پاورپوینت اسنورت (pptx) 22 اسلاید
دسته بندی : پاورپوینت
نوع فایل : PowerPoint (.pptx) ( قابل ویرایش و آماده پرینت )
تعداد اسلاید: 22 اسلاید
قسمتی از متن PowerPoint (.pptx) :
بر اساس اسلایدهای Martin Roesch
سیاستها
تشخیص موفقیت آمیز نفوذ به همان اندازه که به فناوری وابسته است به سیاست و مدیریت نیز وابسته است.
سیاست امنیتی (تعریف این که چه چیزی قابل قبول است و از چه چیزی دفاع می کنیم) گام نخست است.
یادآوری
به چه کسی، با چه سرعتی؟
هماهنگی پاسخ
Snort
Snort یک ابزار آنالیز چند حالته برای بسته ها است.
رصد بسته ها (sniffer)
ثبت کننده بسته ها
ابزار آنالیز داده جرم شناسی
IDS تحت شبکه
این ابزار بر اساس نیاز به تحلیل ترافیک شبکه به صورت بلادرنگ و انجام پردازشهای جرم شناسی طراحی شد.
معیارهای snort
کوچک (در حد مگابایت)
قابل حمل
Linux, Windows, MacOS X, Solaris, BSD, IRIX, Tru64, HP-UX
سریع
قابل پیکربندی (زبان قوانین راحت، گزینه های فراوان برای گزارش گیری و ثبت وقایع)
رایگان (مجوز GPL و کد منبع باز)
طراحی Snort
رصد بسته ها
یک IDS تحت شبکه ی سبک
مبتنی بر واسط رصد libpcap
موتور تشخیص مبتنی بر قانون
سامانه های افزونه با قابلیت انعطاف بی پایان
موتور تشخیص
امضاء ها مبتنی بر قوانین هستند.
اجزاء تشخیص ماژولار با هم ترکیب می شوند تا امضاء ها درست شوند.
قابلیتهای تشخیص گسترده
Stealth scans, OS fingerprinting, buffer overflows, back doors, CGI exploits, etc.
سامانه ی قوانین بسیار منعطف است و ایجاد یک قانون جدید نسبتا ساده است.
افزونه ها
پیش پردازش
بسته ها قبل از این که تحویل موتور تشخیص شوند، ارزیابی و دستکاری می شوند.
تشخیص
یک آزمایش ساده روی یک فیلد یا قسمتی از بسته انجام می شود.
خروجی
گزارشهای ناشی از افزونه ها
استفاده از Snort
سه حالت عملیاتی:
حالت رصد بسته
حالت ثبت بسته
حالت NIDS
حالت تحلیل داده های جرم شناسی
مدهای عملیاتی از طریقهای سوییچهای خط فرمان قابل پیکربندی هستند.
اگر از هیچ سوییچ خط فرمانی استفاده نکنیم، Snort به طور خودکار سعی می کند که به حالت NIDS برود. برای اینکار از فایل پیکربندی snort.conf در پوشه ی /etc استفاده می کند.
استفاده از Snort – مد رصد
شبیه tcpdump عمل می کند.
بسته ها را دیکد می کند و آنها را به stdout می فرستد.
می توان از واسط فیلتر کردن BPF برای شکل دهی به ترافیک شبکه ای که نمایش داده می شود استفاده کرد.