Teksti suurus

Reavahe

Kontrastsus
Seaded

 

IDS/IPS koolituspraktikum

Kirjeldus

Koolitusel vaadeldakse ründetuvastus- ja ründetõrjesüsteeme Snort ja Suricata ning nende kasutamist SIEMis Alienvault OSSIM. Koolituse labor on üles ehitatud virtuaalvõrgu ja virtuaalarvutite süsteemina (virtualiseerimisplatvormil töötavad serverid ja kliendid). Laborite käigus loob koolitatav oma virtuaalses võrgus ründetuvastussüsteemi, õpib kirjutama ja kohandama ründetuvastusreegleid ja rakendab ründetõrjepoliitika.

Aeg

Kuupäev 13.01.2014 - 14.01.2014
Kell 9.00–17.00
Koolituse asukoht Tartu, Tartu Ülikooli Raamatukogu arvutiklass, W.Struve 1
Kestus 2 päeva
Päevajuht Tanel Rõigas (BCS Koolitus AS)

Päevakava ja materjalid

Koolituse teemad

1. Tulemüürid võrgus. Võrguliikluse esmane piiramine 3. OSI kihi tulemüüridega, ACL-id. Vajadus 7. OSI kihi tulemüüride järele. ISKE nõuded tulemüüridele, Application-Level-Gatewaydele ja ründetuvastusele.
i. Labor. Virtualiseerimiskeskkonna tutvustus. Võrgu seadistamine, esmane võrguliikluse piiramine ACL-põhiselt.

2. Ründetuvastussüsteem Snort. Snorti versioonid. Signatuuripõhise tõrje kontseptsioon. Oinkmaster ja signatuuride automaatne uuendamine.
i. Labor. Snorti installeerimine debian linux pakina, Snorti installeerimine lähtekoodist. Signatuurifailide automaatne uuendus.

3. Snorti reegli ülesehitus. Reeglite kohandamine. Alternatiivsete reeglite loomise kommuun Emerging Threats. Metoodikad 0-day ründe tuvastamiseks ja reeglite rakendamine nende leidmiseks.
i. Labor. Täiendavate reeglite allalaadimine ja rakendamine Emerging Threats kommuunihoidlast. Pingi tuvastava reegli kirjutamine ja rakendamine.
ii. Iseseisev töö – aktiivse ründe leidmine rünnete andmebaasist, vastava reegli loomine ja rakendamine.

4. Snort kui IPS. Reegli erinevad rakendused. Reegli kasutamine ründava võrgu blokeerimiseks. Snorti liidestamine andmebaasiga. Liidestus Barnyard.
i. Labor. Snorti rakendamine IPS-ina Apache-teenusel. Barnyardi seadistamine.

5. Snorti GUI rakendamine. Snorby ja BASE. Graafilise liidese rakendamine monitoorija tarbeks.
i. Labor. Graafilise liidese installeerimine Snortile, selle kasutamine omaloodud reeglitega.

6. Suricata kui alternatiivne vabavaraline IDS.
i. Labor. Suricata installeerimine debiani pakist, kohandamine kasutamiseks.

7. SIEM. Alienvault OSSIM kui Snorti ja/või Suricata graafiline pealisehitus. ISKE soovitused SIEMile, nende rahuldatus Alienvaulti abil.
i. Labor. Eelinstalleeritud Alienvault OSSIMi rakendamine ründetõrjeks, signatuuride kohandamine Alienvaultis. Hoiatuste seadistamine Alienvaultis.

Koolitus toimub "Tark e-riik" koolitusprojekti raames EL struktuurifondide programmist “Infoühiskonna teadlikkuse tõstmine”, mida rahastab Euroopa Regionaalarengu Fond. Koolitust aitab läbi viia BCS Koolitus AS.

Registreerimine

Koolitus on toimunud


Teema: CERT

Lisatud 09.01.2014
Uuendatud 02.04.2014



Tagasi lehele "Koolitused"