Darknet + (Honeypot | ForensicLab) + (SDN | BGP)

Хотелось бы развить тему Darknet Project от Team Cymru в условиях современности. Возможно, у него и существует некоторая техническая взаимосвязь с тем Darknet'ом, о котором можно найти, загуглив ключевое слово (протоколы IPv4-маршрутизации все те же), но речь в моей заметке, все же, пойдёт не о подпольном Интернете с запретными продуктами.

IDS/IPS implementation phase 3. Open source vs proprietary

The previous part called "Throughput Metering" was described here.

According to the calculations it is possible to define which solution may be appropriate for some network segment with the bandwidth requirements. Then we must decide if we implement some proprietary solution or use an open source one. Commercial product must satisfy the functional requirements and it's weight points also contain such parameters as a solution price, technical support level, conditions and cost. We also need to decide what to use: hardware appliance, software product or a virtual appliance. In the case of soft/VM we must include an additional money for the hardware resources used by the solution. In the case of hardware it is important to understand a government import/export policy and a vendor ability to provide a faulty device replacement in the SLA-defined terms.

Безопасная настройка Cisco IDS/IPS

Системы обнаружения вторжений обеспечивают безопасность благодаря глубокому анализу трафика на наличие аномалий или атак, однако интерфейсы управления IDS/IPS тоже должны быть правильно сконфигурированы во избежание несанкционированного доступа.

Cisco IPS + RADIUS

При работе с большим количеством сетевых сенсоров становится актуальной необходимость централизованного управления учетными записями пользователей.

Проектирование IDS/IPS. Тезисы.

    В условиях непрекращающейся компьютеризации сетевые технологии развиваются и проникают практически во все сферы современного бизнеса. Вместе с технологиями растут возможности взлома, проникновения, выведения серверов и сервисов из строя и прочих видов деструктивной активности как снаружи корпоративной сети, так и изнутри ее. Одной защиты с помощью межсетевого экрана явно недостаточно, и поэтому необходимо применять системы обнаружения и предотвращения вторжений. Для рационального использования финансов на обеспечение сетевой безопасности необходимо правильно рассчитать технические требования к системам IDS/IPS.

Интеграция Cisco IDS/IPS и IBM ISS SiteProtector с OpenNMS

Иногда у администратора IT-безопасности может возникнуть необходимость предоставления оперативного доступа к событиям систем обнаружения вторжений для других подразделений.

IDS/IPS implementation. Phase 2. Throughput metering

Usually traffic intrusion detection in the corporate network is provided without an ability to affect the productive services. This mode is named IDS (Intrusion Detection System). IDS also may be integrated with the active network equipment for an ability to block the attacker host or network (IDS shun). Another way is the sensor usage in the active protection mode called inline IPS (Intrusion Prevention System) or with an ability to terminate the TCP-sessions by the way of RST-packet sending to the source and destination host of the malicious session. Let's make some analysis of the IDS and IPS modes according to the network integration requirements.

Cisco IDSM2 + MRTG. Часть 2

  Статья 2009 года, опубликована в журнале "Системный администратор"

Мониторинг Cisco IDS/IPS на примере модуля IDSM2 c помощью MRTG. Часть 2.

Рано или поздно перед администратором систем обнаружения вторжений возникают вопросы:

- рациональности использования ресурсов,

- соответствия официально заявленных производителем параметров реальным данным,

- возможности распределения сенсоров различной мощности по разным участкам сети.

В этом случае также может пригодиться MRTG.

Linux и системы обнаружения вторжений

Linux: применение в корпоративной сети

В условиях дефицита бюджета вопрос стоимости решения зачастую будет играть наиболее существенную роль. Решением, которое сократит расходы на первоначальном этапе до минимума, может быть использование программных средств с открытым исходным кодом (Open Source). Рассмотрим преимущества и недостатки использования бесплатного ПО и коммерческих программно-аппаратных комплексов.

Cisco IDSM2 + MRTG. Часть 1

  Статья 2009 года, опубликована в журнале "Системный администратор"

Мониторинг Cisco IDS/IPS на примере модуля IDSM2 c помощью MRTG.

Если ваши системы обнаружения вторжения вызывают беспокойство тем, что не сигнализируют своевременно о сбоях в функционировании или реконфигурации сети, не спешите искать дорогостоящие решения от поставщиков. Возможно, абсолютно бесплатные Open Source решения после некоторой реконфигурации покажут себя нисколько не хуже.

IDS/IPS implementation phase 1. Network topology points

Correct infrastructure segment and network topology level finding for IDS/IPS network sensors are critical for their efficiency. Users’ and datacenter segments are analyzed for intrusion detection and prevention systems implementation practicability. Network topology points of IDS/IPS integration are defined with technical requirements description.

Проектирование инфраструктуры систем обнаружения вторжений. Этап 4. Система управления.

Немаловажным компонентом инфраструктуры систем обнаружения и предотвращения вторжений является система управления IDS/IPS. От нее зависит скорость и качество выполнения многих задач информационной безопасности, связанных с человеческим фактором.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 3. Выбор решения

На основании проведенных расчетов производится выбор решения, удовлетворяющего потребности данного участка сети.

После определения требований к производительности одним из первых возникает вопрос о том, использовать коммерческое решение или Open Source.

Для коммерческих продуктов, кроме соответствия функциональным требованиям, учитываются стоимость решения, а также уровень, условия и стоимость технической поддержки.

Также принимается решение о том, использовать программный продукт либо программно-аппаратную платформу. В случае использования программного решения необходимо учесть дополнительные расходы на оборудование и (опционально) операционную систему.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 2. Определение производительности

Обработка сетевого трафика системами обнаружения и предотвращения вторжений в корпоративных сетях, как правило, производится без потенциального влияния на сетевые сервисы, то есть, в режиме IDS (Intrusion Detection Systems). IDS также может быть интегрирован с активным сетевым оборудованием для возможности временной блокировки хостов и подсетей, генерирующих трафик, определяемый как вредоносный (IDS shun). Реже используются системы предотвращения вторжений в режиме IPS (Intrusion Prevention Systems), полностью пропускающие через себя трафик (inline IPS), либо с возможностью внедрения в TCP-сессию и принудительного ее обрыва посредством отсылки TCP RST-пакетов участникам сессии. Рассмотрим общие характеристики режимов IDS и IPS с точки зрения интеграции сетевых сенсоров в существующую корпоративную сеть.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 1. Архитектура.

Сеть передачи данных крупных предприятий можно логически поделить на 3 уровня. Уровень, на котором к коммутаторам подключаются пользователи и конечные узлы, чаще всего называют уровнем доступа. Маршрутизация между подсетями уровня доступа, резервирование шлюза по умолчанию, применение межсетевого экранирования и балансировки трафика конечных узлов производится на уровне агрегации. Высокоскоростная коммутация и маршрутизация, резервирование и эффективное использование каналов осуществляется на уровне ядра сети. Уровни доступа и агрегации можно выделить как для пользовательского сегмента, где конечными узлами будут пользовательские ПК, так и для сегментов центров обработки данных (ЦОД), в котором конечными узлами могут быть виртуальные либо физические сервера.