- •1. Межсетевые экраны
- •1.1. Классификация
- •1.2. Выбор межсетевого экрана
- •Возможности
- •1.3. Недостатки
- •1.4. Персональные межсетевые экраны
- •2. Системы контроля содержания
- •2.1. Возможности
- •2.2. Недостатки
- •3. Системы построения vpn
- •3.1. Классификация
- •3.2. Варианты построения
- •3.3. Варианты реализации
- •4. Системы обнаружения атак
- •4.1. Системы анализа защищенности
- •4.2. Введение в классификацию
- •4.3. Системы обнаружения атак на уровне узла
- •4.4. Системы обнаружение атак на уровне сети
- •Невозможность «заметания следов*
- •4.5. Обманные системы
- •4.6. Системы контроля целостности
4.4. Системы обнаружение атак на уровне сети
Первоначальные исследования велись в области анализа регистрационных файлов, созданных операционной системой и различными приложениями. Этот анализ проводился с целью поиска записей, характеризующих потенциальное нападение или какую либо аномальную деятельность. Однако на практике оказалось, что системы обнаружения атак на основе регистрационных журналов не позволяют обнаруживать множество атак. Поэтому внимание разработчиков переключилось на сетевой уровень.
Основное ограничение первых разработанных систем обнаружения атак в том, что доступ к регистрационным журналам осуществлялся только на уровне ОС, СУБД и приложений: Развитие сетей, требующих контроля на всех уровнях инфраструктуры информационной системы, привел к созданию так называемых Kernel-based и Network-based систем обнаружения атак, то есть работающих на уровне ядра ОС и уровне сети.
Система обнаружения атак на уровне сети за счет используемых в ней алгоритмов имеет доступ ко всем данным, передаваемым между узлами сети. Так как такая система выполняется на компьютере, отличном от того, атаки на который контролируются, то никакого снижения эффективности последних не наблюдается.
Как показывает анализ имеющихся сегодня систем обнаружения атак на уровне сети, все они используют в качестве источника данных сетевой трафик, который анализируется на наличие в нем признаков атакитггТакжё" возможен наличие журналов регистрации сетевого программно-аппаратного обеспечения (например, маршрутизатор, межсетевой экран или анализатор протоколов), фиксирующего весь обрабатываемый им трафик. В идеале эти средства должны работать в любых сетях, но, как показывает практика, средства обнаружения атак обнаруживают нарушения политики безопасности в сетях с разделяемой средой передачи flaHHbix-(shared media), в которых одна линия связи используется попеременно несколькими компьютерами. То есть данные системы функционируют в технологиях Ethernet (и, следовательно, Fast Ethernet и Gigabit Ethernet), Token Ring, FDDI. Это связано с тем, что в таких сетях один компьютер может получить доступ ко всем пакетам, передаваемым в сегменте сети. Это существенно "удешевляет системы обнаружения атак, так как практически независимо от числа узлов в сегменте сети трафик между ними может контролироваться всего одной системой обнаружения атак. В случае индивидуальных линий связи между узлами (например,/ATM) необходимо устанавливать систему обнаружения атак между каждой парой взаимодействующих узлов, что нецелесообразно по финансовым соображениям. Именно поэтому существующие реализации сетевых систем обнаружения атак поддерживают, в основном, сетевые технологии с разделяемой средой передачи данных. Кроме того, системы обнаружения атак имеют еще одно ограничение. Они могут анализировать не любые стеки протоколов, а только самые распространенные. Из всех существующих на сегодняшний день систем обнаружения атак примерно 95 % работают со стеком TCP/IP и 5 % — со стеком SMB/NetBIOS. Коммерческие системы, поддерживающие стек IPX/SPX, не говоря уже о других стеках, мне неизвестны.
Достоинства систем обнаружения атак на уровне сети
Системы обнаружения атак сетевого уровня имеют много достоинств, которые отсутствуют в системах обнаружения атак, функционирующих на конкретном узле. Многие покупатели используют систему обнаружения атак сетевого уровня из-за ее низкой стоимости эксплуатации и своевременного реагирования. Ниже представлены основные причины, которые делают систему обнаружения атак на сетевом уровне одним из наиболее важных компонентов эффективной реализации, политики безопасности [24].
Низкая стоимость эксплуатации
Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку при контроле всей сети число мест, в которых установлены IDS, невелико, стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне. Кроме того, для контроля сетевого сегмента необходим только один сенсор, независимо от числа узлов в данном сегменте.
Обнаружение сетевых атак
Системы, функционирующие на уровне узла, как правило, не работают с сетевыми пакетами и, следовательно, не могут определять эти типы атак. Исключением являются системы типа RealSecure Server Sensor или Centrax, которые содержат в себе сетевые компоненты, обнаруживающие и сетевые атаки, направленные на конкретный узел. Эти системы обнаружения атак могут исследовать содержание тела данных пакета, отыскивая команды, используемые в конкретных атаках. Например, когда хакер пытается найти серверную часть Back Orifice на системах, которые пока еще не поражены ею, этот факт может быть обнаружен путем исследования именно содержания тела данных пакета. Как говорилось выше, системы системного уровня не работают на сетевом уровне и поэтому не способны распознавать такие атаки.