Актуальность разработки заключается в расширении возможности системы предотвращения вторжений Suricata на основе бессигнатурного анализа с задачей быстрой и качественной проверки сетевых пакетов по уровням L2-L7 по правилам, а также реализации методики подключения внешних исполнителей к корпоративной сети.
Объект разработки - система защиты внешнего периметра
корпоративной сети.
Предмет разработки - организация защиты внешнего периметра и слежение за внутренними процессами информационного обмена в корпоративной сети.
Цель разработки в повышении защищенности корпоративной сети с использованием open-source IPS Suricata.
Для достижения поставленной цели необходимо решить следующие задачи:
- повышение функциональной безопасности IPS Suricata, за счет организации потоковости анализа данных;
- разработка методики бессигнатурного анализа сетевых пакетов на основе IPS Suricata на L6 и L7 OSI;
- повышение функциональности за счет организации авторизированного доступа к узлам корпоративной сети для внешних подрядчиков (аутсорс специалистов) на L2 OSI.
ВВЕДЕНИЕ 4
1. Анализ проблематики защиты корпоративных сетей 5
1.1 Методы защиты внешнего периметра 5
1.1.1 Система предотвращения вторжений Suricata 7
1.2 Проблема качества обрабатываемой информации 13
1.3 Бессигнатурный анализ 15
1.4 Проблематика подключения к корпоративной сети внешних подрядчиков 21
1.5 Проблематика организации многопотоковости в системе защиты внешнего периметра 23
1.6 Постановка задачи разработки 24
1.7 Выводы 24
2. Проектирование подсистем защиты корпоративной сети 25
2.1 Разработка методики бессигнатурного анализа для IPS 25
2.2 Проектирование методики подключения к сети внешних исполнителей 28
2.3 Проектирование методики организации многопотоковости для IPS 30
2.4 Выводы 32
3. Реализация защиты корпоративной сети 34
3.1 Реализация методики бессигнатурного анализа для IPS Suricata 34
3.2 Реализация методики подключения к сети внешних исполнителей 37
3.3 Реализация методики организации многопотоковости для IPS Suricata 44
3.4 Выводы 50
ЗАКЛЮЧЕНИЕ 51
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 52
ПРИЛОЖЕНИЕ А 53
ПРИЛОЖЕНИЕ Б 54
[1] . Suricata-ids [электронный ресурс] // URL: https://suricata-ids.org (дата обращения 25.03.2023);
[2] . Борисов В. И., Шабуров А. С. О применении сигнатурных методов анализа информации в SIEM-системах / Вестник УрФО. Безопасность в информационной сфере № 3(17) / 2015 - С. 23-27;
[3] . Тыщенко С.В., Соловьев Н.А. Системный анализ доступности ресурсов информационных систем в гетерогенной виртуальной среде //Вестник УрФО. Безопасность в информационной среде. — Челябинск: Изд. центр ЮУрГУ, 2014. — № 2(12). - С.24-31;
[4] . Дрозд, А Обзор SIEM-систем //SearchInform [Электронный ресурс] - Режим доступа. - URL: http://www.anti-
malware.ru/analytics/Technology Analysis/Overview SECURITY systems globa l_and_Russian_market (дата обращения 27.03.2023);
[5] . Шелестова, О Корреляция SIEM . Сигнатурные методы //исследовательский центр Positive Research [Электронный ресурс] 2012. URL:http:// www.securitylab.ru/analytics/431459.php (дата обращения 25.03.2023);
[6] . DoS-атака. Свободная библиотека Википедия [Электронный ресурс]. URL:http://
https://ru.wikipedia.org/wiki/DoSD0%B0%D1%82%D0%B0%D0%BA%D0%B0 (дата обращения 15.03.2023)
[7] . Козлов, Р Ь2-фильтрация для защиты корпоративной сети от внешних подрядчиков [Электронный ресурс] - Учебный центр MikroTik - 2018. URL: https://www.youtube.com/watch?v=SHV0pxyxytc (дата обращения 25.03.2023)
[8] . Packet Inspection Module. Open Information Security Foundation [Электронный ресурс]. URL:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Packet Inspectio n Module (дата обращения 20.04.2023).