Network intrusion detection systems
Cieľom tejto úlohy je predviesť systém NIDS (systémy detekcie narušenia siete, niekedy označované ako IDS), ktorý sa používa na prevádzku systémov detekcie narušenia siete.
Čo sa naučíte v tejto úlohe
Systémy NIDS (systémy detekcie narušenia siete, niekedy označované ako IDS) sa používajú na prevádzku systémov detekcie narušenia siete. Monitorujú paketové dáta odosielané a prijímané cez určené sieťové rozhranie a detekujú hrozby zamerané na zraniteľnosti systému pomocou technológií detekcie založených na podpisoch a analýze protokolov. Pri správnej inštalácii a konfigurácii môže softvér NIDS identifikovať najnovšie útoky, infekcie malvérom, kompromitované systémy a porušenia sieťových politík.
Snort sa dá použiť v rôznych scenároch na ochranu sietí pred kybernetickými hrozbami. Bežné prípady použitia zahŕňajú:
- Detekcia a blokovanie sieťových útokov (napr. DoS, DDoS alebo útoky na domény),
- Monitorovanie sieťovej prevádzky na podozrivú aktivitu
- Používanie súborov pravidiel Snort na detekciu známych podpisov malvéru.
V tomto cvičení sa zameriate na používanie Snortu, jeho počiatočnú konfiguráciu a nastavenie pravidiel na detekciu DoS a DDoS útokov, ako aj na monitorovanie prístupu k rôznym webovým stránkam. Pravidlá Snortu môžete ďalej vylepšovať a rozširovať, aby detekovali aj iné typy sieťovej prevádzky a narušenia.
Prebiehajúce úlohy sú
- Kontrola nastavení aplikácie Snort
- Jednoduché pravidlo pre zachytávanie ICMP prevádzky
- Simulácia a detekcia DoS útokov
- Detekcia DDoS útokov
- Detekcia prístupu k doméne
Pracovné stanice dostupné pre úlohu
- Používateľ – OS Xubuntu
- Útočník – OS Ubuntu
Schéma siete
Maximálny čas potrebný na laboratórnu úlohu je 45 minút.