توضیحات
ABSTRACT
Sensor Configuration: This topic explains how to tune the sensor to avoid evasive techniques and provide networkspecific intrusion protection. “Tuning” is a general term that is applied to the process of setting up a sensor in such a way that it provides the correct level of information necessary for protecting your specific network. If your sensor is to serve you efficiently, you must determine what level of events you want from the sensor and what you are going to do with that event information. A sensor can provide information on network events at as low a level as reporting every HTTP connection attempt or every ping sweep or port sweep, but if you have no intention of using this data, there is little reason to collect it. One of the main purposes of tuning is to modify the sensor system behavior so that the alarms that are generated have a much higher fidelity, or likelihood of being correct, and a lower chance of reflecting anything other than a true event. Another purpose of tuning is to quickly and efficiently identify attacks in progress in order to respond to them. For tuning to be successful, you must be knowledgeable about your network and the individual devices that the sensor is protecting. It is also important to have a good understanding of the protocols used on your network; it is especially important to understand the protocol inspected by any signature that you intend to tune. This knowledge enables you to recognize normal versus abnormal network activity.
INTRODUCTION
The information that you should gather before tuning your sensor includes, but is not limited to, the following: The network topology The network address space under observation Which inside addresses are statically assigned to servers and which are DHCP addresses The operating system running on each server Applications running on the servers The security policy This network knowledge is important if you have to sort through events that may or may not have relevance and make decisions about how to react to each one. The decision is affected by such information as the source and destination addresses of each event, the operating system of a targeted server, the applications that are running on the server, and the normal behavior of the server. For example, you might see ping sweep events coming from IP address 10.0.1.99. These might normally be considered suspicious events. However, if you know that 10.0.1.99 is a server running HP OpenView network management software (which does ping sweeps as part of its normal network discovery functionality), you can tune out the event by using the sensor alarm channel filtering function so that the sensor never again triggers that event when it comes from the 10.0.1.99 address.
چکیده
پیکربندی سنسور: این موضوع توضیح می دهد که چگونه سنسور را تنظیم می کند تا از تکنیک های انحرافی جلوگیری کند و محافظت از نفوذ در شبکه ها را فراهم کند. “تنظیم” یک اصطلاح عمومی است که در فرآیند تنظیم یک سنسور به گونه ای اعمال می شود که سطح درستی از اطلاعات لازم برای حفاظت از شبکه خاص خود را فراهم می کند. اگر سنسور شما به طور مؤثر به شما خدمت کند، باید میزان حوادثی را که از سنسور می خواهید تعیین کنید و آنچه را که با اطلاعات مربوط به رویداد انجام می دهید تعیین کنید. یک سنسور می تواند اطلاعات مربوط به رویدادهای شبکه را به عنوان سطح پایین به عنوان گزارش هر تلاش اتصال HTTP یا هر جارو پینگ یا پورت انجام دهد، اما اگر قصد استفاده از این داده ها را نداشته باشید، دلیل کمی برای جمع آوری آن وجود دارد. یکی از اهداف اصلی تنظیم این است که رفتار سیستم سنسور را اصلاح کنید به طوری که آلارم هایی که تولید می شوند دارای وفاداری بسیار بالاتری یا احتمال درست بودن و شانس کمتر برای بازتاب چیزی غیر از یک رویداد واقعی هستند. هدف دیگری از تنظیم این است که سریع و موثر تشخیص حملات در حال پیشرفت برای پاسخ دادن به آنها باشد. برای تنظیم موفقیت آمیز، شما باید در مورد شبکه خود و دستگاه های فردی که سنسور محافظت می کنند مطلع باشید. همچنین مهم است که درک خوبی از پروتکل های استفاده شده در شبکه شما داشته باشید؛ مهم است که پروتکل بازرسی شده توسط هر امضائی که قصد دارید تنظیم کنید را درک کنید. این دانش شما را قادر می سازد تا فعالیت های شبکه عادی و غیر عادی را تشخیص دهید.
مقدمه
اطلاعاتی که باید قبل از تنظیم سنسور خود جمع آوری کنید شامل موارد زیر می باشد:؟ توپولوژی شبکه ؟؟؟ فضای آدرس شبکه تحت نظارت؟ کدام آدرس های داخلی به سرور ها به طور ایستا اختصاص داده می شوند و آدرس DHCP چیست؟ سیستم عامل در حال اجرا بر روی هر سرور ؟؟ برنامه های در حال اجرا بر روی سرور ؟؟ سیاست امنیتی این دانش شبکه مهم است اگر شما باید مرتب سازی کنید از طریق رویدادهایی که ممکن است یا ممکن است ارتباطی نداشته باشند و تصمیم بگیرند در مورد چگونگی واکنش به هر یک از آنها. این تصمیم با چنین اطلاعاتی به عنوان آدرس مقصد و مقصد هر رویداد، سیستم عامل سرور هدفمند، برنامه های کاربردی که در سرور اجرا می شوند، و رفتار نرمال سرور، تحت تاثیر قرار می گیرد. به عنوان مثال، شما ممکن است رویدادهای پی دی اف را از آدرس IP 10.0.1.99 ببینید. این ممکن است به طور معمول حوادث مشکوک در نظر گرفته شود. با این حال، اگر می دانید که 10.0.1.99 یک سرور است که از طریق نرم افزار مدیریت شبکه HP OpenView (که پینگ به عنوان بخشی از قابلیت کشف شبکه معمولی آن عمل می کند) می تواند رویداد را با استفاده از عملکرد فیلترینگ کانال زنگ حسگر به طوری که سنسور هرگز آن رویداد را هنگامی که از آدرس 10.0.1.99 می آید، منجر می شود.
Year: 2007
Publisher: Cisco
Source : www.cisco.com/go/offices
File Information: English Language/ 336 Page / size: 3.13 MB
Only site members can download free of charge after registering and adding to the cart
سال : 1386
ناشر : Cisco
منبع : www.cisco.com/go/offices
اطلاعات فایل : زبان انگلیسی / 336 صفحه / حجم : MB 3.13
نقد و بررسیها
هنوز بررسیای ثبت نشده است.