Network intrusion detection systems
Cílem úlohy je ukázat systém NIDS (systémy detekce síťových narušení, někdy též jen jako IDS) sloužící k provozování systémů detekce síťových narušení.
S čím se v úloze seznámíte
Systémy NIDS (systémy detekce síťových narušení, někdy též jen jako IDS) slouží k provozování systémů detekce síťových narušení. Monitoruje paketová data odesílaná a přijímaná prostřednictvím určeného síťového rozhraní a detekuje hrozby zaměřené na zranitelnosti systému pomocí technologií detekce založených na signaturách a analýzy protokolů. Při správné instalaci a konfiguraci dokáže software NIDS identifikovat nejnovější útoky, infekce malwarem, kompromitované systémy a porušení síťových zásad.
Snort lze použít v různých scénářích k ochraně sítí před kybernetickými hrozbami. Mezi běžné případy použití patří:
- Detekce a blokování síťových útoků (např. DoS, DDoS nebo útoky na doménu),
- Monitorování síťového provozu pro podezřelou aktivitu
- Použití sady pravidel Snortu k detekci známých signatur malwaru.
V tomto cvičení se zaměříte na použití aplikace Snort, jeho počáteční konfiguraci a nastavení pravidel pro detekci útoků DoS a DDoS, stejně jako na monitorování přístupů k různým webovým stránkám. Pravidla Snortu můžete dále upřesnit a rozšířit tak, aby detekovala další typy síťového provozu a narušení.
Průběžné úkoly jsou
- Kontrola nastavení aplikace Snort
- Jednoduché pravidlo pro záchyt ICMP provozu
- Simulace a detekce DoS útoku
- Detekce DDoS útoku
- Detekce přístupu k doméně
V rámci úlohy jsou dostupné pracovní stanice
- Uživatel - OS Xubuntu
- útočník – OS Ubuntu
Schéma sítě
Potřebný čas na laboratorní úlohu je max. 45 minut.