Implementing Intrusion Detection and Prevention/Внедрение систем обнаружения и предотвращения сетевых атак на устройствах Juniper IDP
Содержание курса
Требования к слушателям
Предполагается, что слушатели имеют базовые знания по следующим темам:
- Основы TCP/IP
- Основы безопасности компьютерных сетей
- Желательно знакомство с управляющей системой Juniper NSM (рекомендуется прослушать курс SMF)
Описание курса
В этом курсе обсуждается настройка устройств семейства Juniper IDP (устройства обнаружения и предотвращения вторжений - такие как IDP 75/250/800/8200 и ISG со встроенным модулем IDP). Основные темы курса: начальная настройка устройств, настройка и тонкая подстройка политик безопасности, управление объектами атак, создание собственных сигнатур атак, поиск неисправностей. Значительное время в течение курса уделяется лабораторным работам, что позволяет закрепить на опыте полученные знания.
Курс начального уровня, рассчитан на сетевых инженеров, персонал центров технической поддержки, сотрудников компаний-реселлеров, и всех тех, кому необходимы навыки работы с устройствами Juniper IDP.
Содержание курса
Основные концепции системы IDP
- Фазы атак и их обнаружение
- Линейка продуктов и архитектура
- Развертывание системы обнаружения/предотвращения атак
Начальная настройка IDP-сенсора
- Обзор
- Настройка в случае шасси IDP
- Настройка в случае IDP-модуля в Juniper ISG1000/ISG2000
- Лабораторная работа
Основы политик IDP
- Терминология и классификация объектов атак
- Компоненты правил
- Алгоритм работы IDP-системы с таблицей правил
- Терминальные правила
- Лабораторная работа
Тонкая настройка политик IDP
- Обзор
- Выявление машин и протоколов для мониторинга
- Выявление и устранение ложных срабатываний
- Конфигурирование действий при обнаружении атаки
- Настройка других баз правил для обнаружения атак
- Лабораторная работа
Настройка дополнительных баз правил
- Обзор возможных типов баз правил
- База правил Exempt
- База правил аномалий трафика
- База правил Backdoor
- База правил SYN-защиты
- База правил Network honeypot
- Порядок работы IDP-системы с базами
- Лабораторная работа
Профайлер
- Обзор и порядок работы
- Использование профайлера для обнаружения работающих машин и приложений
- Использование профайлера для поиска нарушений политик безопасности
- Лабораторная работа Работа с сенсором
- Основные компоненты и процессы
- Управление политиками с помощью утилиты scio
- Управление конфигурацией сенсора с помощью scio
- Мониторинг с помощью утилиты sctop
- Лабораторная работа
Поиск неисправностей
- Обзор протоколов коммуникации сенсора
- Инструменты и сценарии отладки
- Сброс сенсора к заводской конфигурации
- Лабораторная работа
Управление объектами атак
- Просмотр предопределенных атак и их групп
- Создание определенных пользователем групп атак
- Обновление базы атак
- Поиск по базе атак
- Лабораторная работа
Создание собственных сигнатур атак
- Инспектирование пакета в IDP
- Получение информации об атаке
- Регулярные выражения
- Создание объекта атаки на основе сигнатуры
- Создание сложных объектов атак
- Лабораторная работа
Кластерная конфигурация сенсоров
- Работа в режиме внешней высокой доступности
- Настройка сенсоров