Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Средства обнаружения сетевых атакСодержание книги
Поиск на нашем сайте
Повысить уровень защищенности корпоративной сети можно с помощью средств обнаружения вторжений (Intrusion Detection). -Средства обнаружения вторжений хорошо дополняют защитные функции межсетевых экранов. Если межсетевые экраны стараются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, то средства обнаружения вторжений анализируют результирующий (то есть прошедший через межсетевой экран или созданный внутренними источниками) трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или действия, которые могут классифицироваться как потенциально опасные (подозрительные). -Средства обнаружения вторжений могут также использоваться и в незащищенных сегментах, например, перед межсетевым экраном, для получения общей картины об атаках, которым подвергается сеть извне. -Средства обнаружения вторжений автоматизируют такие необходимые элементы деятельности администратора системы безопасности, как: -регулярный анализ событий, связанных с доступом к ресурсам, по данным журналов аудита; -выявление атак и подозрительной активности; -выполнение ответных действий - реконфигурация средств защиты (межсетевых экранов, настроек операционных систем и т.п.) для пресечения подобных атак в будущем. - Для выполнения своих функций средства обнаружения вторжений обычно используют экспертные системы и другие элементы искусственного интеллекта (например, подсистему самообучения). База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак и постоянно пополняться. - Средства обнаружения вторжений могут обнаружить атаку в реальном времени, анализируя реальный трафик в сети, а не журнал аудита. В этом случае желательным свойством такой системы будет тесная интеграция с межсетевым экраном для немедленного блокирования трафика злоумышленника. - Средства обнаружения вторжений должны учитывать тенденции развития технологий корпоративных сетей - наличие большого количества коммутируемых сегментов, логическую структуризацию сети на основе VLAN, защиту внутреннего трафика с помощью VPN и т.п. Только в этом случае анализ трафика будет полным, а защищенность сети - высокой. - Еще одним важным требованием к средствам обнаружения вторжений является их масштабируемость, которая требуется для выполнения эффективного контроля в условиях постоянно увеличивающего количества сегментов и подсетей, а также количества защищаемых узлов в корпоративной сети. Пример средства обнаружения атак. Система обнаружения атак RealSecure ™ разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. - Имеет интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы корпоративной сети. - Система построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) и ориентирована на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host- based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut. - Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. - Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи. Компоненты системы RealSecure: - RealSecure Detector - отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле. - Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module). Возможности системы RealSecure: -большое число распознаваемых атак; -задание шаблонов фильтрации трафика; -централизованное управление модулями слежения; -фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP; -фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя; -различные варианты реагирования на атаки; -аварийное завершение соединения с атакующим узлом; -управление межсетевыми экранами и маршрутизаторами; -задание сценариев по обработке атак; -генерация управляющих SNMP-последовательностей для управления системами HP OpenView(r), IBM NetView(r) и Tivoli TME10(r); -запись атаки для дальнейшего воспроизведения и анализа; -поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring; -отсутствие требования использования специального аппаратного обеспечения; -работа с различными Cryptographic Service Provider; -установление защищенного соединения между компонентами системами, а также другими устройствами; -наличие всеобъемлющей базы данных по всем обнаруживаемым атакам; -отсутствие снижения производительности сети; -работа с одним модулем слежения с нескольких консолей управления; -мощная система генерация отчетов; -использование протокола ODBC; -простота использования и интуитивно понятный графический интерфейс; -невысокие системные требования к программному и аппаратному обеспечению. Система RealSecure™ позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Основные типы контролируемых событий: - "Отказ в обслуживании" (Denial of service) - любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п. - "Неавторизованный доступ" (Unauthorized access attempt) - любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п. - "Предварительные действия перед атакой" (Pre-attack probe) - любое действие или последовательность действий по получению информации из или о сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п. - "Подозрительная активность" (Suspicious activity) - сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п. - "Анализ протокола" (Protocol decode) - сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.
|
||||
Последнее изменение этой страницы: 2016-04-26; просмотров: 314; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.118.24.228 (0.009 с.) |