Файловый архив студентов. Файловый архив студентов.
1314 вуза, 5306 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный гуманитарный университет им. М.А. Шолохова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
011 Сетевая безопасность.doc
Скачиваний:
12
Добавлен:
01.03.2025
Размер:
642.56 Кб
Скачать
►Содержание►

Подведем итоги

  • шифрование позволяет создать между двумя защищенными сетями туннель для доверенной передачи данных;

  • криптотуннели могут быть включены на постоянной основе, а могут и создаваться "по требованию"

  • существует несколько возможных схем охвата трафика шифрованием, каждая имеет свои недостатки и преимущества

  • для прозрачного для пользователей и программ соединения сетей на постоянной основе наиболее удобно шифрование на сетевом уровне в туннельном режиме – создание виртуальных частных сетей; наиболее распространенным решением для этого является стандарт IPSEC

ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ

1. Какой тип сетей из перечисленных во вступлении к разделу 7 наиболее требователен к шифрованию передаваемых данных ?

2. Какая криптосхема оптимальна для каждого из случаев:

а) Вы подключаетесь к мультисервисному корпоративному порталу, расположенному в рамках одного сервера;

б) Вы принимаете почту с корпоративного почтового сервера;

в) Вы активно работаете с разными компьютерами Вашей организаций ?

3. Почему алгоритмы шифрования физического и канального уровня не могут обеспечить защиту данным на всем пути следования по глобальной сети от отправителя до получателя ?

Системы обнаружения сетевых вторжений

В результате изучения данной темы Вы будете знать:

  • что такое система обнаружения сетевых вторжений;

  • как работает сигнатурный поиск вторжений;

  • как работает контроль за аномалиями в сетевой активности и какие аномалии свидетельствуют о сетевых вторжениях.

Системы обнаружения атак (СОА) являются последним (самым внутренним) кольцом обеспечения сетевой безопасности. В случае появления подозрений на то, что все остальные кольца защиты злоумышленник все же преодолел, СОА должна:

  • сигнализировать администратору любым доступным ей способом (электронной почтой, телефонным звонком, SMS-сообщением) о факте обнаружения атаки;

  • в том случае, если защищаемые данные имеют высокую ценность, автоматически отключить весь сетевой сегмент от внешней сети до окончания расследования по факту атаки.

Почему при таком обширном множестве средств защиты, атаки все таки происходят, и при том настолько часто, что становится экономически выгодным устанавливать СОА (в настоящее время цены на подобные системы и стоимость обучения персонала достаточно высоки)? Основная причина в том, что ни разработчик системы защиты сетевого периметра, ни создатель операционной системы, ни сетевой администратор не застрахованы от ошибок в своей работе, а тем более от аппаратных сбоев.

Огромное количество "хакерских" сообществ по всему миру ищет все новые и новые уязвимости. Даже в тех случаях, когда группа лиц, нашедшая уязвимость, никак не связана с Вашей организацией и может быть даже с Вашей страной, информация о самой уязвимости распространяется в компьютерном андеграунде. При этом почти всегда проходит определенный период времени между началом активного использования уязвимости злоумышленниками и выходом заплатки от производителя. В некоторых случаях этот период составляет несколько дней, в некоторых случаях – несколько месяцев.

Наиболее популярным коммерческим продуктом по обнаружению сетевых атак является программа ISS RealSecure, а свободно распространяемым проектом – программа snort.

Рассмотрим два основных подхода к обнаружению сетевых атак: сигнатурный поиск и поиск аномалий.

Сигнатурный поиск атак более всего похож на поиск вирусов в локальных файлах на компьютере. Отличие состоит в том, что в сетях анализируется сетевой трафик, то есть переданные по сети пакеты, датаграммы и сообщения.

СОА на основе сигнатурного поиска содержит в себе специальным образом организованную базу данных известных сетевых атак и выполняет поиск их признаков в сетевом потоке. Особое место уделяется вопросам быстроты проверки, так как объемы передаваемого сетевого трафика растут с каждым днем, а количество известных сетевых уязвимостей исчисляется десятками тысяч.

Сигнатурные СОА требуют постоянного обновления своей базы данных. В настоящее время это все чаще реализуется в автоматическом режиме обращением к серверу обновлений через Интернет. Некоторые производители СОА распространяют обновления ежедневно, некоторые – на еженедельной основе.

Качественно другой подход к попытке обнаружения сетевых атак состоит в поиске аномальной активности в сети. Под аномалией понимается выход какой-либо характеристики или группы характеристик сетевого трафика за определенные границы. Границы в одних случаях устанавливаются разработчиком СОА на определенном постоянном уровне, в других случаях – система сама вычисляет и корректирует их на основе многодневных наблюдений за штатной работой сети.

На рисунке 5.5.1 показан простейший пример границы аномальной зоны. По оси X откладывается количество первых (SYN) пакетов TCP-сессии в секунду, по оси Y – количество третьих (ACK, bytes_transferred=0) TCP-пакетов в секунду. В реальных системах количество анализируемых одновременно характеристик сетевого трафика может достигать нескольких десятков:

  • это IP-адреса отправителя и получателя пакета, адреса сетей, номера портов отправителя и получателя пакета;

  • наличие служебных флагов в IP-заголовке (FRAGMENT, COS и т.п.);

  • наличие служебных флагов в TCP-заголовке (SYN, ACK, PUSH, RESET, FIN и т.п.);

  • общее количество открытых соединений с этих же IP-адресов;

  • среднее время открытия нового соединения и среднеквадратичное отклонение этой величины;

  • минимальное и максимальное время между пакетами;

  • средняя скорость передачи трафика;

  • средняя длина пакета и среднеквадратичное отклонение этой величины;

  • размер окна протокола TCP;

  • среднее количество повторных отправок пакетов;

  • правильность номеров последовательности квитков в протоколе TCP и т.д.

Рис. 5.5.1. Пример аномальной зоны для сетевого трафика

СОА на основе поиска аномалий могут обнаруживать сетевые атаки, не известные еще составителям баз сигнатур. Но они обладают серьезным недостатком: у них возможны ложные срабатывания. То есть сетевой администратор может быть "поднят по тревоге" в ответ на чем-то отличающийся от других сетевой пакет. Считается, что предельно допустимой нормой является 5 ложных срабатываний в день на каждого администратора. Если этот предел будет превышен, то администратор на подсознательном уровне теряет доверие к системе и может проигнорировать или недостаточно быстро отреагировать на настоящую атаку.

Практическая реализация любой СОА (см. рис. 5.5.2.) состоит из:

  • датчиков, прослушивающих сетевой трафик;

  • решающей схемы, принимающей решение о наличии в трафике сетевой атаки;

  • системы реагирования, включающей подсистему оповещения и цепь обратной связи (отключающей сеть и возможно даже компьютеры в критических случаях).

Рис. 5.5.2. Структурная схема системы обнаружения аномалий

Две основные схемы размещения датчиков: на широковещательных сегментах и на рабочих станциях. Размещение датчиков на сегментах сети позволяет видеть целостную картину атаки и централизует систему управления обнаружением. Однако, при этом для подобной схемы требуется порт прослушивания трафика высокой пропускной способности, быстродействующий сервер, на котором функционирует решающая схема, и отсутствует возможность просматривать зашифрованный (например, VPN) трафик.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности