Практическая работа №3 «Форпост»
.docxМинистерство цифрового развития, связи и массовых коммуникаций Российской Федерации
Ордена Трудового Красного Знамени федеральное государственное бюджетное образовательное учреждение высшего образования
«Московский технический университет связи и информатики»
(МТУСИ)
Отчёт по Практикуму №3
КАФЕДРА: «Сетевые информационные технологии и сервисы»
Тема: «Установка сетевого датчика СОА «Форпост»»
Выполнил
Поверил:
______________________________
Москва 2022
Цель работы:
1.1. Изучить назначение и функции сетевого датчика.
1.2. Приобрести опыт установки сетевого датчика.
Типовая схема включения СОА «Форпост» в автоматизированную информационную систему и место сетевого датчика в ней.
Рисунок 1 – Типовая схема включения СОА «Форпост» в автоматизированную информационную систему.
Назначение, типы и основные характеристики сетевого датчика.
Сетевой датчик осуществляет анализ поступающего трафика на наличие в нем компьютерных атак используя сигнатурный метод. (Сверяется с информационным фондом)
Типы:
Сетевой датчик 0.1 - Балансировка нагрузки на сетевые датчики может производится методом наложения на каждый экземпляр сетевого датчика специально сформированного BPF-фильтра (Berkeley Packet Filter) таким образом, чтобы каждый экземпляр сетевого датчика обрабатывал только свой небольшой поток трафика от общего потока
Сетевой датчик 0.2 - Балансировка нагрузки на сетевые датчики производится автоматически.
Производительность одного сетевого датчика СОА зависит от многих факторов. Основные:
мощность аппаратной платформы;
количество обрабатываемых пакетов за единицу времени;
размер обрабатываемых пакетов;
количество одновременно обрабатываемых TCP-сессий;
количество и сложность сигнатур, загруженных в сетевой датчик СОА.
При построении системы, содержащей в своем составе сетевые датчики, следует произвести оценку количества трафика, передаваемого через контролируемый сегмент за единицу времени. Полученная величина не должна превышать пропускной способности сетевого порта, к которому подключен сетевой датчик. В противном случае часть подлежащих анализу данных может быть потеряна. Производительность одного сетевого датчика СОА может колебаться в диапазоне от 50 до 200 Мбит/с.
Принципы работы сетевого датчика.
Сетевой датчик СОА «Форпост» поддерживает балансировку нагрузки по IP-адресам: с использованием BPF-фильтра из IP-пакета извлекается IP-адрес источника и IP-адрес получателя. По извлеченным значениям BPF-фильтр определяет, должен ли прибывший пакет обрабатываться данным конкретным датчиком. Если должен – пакет передается в ядро сетевого датчика, если не должен – отбрасывается. Отброшенные пакеты BPF-фильтром одного сетевого датчика, должны удовлетворять условиям BPF-фильтра другого сетевого датчика. За счет этого входящий поток информации обрабатывается без потерь.
Датчик сравнивает поступающий поток информации с заранее известными схемами атак и при их выявлении сообщает администратору о неполадках.
Контрольные вопросы
На какие узлы можно устанавливать сетевой датчик?
Ответ:
Узлы, на которые производится установка сетевого датчика, должны быть оснащены минимум двумя сетевыми интерфейсами, при этом «слушающие» интерфейсы должны быть включены, иметь серверное исполнение, и при этом не должны иметь IP-адреса. Такая схема установки сетевого датчика делает его «невидимым» для возможных нарушителей, что исключает возможность успешной сетевой атаки на сам датчик.
Что может обнаружить сетевой датчик?
Ответ:
Типовую атаку, записанную в информационным фонде.
Что следует сделать при построении системы, содержащей в своем составе сетевые датчики?
Рис. 3.5 - Окно «Компоненты системы»
Ответ:
При построении системы, содержащей в своем составе сетевые датчики, следует произвести оценку количества трафика, передаваемого через контролируемый сегмент за единицу времени. Полученная величина не должна превышать пропускной способности сетевого порта, к которому подключен сетевой датчик.
Как может производиться балансировка нагрузки на сетевые датчики?
Ответ:
Сетевой датчик 0.1 - Балансировка нагрузки на сетевые датчики может производится методом наложения на каждый экземпляр сетевого датчика специально сформированного BPF-фильтра (Berkeley Packet Filter) таким образом, чтобы каждый экземпляр сетевого датчика обрабатывал только свой небольшой поток трафика от общего потока
Сетевой датчик 0.2 - Балансировка нагрузки на сетевые датчики производится автоматически.
Какую балансировку нагрузки поддерживает сетевой датчик СОА «Форпост»?
Ответ:
Методом наложения на каждый экземпляр сетевого датчика специально сформированного BPF-фильтра
От каких факторов зависит производительность одного сетевого датчика СОА?
Ответ: От загруженности системы и выбранного метода балансировки.