220
Kerio Controlni o'rnating;
Asosiy sozlamalarni sozlang;
«Настройка пользователей”, “Настройка статистики в
Kerio Control», «Настройка правил трафика» и «Настройка NAT”
kabi qo'shimcha sozlamalarni sozlang.
Nazorat savollari
1. Kerio Control nima?
2. Kerio Controlning afzalliklari nimada?
3. Kerio Controlning kamchiliklari nimada?
4. «
Настройка пользователей”, “Настройка статистики
в Kerio Control», «Настройка правил трафика» va «Настройка
NAT” kabi qoʻshimcha sozlamalarni qanday sozlash mumkin.
19-LABORATORIYA ISHI
IDS / IPS DASTURIY VOSITASINI OʻRNATISH VA SOZLASH
Ishdan maqsad: IPS / IDS tizimlari haqidagi nazariy bilimlarni
va Snort dasturini oʻrnatish boʻyicha amaliy koʻnikmalarni
shakllantirish.
Nazariy qism
IDS / IPS tizimlari - bu tarmoqlarni ruxsatsiz kirishdan himoya
qilish uchun moʻljallangan noyob vositalar. Ular hujumlarni tezda
aniqlash va samarali oldini olishga qodir boʻlgan apparat yoki dasturiy
vositalar. IDS / IPSning asosiy maqsadlariga erishish uchun koʻrilgan
chora-tadbirlar orasida axborot xavfsizligi boʻyicha mutaxassislarga
xakerlik hujumlari va zararli dasturlarning kiritilishi,
tajovuzkorlar
bilan aloqani uzish va tarmoqlararo ekranlarni korporativ tizimga
kirishni bloklash uchun qayta sozlash faktlari toʻgʻrisida xabardor
qilishni alohida ta'kidlash mumkin.
Bugungi kunda kirib borgan barcha hujumlarni aniqlash va
oldini olish tizimlari axborot xavfsizligi boʻyicha mutaxassislar
foydalanadigan
bir nechta umumiy xususiyatlar, funksiyalar va
vazifalar bilan birlashtirilgan. Darhaqiqat, bunday vositalar ma'lum
resurslardan foydalanishni doimiy ravishda tahlil qiladi va tipik
boʻlmagan hodisalarning har qanday belgilarini aniqlaydi.
221
Korporativ tarmoqlarning xavfsizligini tashkil qilish bir nechta
texnologiyalarga boʻysunishi mumkin, ular aniqlangan hodisalar
turlari va bunday hodisalarni aniqlash usullari bilan farqlanadi. Nima
boʻlayotganini
doimiy
monitoring
qilish
va
tahlil
qilish
funksiyalaridan
tashqari, barcha IDS tizimlari quyidagi funksiyalarni
bajaradilar:
– Information - ma'lumot toʻplash va yozib olish;
– Tarmoqda sodir boʻlgan oʻzgarishlar toʻgʻrisida tarmoq
ma'murlariga xabarnomalar uzatish (ogohlantirish);
– Log jurnallarni umumlashtirish uchun hisobotlarni yaratish.
IPS texnologiyasi, oʻz navbatida, yuqoridagi narsani toʻldiradi,
chunki u nafaqat tahdid va uning manbasini aniqlashga,
balki ularni
toʻsib qoʻyishga ham qodir. Bu, shuningdek, bunday yechimning
kengaytirilgan funksional imkoniyatlari haqida gapiradi. U quyidagi
harakatlarni bajarishi mumkin:
– zararli seanslarni tugatish va muhim manbalarga kirishni
oldini olish;
– "himoyaosti" muhiti konfiguratsiyasini oʻzgartirish;
– Hujum vositalarida harakatlarni bajarish (masalan,
virusli
fayllarni oʻchirish).
Shunisi e'tiborga loyiqki, UTM tarmoqlararo ekrani va har
qanday zamonaviy hujumlarni aniqlash va oldini olish tizimlari IDS
va IPS texnologiyalarining optimal kombinatsiyasi hisoblanadi.
IDS va IPS tizimi ostida ishlaydigan koʻplab dasturlar mavjud.
Snort va Surricata - bu eng keng tarqalgan dasturlardan hisoblanadi.
Snort dasturining xususiyatlarini koʻrib chiqamiz.
Snort - GPL litsenziyasiga ega bepul va ochiq kodli dasturiy
ta'minot hisoblanadi. Snort dastlab 1998-yilda axborot xavfsizligi
dunyosidagi eng taniqli odamlardan biri - Martin Roshning mualliflik
kitoblarida yaratilgan. Ushbu IDSni yaratilishining
asosiy sababi -
oʻsha davrda yetarli darajada samarali, hamda bepul hujum toʻgʻrisida
xabar berish vositasining yoʻqligi edi.
Dastur Windows va Linux operatsion tizimlariga mos keladi.
Barcha aniqlangan tahdidlar jurnal fayliga yoziladi. Snort transport
sathi paketini tahlil qilish prinsipi asosida ishlaydi, shuning uchun uni
ishlatish uchun tarmoq kartasini maxsus monitor rejimiga qoʻyishingiz
kerak. Ishlab chiquvchilar IDS sinfidagi tizimlar tomonidan tizim
222
resurslarini yoʻqotish muammosini hisobga olishdi, shuning uchun
Snort qoʻshimcha qurilmalar talab qilmaydi va orqa fonda ishlaydi.
SNORT ishga tushgandan keyin
paket ketma-ket dekoderlar,
dastlabki protsessorlar orqali oʻtadi va shundan keyingina qoidalarni
qoʻllay boshlaydigan detektorga murojat qiladi. Dekoderlarning
vazifasi kanal darajasidagi protokollar (Ethernet, 802.11, Token
Ring…)dan tarmoq va transport darajasidagi ma'lumotlar(IP, TCP,
UDP)ni "ajratib olish" hisoblanadi (19.1-rasm).
Snort qaysi "trafik" ga ruxsat berish va qaysi birini kechiktirish
kerakligini bilish uchun "qoidalar" dan ("qoidalar" fayllarida
koʻrsatilgan) foydalanadi. Ushbu vosita moslashuvchan boʻlib,
yangi
qoidalarni yozib olishingiz va ularga rioya qilishingiz mumkin.
Dasturda modulli ulanadigan arxitekturadan foydalanadigan
"aniqlash mexanizmi" mavjud boʻlib, unda ba'zi dastur kengaytmalari
"aniqlash dvigatelidan" qoʻshilishi yoki olib tashlanishi mumkin.
Snort uchta rejimda ishlashi mumkin:
1. tcpdumpga oʻxshash paketli sniffer sifatida;
2. Paket registratori sifatida;
3. Kirishni aniqlashning rivojlangan tizimi sifatida.
Paket dekodlash
mexanizmi
Preprotsessor plaginlari
Mexanizmni aniqlash
Chiquvchi plaginlar
Snort
Snifferlash
Ma lumotlar oqimi
Ogohlantirishlar / loglar
19.1-rasm. Snort dasturining ishlash prinsipi