Подведем итоги

• системы обнаружения атак востребованы в сетях, где производится обработка ценной информации, так как почти всегда существуют уязвимости, известные только узкому кругу злоумышленников

• существуют два основных принципа обнаружения сетевых атак: поиск по сигнатурам знает только заложенные в него описания атак, но не имеет ложных срабатываний, поиск аномалий может обнаруживать и неизвестные ранее атаки, но в некоторых случаях дает "ложную тревогу"

• функциональность СОА может изменять, применяя различные схемы размещения датчиков и различные алгоритмы реагирования на атаку

вопросы для самоконтроля

1. Сведите в таблицу все преимущества и недостатки поиска по сигнатурам и по аномалиям. Заполните в ней самостоятельно следующие свойства СОА: быстродействие, точность, возможность однозначно определить пакет, содержащий атаку.

2. Какой параметр СОА ухудшается при жестком задании границ аномальных зон производителем СОА ?

3. В каких сферах применения информационных технологий сеть организации при обнаружении атаки лучше отключить, а в каких это делать нельзя ? Приведите по несколько примеров.

Обеспечение доступности в сетях

В результате изучения данной темы Вы будете знать:

• как осуществляется резервирование систем в компьютерных сетях на физическом, канальном, сетевом и прикладном уровнях;

• как осуществляется резервирование данных в момент передачи их по сетям.

Основным решением любой задачи обеспечения доступности информации является либо дублирование и резервирование систем, либо дублирование данных. Наибольшего внимания при этом требует обеспечение совместимости с уже существующими протоколами и запущенными системами. При внесении дополнительного (резервного или дублирующего) оборудования не должны изменяться свойства основного канала передачи данных. В идеальном случае о существовании резервирования пользователь вообще не знает – это забота только администратора сети.

Рассмотрим применяемые на сегодняшний день в сетях методы резервирования систем в соответствии с уровнями сетевой модели OSI.

Первый, физический уровень резервирования является, пожалуй, единственным для которого полностью прозрачное резервирование невозможно. Здесь решение может быть только одно – компьютер должен быть физически подключен к двум разным сетям. С повсеместным переходом к топологии Ethernet это означает наличие двух Ethernet-разъемов на материнской плате (и это стало уже стандартом для серверов), которые подключаются к двум разным коммутаторам.

На канальном уровне, отвечающем за доступ станций к общему сегменту, резервирование возможно только для сред с множественным доступом (например, в протоколе Ethernet). При этом само резервирование состоит в расположении в одном сегменте сразу нескольких шлюзов в другую сеть.

На сегодняшний день очень небольшая доля сетевых рабочих станций оснащена протоколами резервирования канального уровня, поэтому производители сетевого оборудования пошли по другому пути:

• в качестве единственного шлюза на рабочих станциях указывается виртуальный (несуществующий) сетевой адрес;

• те шлюзы, которые имеют возможность доставить пакет в заданную сеть, определяют между собой "кто из них" будет фактически осуществлять доставку;

• выбранный временно основным шлюз сообщает всем рабочим станциям (в сети Ethernet – по протоколу ARP), что на нем установлен тот самый виртуальный адрес, на который необходимо отправлять пакет в желаемую сеть.

Группа шлюзов постоянно проверяет работоспособность выбранного основного шлюза и в случае выхода его из строя за несколько секунд переназначает другой шлюз основным. Для рабочих станций весь процесс является прозрачным – они знают только виртуальный адрес шлюза и не имеют информации о том, через который реальный шлюз проходят их сетевые пакеты.

На сегодняшний день существуют два альтернативных протокола подобного резервирования с равными возможностями – HSRP (запатентован в 1994 году компанией Cisco) и VRRP (запатентован в 1998 году группой компаний: IBM, DEC, Microsoft и др.).

На сетевом уровне за резервирование отвечают протоколы динамической маршрутизации – один из первичных путей сетевого резервирования. Под динамической маршрутизацией понимается заложенная в сетях возможность менять путь следования сетевого пакета при том условии, что в итоге он все же будет доставлен получателю (рис. 5.6.1).

Рис. 5.6.1. Возможные пути следования пакета в сети

Пример

Построим трассу следования по сети пакета от одного из маршрутизаторов фирмы Golden Telecom в Санкт-Петербурге до поискового WWW-сервера фирмы Google. Для операционной системы Microsoft Windows используем встроенную команду tracert

tracert -d google.com

с интервалом в час.

212.44.131.1 212.44.131.1

212.44.131.121 212.44.131.121

194.186.157.249 194.186.157.249

166.63.220.93 166.63.220.93

166.63.220.129 166.63.220.145

208.173.216.25 208.173.216.25

195.2.10.178 195.2.10.178

208.173.211.233 208.173.211.233

208.173.209.198 208.173.209.202

208.173.220.134 208.173.220.152

208.173.212.46 208.173.212.46

193.251.243.21 193.251.243.21

193.251.241.242 193.251.241.242

64.233.175.106

216.239.46.137

216.239.46.34 216.239.48.193

64.233.174.130 64.233.174.130

216.239.48.110 216.239.48.110

216.239.37.99 216.239.37.99

Отметим, что на трех этапах пути следования пакета произошли изменения в списке маршрутизаторов. Причем в последнем случае путь сократился на 2 маршрутизатора (по-видимому, во время первого прохождения трассы маршрутизатор 216.239.48.193 был в нерабочем состоянии).

Наиболее распространены следующие протоколы динамической маршрутизации:

• RIP и OSPF для сетей небольшого размера (до 100 узлов);

• BGP для глобальных компьютерных сетей (в т.ч. лежит в основе маршрутизации в Интернет).

Протокол RIP является морально устаревшим и постепенно выходит из эксплуатации

Все протоколы динамической маршрутизации построены на принципе постоянного опроса узлами сети (межсетевыми шлюзами) соседних узлов и проверки непосредственно подключенных к ним каналов. Если в сети обнаруживаются изменения, связанные, например, с выходом шлюза из строя или появлении более коротких путей при запуске новых узлов, все маршрутизаторы по цепочке обмениваются этой информацией. После ее получения каждый шлюз пересчитывает кратчайшие маршруты к известным ему сетям и при необходимости изменяет направления потоков сетевых пакетов.

С учетом вышеизложенного, схема с резервированием всех трех нижних уровней сетевых протоколов будет выглядеть следующим образом – см. рис. 5.6.2. Подобные схемы широко используются при подключении серверов, связанных с круглосуточным обеспечением технологических и бизнес- процессов.

Рис.5.6.2. Три уровня резервирования.

Из схем сетевого резервирования более высоких уровней следует отметить заложенную в протоколе DNS возможность возвращать на один и тот же DNS-запрос различные IP-адреса, а на MX-запрос электронной почты – список почтовых серверов данного домена в порядке убывания их приоритета.

Пример

Получим список резервных почтовых серверов для почтовой службы Rambler (адреса вида "__@r0.ru"). Для операционной системы Microsoft Windows используем встроенную команду nslookup.

D:\>nslookup

> set type=MX

> r0.ru

r0.ru MX preference = 20, mail exchanger = relay1.rambler.ru

r0.ru MX preference = 10, mail exchanger = relay.rambler.ru

Как видим, при MX-записи говорят о том, что при попытке отправить почту адресату с адресом "@r0.ru" необходимо сначала попытаться подключиться к серверу relay.rambler.ru , а при неудаче – к серверу relay1.rambler.ru .

Подход к обеспечению доступности информации на основе дублирования данных в сетях применяется обычно в виде сохранения на передающем узле резервной копии пакета и повторной отправки ее в случае необходимости.

На физическом и канальном уровнях повторной отправкой занимается аппаратное обеспечение, поддерживающее обычно небольшой буфер в тех протоколах, которые могут получать от удаленной стороны подтверждение об успешной доставке.

На сетевом уровне подобными возможностями ранее обладали многие распространенные протоколы (например, X.25). Но с увеличением объемов передаваемой информации поддержка буферов пакетов на сетевых узлах стала экономически неэффективной. Поэтому в стеке протоколов TCP/IP подтверждение доставки было перенесено на транспортный уровень (в протокол TCP). По этой схеме буфер, дублирующий пакеты, теперь располагается только на станции-отправителе, и при потере пакета повторно отправляется заново через всю сеть.

На прикладном уровне возможность проверки успешности доставки и повторной отправки в случае ошибки заложена во многие протоколы и сетевые программы (например, при передаче файлов, гипертекста, электронной почты, служебных запросов).