Брандмауэры

Брандмауэром (firewall) называют систему или комбинацию систем, которые уси­ливают политику безопасности на границе между двумя или более сетями. В качест­ве брандмауэра может выступать маршрутизатор со списками управления доступом, выделенное аппаратное устройство или программное обеспечение, работающее на персональном компьютере или UNIX-системе. Применение брандмауэров особенно важно на границе между сетью предприятия и глобальной сетью Internet.

Обнаружение вторжений в сеть

Под обнаружением вторжений (Intrusion Detection) понимается мониторинг работы се­ти в реальном времени и анализ получаемых данных для нахождения уязвимых мест и регистрации возможных атак на сеть. Также могут быть обнаружены в реальном времени и немедленно пресечены несанкционированные действия внутренних, авторизованных пользователей, такие как попытки передать конфиденциальные документы по сети In­ternet или незаконно изменить привилегии доступа к сети. Аналогичные меры могут быть предприняты против внешнего злоумышленника, пытающегося “взломать” сеть.

Возможность действовать в реальном времени (в противоположность периодиче­скому просмотру файлов регистрации входа в сеть) может значительно уменьшить потенциальные разрушения и затраты на восстановление после атак путем отключе­ния злоумышленника от сети. Эффективная система защиты от вторжений имеет приведенные ниже характеристики.

• Она должна постоянно функционировать без вмешательства человека. Систе­ма должна быть достаточно надежна, чтобы работать в фоновом режиме сис­темы, за которой ведется наблюдение.

• Она должна быть устойчива к ошибкам, т.е. не утрачивать работоспособность в случае сбоев в системе и не требовать повторного построения базы данных при перезагрузке системы.

• Система должна противостоять попыткам вывести ее из строя. Для того, что­бы удостовериться в том, что такие попытки не предпринимаются, система может осуществлять мониторинг себя самой.

• Она должна вызывать минимальный объем передачи по системе служебных данных. Не следует использовать системы, значительно замедляющие работу компьютера.

• Система должна фиксировать отклонения от нормального поведения и не­медленно информировать требуемых лиц в случае ненормального поведения.

• Она должна корректировать свое функционирование в соответствии с изме­нениями в работе сети, происходящими с течением времени в результате до­бавления новых приложений.

Интерес для проектировщика представляет также возможность написать особые правила обнаружения вторжений для специфических целей компании. Возможно, что окажется желательным написать специальные правила обнаружения вторжений для предотвращения передачи по электронной почте документа, помеченного как “конфиденциальный”, за пределы сети или доступа к уязвимым местам для изготов­ленных на заказ или унаследованных систем. Изготовление системы по заказу позво­ляет модифицировать ее для использования практически в любой среде, даже если та­кое использование достаточно необычно для того, чтобы быть включенным в качестве стандартной функции коммерческого продукта.