Последний состоит из списка фильтрующих команд, при помощи которых можно задать шаблон отслеживаемых пакетов. Таким образом, зная формат отслеживаемого пакета, можно создать соответствующий шаблон, внести изменения в и сходный текст программы (то есть подставить созданный шаблон в модуль фильтрации) и в итоге отслеживать любые необходимые сетевые пакеты. При этом сфера действия комплекса не ограничена протоколами семейства TCP/IP.
NETLOG позволяет :
•фиксировать действия, производимые определенным компьютером в участке сети; •собирать статистику обращений к участку сети в целом или к компьютеру из сети; •собирать статистику обращений компьютера или участка сети в глобальную сеть; •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый компьютер в отдельности.
NETLOG разработан на основе программных средств, используемых в системе безопасности сети университета Texas A&M University, для работы на платформах ОС SunOS 4.x, SunOS 5.x (Solaris), использующих сетевые интерфейсы NIT и DLPI.
Комплекс программ NETLOG состоит из трех частей:
•резидентная часть; •двоичные данные сетевых запросов; •средство просмотра и фильтрации данных.
Резидентная часть состоит из трех модулей: tcplog, udplog, icmplog, загружаемых в оперативную память во время старта программного комплекса.
Каждый из модулей регистрирует прохождение запроса по определенному протоколу. При обнаружении запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Информация о запросах на установление соединения записывается в сжатом виде в двоичный файл и хранится указанное администратором время. По истечении срока хранения информация автоматически удаляется или переносится в архив. Средство просмотра статистики и фильтрации сетевых запросов выводит запрашиваемую информацию из файла данных в требуемом виде.
Это средство позволяет :
•фильтровать запрашиваемую информацию по ряду параметров (дата, время, источник и получатель запроса, протокол и порт); •устанавливать степень детализации выводимой информации; •выдавать детальные отчеты следующих видов:
1.деятельность конкретного компьютера и участка сети за определенный период времени, 2.факт совершения атаки средством оценки степени защиты на компьютер или участок сети, 3.отчет о запросах из глобальной сети за определенный период времени по определенному протоколу, 4.отчет о запросах из участка сети за определенный период времени по определенному протоколу, 5.отчет о запросах из глобальной сети к данному компьютеру или участку сети за определенный период времени по определенному протоколу, 6.отчет о запросах данного компьютера или участка сети в глобальную сеть за определенный период времени по определенному протоколу.
Средством просмотра и фильтрации статистики сетевых запросов является программа SHOWLOG. На вход программе подаются условия фильтрации двоичных данных сетевых запросов, заданные в виде логической комбинации ряда параметров. SNIFFIT - средство инспекции информационного обмена по протоколам TCP/IP
Программное средство SNIFFIT осуществляет инспекцию информационного обмена участка сети, производя регистрацию запросов на установление и разрыв соединения с сетевыми службами, включая запросы внутри участка сети, выходящие за пределы участка сети, приходящие из глобальной сети и запись информации, передаваемой в процессе информационного обмена.
При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Кроме этого, существует возможность конкретизировать эту функцию, то есть регистрировать только определенные запросы. Запись передаваемой информации может осуществляться целенаправленно (фиксируется информация, передаваемая по определенному протоколу либо между определенными сетевыми рабочими станциями), например, записывается вся почта, приходящая на определенную машину.
Средство SNIFFIT работает в одном из двух основных режимов:
1) интерактивная инспекция информационных потоков позволяет фиксировать действия, производимые определенным компьютером сети в режиме реального времени;
2) пассивная инспекция информационных потоков позволяет:
•фиксировать действия, производимые определенным компьютером сети, •записывать информацию, передаваемую в сети по определенному протоколу между определенными машинами, •записывать вся почтовую переписку, •записывать информацию, передаваемую в течении telnet-сессии, включая пароль, запрашиваемый при аутентификации пользователя в системе, •собирать статистику обращений к участку сети в целом или к компьютеру из глобальной сети, •собирать статистику обращений компьютера или участка сети в глобальную сеть, •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый конкретный компьютер.
Комплекс программ SNIFFIT разработан для работы на платформах SunOS 4.x, SunOS 5.x (Solaris), Linux, FreeBSD, Irix, использующих сетевые интерфейсы NIT, DLPI и BPF.
Средство SNIFFIT состоит из трех частей: резидентная часть, конфигурационный файл, файл данных.
Резидентная часть состоит из модуля sniffit, загружаемого в оперативную память. Во время старта программного комплекса модуль sniffit считывает свою конфигурацию из файла sniffit.conf. После окончания загрузки модуль начинает регистрировать проходящие информационные данные и запросы согласно своей конфигурации, описанной в файле sniffit.conf. При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос.
Конфигурационный файл описывает действия, выполняемые загружаемым модулем sniffit при обработке трафика сети. Этот файл можно задать таким образом, что будут выполнятся следующие действия:
•фиксироваться вся почтовая переписка, выходящая за пределы сети, •записываться все передаваемые данные по протоколам telnet и ftp, •регистрироваться все запросы на установление или разрыв соединения, •регистрироваться все действия определенного сетевого компьютера, •регистрироваться все внешние запросы.
Файл сохраненных отслеживаемых запросов содержит информацию в формате ASCII. Все записи о зарегистрированных запросах включают в себя дату, время, источник и адресат запроса, протокол и порт, по которым произошел запрос. Данные о почтовой переписке можно прочитать при помощи любого текстового редактора. Информация соединения telnet содержит управляющие символы, поэтому для просмотра данной информации необходимо специальное средство.
1 2 3 4 5
NETLOG позволяет :
•фиксировать действия, производимые определенным компьютером в участке сети; •собирать статистику обращений к участку сети в целом или к компьютеру из сети; •собирать статистику обращений компьютера или участка сети в глобальную сеть; •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый компьютер в отдельности.
NETLOG разработан на основе программных средств, используемых в системе безопасности сети университета Texas A&M University, для работы на платформах ОС SunOS 4.x, SunOS 5.x (Solaris), использующих сетевые интерфейсы NIT и DLPI.
Комплекс программ NETLOG состоит из трех частей:
•резидентная часть; •двоичные данные сетевых запросов; •средство просмотра и фильтрации данных.
Резидентная часть состоит из трех модулей: tcplog, udplog, icmplog, загружаемых в оперативную память во время старта программного комплекса.
Каждый из модулей регистрирует прохождение запроса по определенному протоколу. При обнаружении запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Информация о запросах на установление соединения записывается в сжатом виде в двоичный файл и хранится указанное администратором время. По истечении срока хранения информация автоматически удаляется или переносится в архив. Средство просмотра статистики и фильтрации сетевых запросов выводит запрашиваемую информацию из файла данных в требуемом виде.
Это средство позволяет :
•фильтровать запрашиваемую информацию по ряду параметров (дата, время, источник и получатель запроса, протокол и порт); •устанавливать степень детализации выводимой информации; •выдавать детальные отчеты следующих видов:
1.деятельность конкретного компьютера и участка сети за определенный период времени, 2.факт совершения атаки средством оценки степени защиты на компьютер или участок сети, 3.отчет о запросах из глобальной сети за определенный период времени по определенному протоколу, 4.отчет о запросах из участка сети за определенный период времени по определенному протоколу, 5.отчет о запросах из глобальной сети к данному компьютеру или участку сети за определенный период времени по определенному протоколу, 6.отчет о запросах данного компьютера или участка сети в глобальную сеть за определенный период времени по определенному протоколу.
Средством просмотра и фильтрации статистики сетевых запросов является программа SHOWLOG. На вход программе подаются условия фильтрации двоичных данных сетевых запросов, заданные в виде логической комбинации ряда параметров. SNIFFIT - средство инспекции информационного обмена по протоколам TCP/IP
Программное средство SNIFFIT осуществляет инспекцию информационного обмена участка сети, производя регистрацию запросов на установление и разрыв соединения с сетевыми службами, включая запросы внутри участка сети, выходящие за пределы участка сети, приходящие из глобальной сети и запись информации, передаваемой в процессе информационного обмена.
При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Кроме этого, существует возможность конкретизировать эту функцию, то есть регистрировать только определенные запросы. Запись передаваемой информации может осуществляться целенаправленно (фиксируется информация, передаваемая по определенному протоколу либо между определенными сетевыми рабочими станциями), например, записывается вся почта, приходящая на определенную машину.
Средство SNIFFIT работает в одном из двух основных режимов:
1) интерактивная инспекция информационных потоков позволяет фиксировать действия, производимые определенным компьютером сети в режиме реального времени;
2) пассивная инспекция информационных потоков позволяет:
•фиксировать действия, производимые определенным компьютером сети, •записывать информацию, передаваемую в сети по определенному протоколу между определенными машинами, •записывать вся почтовую переписку, •записывать информацию, передаваемую в течении telnet-сессии, включая пароль, запрашиваемый при аутентификации пользователя в системе, •собирать статистику обращений к участку сети в целом или к компьютеру из глобальной сети, •собирать статистику обращений компьютера или участка сети в глобальную сеть, •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый конкретный компьютер.
Комплекс программ SNIFFIT разработан для работы на платформах SunOS 4.x, SunOS 5.x (Solaris), Linux, FreeBSD, Irix, использующих сетевые интерфейсы NIT, DLPI и BPF.
Средство SNIFFIT состоит из трех частей: резидентная часть, конфигурационный файл, файл данных.
Резидентная часть состоит из модуля sniffit, загружаемого в оперативную память. Во время старта программного комплекса модуль sniffit считывает свою конфигурацию из файла sniffit.conf. После окончания загрузки модуль начинает регистрировать проходящие информационные данные и запросы согласно своей конфигурации, описанной в файле sniffit.conf. При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос.
Конфигурационный файл описывает действия, выполняемые загружаемым модулем sniffit при обработке трафика сети. Этот файл можно задать таким образом, что будут выполнятся следующие действия:
•фиксироваться вся почтовая переписка, выходящая за пределы сети, •записываться все передаваемые данные по протоколам telnet и ftp, •регистрироваться все запросы на установление или разрыв соединения, •регистрироваться все действия определенного сетевого компьютера, •регистрироваться все внешние запросы.
Файл сохраненных отслеживаемых запросов содержит информацию в формате ASCII. Все записи о зарегистрированных запросах включают в себя дату, время, источник и адресат запроса, протокол и порт, по которым произошел запрос. Данные о почтовой переписке можно прочитать при помощи любого текстового редактора. Информация соединения telnet содержит управляющие символы, поэтому для просмотра данной информации необходимо специальное средство.
1 2 3 4 5