ТОП авторов и книг ИСКАТЬ КНИГУ В БИБЛИОТЕКЕ
При этом несанкционированная утечка данных может маскироваться легальным трафиком.
Авторами были проанализированы следующие средства инспекции: свободно распространяемые - Sniffit, Netlog, Arpwatch, Clog, Netmon, Tcpdump; коммерческие - Net Access Manager, Xni, Sniffer Analyzer, HP NetMetrix, IP-Watcher, RealSecure. В результате исследования и сравнения вышеперечисленных средств можно выделить Netlog и Sniffit, которые являются наиболее приемлемыми с точки зрения соотношения цена-производительность и полноты решения поставленной задачи [2].
NETLOG - средство инспекции сетевого трафика
Программный комплекс NETLOG является средством инспекции информационных потоков сети Internet и предназначен для сбора данных о запросах на установление соединения по протоколам семейства TCP/IP.
Принцип работы программного комплекса NETLOG основан на фильтрации трафика сети при прохождении пакетов с особыми атрибутами, то есть приемная часть программы просматривает все пакеты, проходящие по сети, но фиксирует только определенные. Механизм фильтрации пакетов, применяемый в пакете NETLOG, использует системный модуль pfmod (Packet Filter Module). Pfmod является потоковым (Streams) модулем, который перенаправляет приходящие сообщения на очередь чтения пакетным фильтром и выдает только такие сообщения, которые пропустил фильтр пакетов. Последний состоит из списка фильтрующих команд, при помощи которых можно задать шаблон отслеживаемых пакетов. Таким образом, зная формат отслеживаемого пакета, можно создать соответствующий шаблон, внести изменения в и сходный текст программы (то есть подставить созданный шаблон в модуль фильтрации) и в итоге отслеживать любые необходимые сетевые пакеты. При этом сфера действия комплекса не ограничена протоколами семейства TCP/IP.
NETLOG позволяет :
•фиксировать действия, производимые определенным компьютером в участке сети; •собирать статистику обращений к участку сети в целом или к компьютеру из сети; •собирать статистику обращений компьютера или участка сети в глобальную сеть; •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый компьютер в отдельности.
NETLOG разработан на основе программных средств, используемых в системе безопасности сети университета Texas A&M University, для работы на платформах ОС SunOS 4.x, SunOS 5.x (Solaris), использующих сетевые интерфейсы NIT и DLPI.
Комплекс программ NETLOG состоит из трех частей:
•резидентная часть; •двоичные данные сетевых запросов; •средство просмотра и фильтрации данных.
Резидентная часть состоит из трех модулей: tcplog, udplog, icmplog, загружаемых в оперативную память во время старта программного комплекса.
Каждый из модулей регистрирует прохождение запроса по определенному протоколу. При обнаружении запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Информация о запросах на установление соединения записывается в сжатом виде в двоичный файл и хранится указанное администратором время. По истечении срока хранения информация автоматически удаляется или переносится в архив. Средство просмотра статистики и фильтрации сетевых запросов выводит запрашиваемую информацию из файла данных в требуемом виде.
Это средство позволяет :
•фильтровать запрашиваемую информацию по ряду параметров (дата, время, источник и получатель запроса, протокол и порт); •устанавливать степень детализации выводимой информации; •выдавать детальные отчеты следующих видов:
1.деятельность конкретного компьютера и участка сети за определенный период времени, 2.факт совершения атаки средством оценки степени защиты на компьютер или участок сети, 3.отчет о запросах из глобальной сети за определенный период времени по определенному протоколу, 4.отчет о запросах из участка сети за определенный период времени по определенному протоколу, 5.отчет о запросах из глобальной сети к данному компьютеру или участку сети за определенный период времени по определенному протоколу, 6.отчет о запросах данного компьютера или участка сети в глобальную сеть за определенный период времени по определенному протоколу.
Средством просмотра и фильтрации статистики сетевых запросов является программа SHOWLOG. На вход программе подаются условия фильтрации двоичных данных сетевых запросов, заданные в виде логической комбинации ряда параметров. SNIFFIT - средство инспекции информационного обмена по протоколам TCP/IP
Программное средство SNIFFIT осуществляет инспекцию информационного обмена участка сети, производя регистрацию запросов на установление и разрыв соединения с сетевыми службами, включая запросы внутри участка сети, выходящие за пределы участка сети, приходящие из глобальной сети и запись информации, передаваемой в процессе информационного обмена.
При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Кроме этого, существует возможность конкретизировать эту функцию, то есть регистрировать только определенные запросы. Запись передаваемой информации может осуществляться целенаправленно (фиксируется информация, передаваемая по определенному протоколу либо между определенными сетевыми рабочими станциями), например, записывается вся почта, приходящая на определенную машину.
Средство SNIFFIT работает в одном из двух основных режимов:
1) интерактивная инспекция информационных потоков позволяет фиксировать действия, производимые определенным компьютером сети в режиме реального времени;
1 2 3 4 5
Авторами были проанализированы следующие средства инспекции: свободно распространяемые - Sniffit, Netlog, Arpwatch, Clog, Netmon, Tcpdump; коммерческие - Net Access Manager, Xni, Sniffer Analyzer, HP NetMetrix, IP-Watcher, RealSecure. В результате исследования и сравнения вышеперечисленных средств можно выделить Netlog и Sniffit, которые являются наиболее приемлемыми с точки зрения соотношения цена-производительность и полноты решения поставленной задачи [2].
NETLOG - средство инспекции сетевого трафика
Программный комплекс NETLOG является средством инспекции информационных потоков сети Internet и предназначен для сбора данных о запросах на установление соединения по протоколам семейства TCP/IP.
Принцип работы программного комплекса NETLOG основан на фильтрации трафика сети при прохождении пакетов с особыми атрибутами, то есть приемная часть программы просматривает все пакеты, проходящие по сети, но фиксирует только определенные. Механизм фильтрации пакетов, применяемый в пакете NETLOG, использует системный модуль pfmod (Packet Filter Module). Pfmod является потоковым (Streams) модулем, который перенаправляет приходящие сообщения на очередь чтения пакетным фильтром и выдает только такие сообщения, которые пропустил фильтр пакетов. Последний состоит из списка фильтрующих команд, при помощи которых можно задать шаблон отслеживаемых пакетов. Таким образом, зная формат отслеживаемого пакета, можно создать соответствующий шаблон, внести изменения в и сходный текст программы (то есть подставить созданный шаблон в модуль фильтрации) и в итоге отслеживать любые необходимые сетевые пакеты. При этом сфера действия комплекса не ограничена протоколами семейства TCP/IP.
NETLOG позволяет :
•фиксировать действия, производимые определенным компьютером в участке сети; •собирать статистику обращений к участку сети в целом или к компьютеру из сети; •собирать статистику обращений компьютера или участка сети в глобальную сеть; •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый компьютер в отдельности.
NETLOG разработан на основе программных средств, используемых в системе безопасности сети университета Texas A&M University, для работы на платформах ОС SunOS 4.x, SunOS 5.x (Solaris), использующих сетевые интерфейсы NIT и DLPI.
Комплекс программ NETLOG состоит из трех частей:
•резидентная часть; •двоичные данные сетевых запросов; •средство просмотра и фильтрации данных.
Резидентная часть состоит из трех модулей: tcplog, udplog, icmplog, загружаемых в оперативную память во время старта программного комплекса.
Каждый из модулей регистрирует прохождение запроса по определенному протоколу. При обнаружении запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Информация о запросах на установление соединения записывается в сжатом виде в двоичный файл и хранится указанное администратором время. По истечении срока хранения информация автоматически удаляется или переносится в архив. Средство просмотра статистики и фильтрации сетевых запросов выводит запрашиваемую информацию из файла данных в требуемом виде.
Это средство позволяет :
•фильтровать запрашиваемую информацию по ряду параметров (дата, время, источник и получатель запроса, протокол и порт); •устанавливать степень детализации выводимой информации; •выдавать детальные отчеты следующих видов:
1.деятельность конкретного компьютера и участка сети за определенный период времени, 2.факт совершения атаки средством оценки степени защиты на компьютер или участок сети, 3.отчет о запросах из глобальной сети за определенный период времени по определенному протоколу, 4.отчет о запросах из участка сети за определенный период времени по определенному протоколу, 5.отчет о запросах из глобальной сети к данному компьютеру или участку сети за определенный период времени по определенному протоколу, 6.отчет о запросах данного компьютера или участка сети в глобальную сеть за определенный период времени по определенному протоколу.
Средством просмотра и фильтрации статистики сетевых запросов является программа SHOWLOG. На вход программе подаются условия фильтрации двоичных данных сетевых запросов, заданные в виде логической комбинации ряда параметров. SNIFFIT - средство инспекции информационного обмена по протоколам TCP/IP
Программное средство SNIFFIT осуществляет инспекцию информационного обмена участка сети, производя регистрацию запросов на установление и разрыв соединения с сетевыми службами, включая запросы внутри участка сети, выходящие за пределы участка сети, приходящие из глобальной сети и запись информации, передаваемой в процессе информационного обмена.
При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Кроме этого, существует возможность конкретизировать эту функцию, то есть регистрировать только определенные запросы. Запись передаваемой информации может осуществляться целенаправленно (фиксируется информация, передаваемая по определенному протоколу либо между определенными сетевыми рабочими станциями), например, записывается вся почта, приходящая на определенную машину.
Средство SNIFFIT работает в одном из двух основных режимов:
1) интерактивная инспекция информационных потоков позволяет фиксировать действия, производимые определенным компьютером сети в режиме реального времени;
1 2 3 4 5