ранее в системе «Электронный замок» (на другом компьютере), он уже содержит служебную информацию. В этом случае на экране появится предупреждение (рисунок 8). Если же идентификатор не содержит служебной информации (новый) или в нем нарушена структура данных, на экране появится сообщение о необходимости форматирования идентификатора.

Рисунок 8 - Предупреждение о наличии в идентификаторе служебной информации

Если Вы уверены в том, что данный персональный идентификатор никем больше не используется, плотно прислоните его к считывателю и подтвердите запись новой служебной информации, нажав клавишу «Enter».

Если регистрация пользователя завершена успешно, на экране появляется сообщение (рисунок 9).

Рисунок 9 - Успешная регистрация



Расскажите как осуществляется запись событий в системном журнале?

Рисунок 10 - Системный журнал

Окно «Журнал регистрации событий» содержит список записей, представленный в виде таблицы. Записи приводятся в порядке убывания времени регистрации соответствующих им событий, т.е. вверху списка содержится запись о событии, произошедшем последним, а внизу списка содержится запись о событии, произошедшем ранее всех остальных. Столбцы таблицы содержат следующие сведения о зарегистрированных событиях:

Первый и второй столбцы содержат соответственно время момента регистрации события.

Третий столбец содержит имя пользователя, действия которого при попытке входа в систему вызвали регистрацию события. Если при входе в систему был предъявлен персональный идентификатор, не принадлежащий ни одному из зарегистрированных пользователей, - третий столбец содержит тип идентификатора.

Четвертый - номер этого идентификатора.

Пятый столбец содержит описание зарегистрированных событий

Ответили на Контрольные вопросы. Часть 2

Что лежит в основе технологии Safe'n'Sec?

В основе технологии Safe'n'Sec лежит перехват системных вызовов на уровне операционной системы.

Что является основным элементом продукта Safe'n'Sec?

Основу продукта составляет модуль System Interceptor, который загружается одним из первых и перехватывает все системные вызовы любых приложений.

Какие действия в системе он может выполнять?

Это позволяет обнаруживать комбинированные атаки, предотвращать попытки внести изменения в системный реестр или состояние сервисов операционной системы, получить доступ к регистрационным данным пользователя и пр. Механизм принятия решения Safe'n'Sec действует на основе правил, которые учитывают все возможные последовательности действий, классифицируемых как вредоносные.

Сформулируйте назначение программы Win Patrol?

Утилита для обнаружения и удаления разного вида вредоносного ПО, предостерегает от изменений в системе, которые могли быть приняты без ведома пользователя. Сканирует систему и отправляет отчет об ее состоянии пользователю. Также софт способен распознавать новые виды угроз и предотвращать их заранее.

Сформулируйте принцип работы программы Xintegrity?

Принцип работы заключается в следующем, сначала создается список всех файлов и каталогов, целостность которых будет контролироваться программой в будущем, затем после устанавливания новых программ и утилит программа проверяет изменились ли данные записанные в списке путем сравнения и отправляет отчет пользователю.

Какие функции используются для создания контрольных сумм в программе Xintegrity?

В качестве контрольной суммы используется 128-разрядная хеш-функция MD5 и AES (Advanced Encryption Standard - улучшенный стандарт кодирования) с 256-разрядной длиной ключа, реализованные в режиме CBC (Cipher block chaining - кодирование с поблочной передачей), в котором при шифровании следующего блока данных используются данные предыдущего, что существенно повышает стойкость.

Вывод: Изучили материал по системам обнаружения атак и реагирования. Познакомились с назначением, видами и принципами работы программно-аппаратных средств обнаружения атак и реагирования.

Размещено на Allbest.ru