МАИ. Прикладная математика. Вычислительная математика и
программирование.
Информационная безопасность.
Преподаватель: Крижановский А. В. Задача: Реализовать IPS (Intrusion Prevention System) как прикладной код на Python в режиме реального времени обрабатывает логи прикладного сниффера (tcpdump) и блокирует доступ реконфигурацией IPtables; В качестве логики IPS должна реализовать один из следующих методов обнаружения атак: Анализ содержания пакетов для прикладного сервиса на выбор (PostgreSQL, MySQL, HTTP, SMTP, FTP и пр. ). Реализовать возможность задания нескольких сигнатур (можно использовать pcre для регулярных выражений или разработать свой простой язык описания сигнатур). Для примера можно взять соответствующие сигнатуры из базы Snort. Сбор TCP-потока не обязателен. Приложить результаты тестирования/анализа к итоговому отчету. Алгоритм работы состоит в том, что просматривается содержимое syn-пакетов на основе вывода tcpdump. В каждом пакете ищутся запрещенные сигнатуры, которые хранятся в 16-ричном виде в виде регулярных выражений в отдельном файле. IP-адреса, с которых пришли пакеты, содержащие какую-либо сигнатуру, добавляются в множество запрещенных адресов с помощью утилиты ipset. Последующий отброс пакетов, приходящих с этих адресов осуществляется правилом в настройке iptables.
Информационная безопасность.
Преподаватель: Крижановский А. В. Задача: Реализовать IPS (Intrusion Prevention System) как прикладной код на Python в режиме реального времени обрабатывает логи прикладного сниффера (tcpdump) и блокирует доступ реконфигурацией IPtables; В качестве логики IPS должна реализовать один из следующих методов обнаружения атак: Анализ содержания пакетов для прикладного сервиса на выбор (PostgreSQL, MySQL, HTTP, SMTP, FTP и пр. ). Реализовать возможность задания нескольких сигнатур (можно использовать pcre для регулярных выражений или разработать свой простой язык описания сигнатур). Для примера можно взять соответствующие сигнатуры из базы Snort. Сбор TCP-потока не обязателен. Приложить результаты тестирования/анализа к итоговому отчету. Алгоритм работы состоит в том, что просматривается содержимое syn-пакетов на основе вывода tcpdump. В каждом пакете ищутся запрещенные сигнатуры, которые хранятся в 16-ричном виде в виде регулярных выражений в отдельном файле. IP-адреса, с которых пришли пакеты, содержащие какую-либо сигнатуру, добавляются в множество запрещенных адресов с помощью утилиты ipset. Последующий отброс пакетов, приходящих с этих адресов осуществляется правилом в настройке iptables.