Файловый архив студентов. Файловый архив студентов.
1262 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
1 Компьютерные системы как среда проведения вторжений и атак.doc
Скачиваний:
25
Добавлен:
30.04.2022
Размер:
2.47 Mб
Скачать
►Содержание►

2. Подходы к выявлению вторжений и атак

2.1. Системы обнаружения вторжений и атак

Защита систем и рабочих сетей с наиболее важной информацией является довольно сложной задачей со многими компромиссами. Эффективность любого стратегического решения зависит от правильного выбора продуктов с правильной комбинацией характеристик для той среды, которую вы хотите защитить [84].

Системы обнаружения атак помогают КС подготовиться к атакам и противостоять им. Они собирают информацию с целого ряда точек внутри информационных систем и сетей, и анализируют эту информацию на наличие проблем с защитой. Системы поиска уязвимостей проверяют системы и сети на наличие системных проблем и ошибок конфигурации, которые представляют уязвимости защиты. Как технология анализа уязвимостей, так и технология обнаружения атак позволяют организациям защищать свои ресурсы от потерь, связанных с проблемами сетевой защиты [15].

Функции систем обнаружения

Системы обнаружения атак выполняют целый ряд функций, которые представлены на рис. 2.1.

Комбинация этих характеристик позволяет системным администраторам более эффективно осуществлять мониторинг, аудит и анализ систем и сетей. Эта непрерывная деятельность по анализу и аудиту является необходимой частью стандартной практики по управлению защитой [86].

Рис. 2.1. Функции систем обнаружения атак

2.2. Области применения систем обнаружения атак

Управление сетевой защитой - процесс, при котором определяется и поддерживается политика безопасности, процедуры и методы, необходимые для защиты сетевых ресурсов. Системы обнаружения атак и поиска уязвимостей предоставляют возможности, необходимые, как часть стандартной практики по управлению сетевой защитой.

Наиболее распространенный вопрос, - каким образом система обнаружения атак дополняет МСЭ. Один способ охарактеризовать разницу заключается в том, чтобы предоставить классификацию нарушений защиты по ИСТОЧНИКУ атаки, независимо от того, исходят они с внешней или с внутренней стороны сети организации. МСЭ действуют в качестве барьера между корпоративными (внутренними) сетями и внешним миром (сетью Internet) и фильтруют входящий трафик согласно установленной политики безопасности [89].

Это очень важная характеристика и, вероятно, можно было бы обеспечить достаточный уровень защищенности, если бы не следующие факты:

Через МСЭ не обеспечивается полноценного доступа к сети Internet. Пользователи, по целому ряду причин, иногда по наивности, иногда из-за нетерпения, реализуют несанкционированные модемные соединения между своими системами, подключенными к внутренней сети и внешнему ISP или другими путями подключаются к сети Internet. МСЭ не может устранить риск, связанный с такими соединениями, поскольку он их никогда "не видит".

Не всегда угрозы идут только с внешней стороны МСЭ. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей. Еще раз необходимо повторить, что МСЭ только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через МСЭ, то МСЭ не находит никаких проблем [84].

Поскольку большинство организаций используют шифрование для защиты файлов и внешних сетевых соединений (VPN), фокус противника будет сдвигаться к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, т.е. к внутренней сети. Таким образом, системы обнаружения атак станут еще более важными при развертывании инфраструктур защиты [94].

МСЭ часто сами являются объектами атаки. Атаки и стратегии обхода МСЭ широко известны с тех пор, как появились первые МСЭ. Наиболее распространенная стратегия атаки заключается в том, чтобы использовать ТУННЕЛИРОВАНИЕ для обхода МСЭ. Туннелирование является методом инкапсуляции сообщения одного протокола (который может быть блокирован фильтрами МСЭ) внутри второго (другого) протокола

Есть еще один аспект для обсуждения, когда рассматривается важность систем обнаружения атак, это - необходимость мониторинга остальной инфраструктуры защиты. МСЭ, системы идентификации и аутентификации, системы разграничения доступа, виртуальные частные сети, СКЗИ и антивирусные системы - все они выполняют существенно важные функции по защите системы. Однако, играя такие жизненно важные роли, они являются главными целями хакерских атак. Не менее зловещим является и то, что эти системы управляются простыми смертными и, следовательно, также подвержены человеческим ошибкам. Вследствие нарушения конфигурации, полного выхода из строя или атаки, отказ любого из этих компонентов инфраструктуры защиты подвергает опасности защиту всех систем, которые они охраняют. Путем мониторинга журналов регистрации, генерируемых этими системами, а также при помощи мониторинга активности системы на предмет наличия атак, системы обнаружения атак предоставляют дополнительную возможность оценки целостности остальной части инфраструктуры защиты. Системы анализа защищенности также допускают проверку новых конфигураций инфраструктуры защиты на предмет "брешей" и упущений, которые могут привести к нарушениям политики безопасности [95].

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности