А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
206<br />
предприняты соответствующие действия. Например, если в два часа дня в воскресенье<br />
уровень загруженности вашего сегмента в демилитаризованной зоне (Demilitarized<br />
Zone, DMZ) внезапно увеличивается до 80%, причем 90% пакетов этого трафика являются<br />
эхопакетами протокола управляющих сообщений ICMP (Internet Control Message<br />
Protocol) на запросы от различных источников, то весьма вероятно, что ваша сеть подверглась<br />
атаке DDoS.<br />
Большая часть систем выявления атак использует сочетание обеих методик, и они<br />
часто устанавливаются в сети, на конкретном хосте или даже для конкретного приложения<br />
на хосте.<br />
Наверное, самое очевидное место для размещения системы выявления атак — непосредственно<br />
в том сегменте, контроль за которым вы хотите установить. Сетевые<br />
детекторы атак устанавливаются в сети точно так же, как и любое другое устройство,<br />
за исключением того, что они проверяют все пакеты, которые видят. Хотя системы<br />
выявления атак достаточно просты в реализации и развертывании, они все же не лишены<br />
недостатков, о которых стоит упомянуть.<br />
<strong>В</strong>о-первых, действительно разделяемые сегменты (на базе концентраторов, а не<br />
коммутаторов) сейчас встречаются довольно редко, т. е. для мониторинга всей подсети<br />
одного датчика недостаточно. <strong>В</strong>место этого системы выявления атак должны быть<br />
интегрированы в определенный порт коммутаторов Ethernet (с поддержкой режима<br />
приема всех пакетов), что не всегда возможно, даже если такой порт имеется.<br />
Кроме того, при обслуживании всего сегмента одной системой выявления атак она<br />
становится уязвимой для атаки DDoS. Если злоумышленник сможет вывести из строя<br />
сам детектор, то он получает полную свободу действий и может проникнуть в подсеть,<br />
не опасаясь быть обнаруженным. Об этой опасности всегда следует помнить при<br />
проектировании и установке хоста для своей системы выявления атак. Как и брандмауэр,<br />
такая система не должна:<br />
Q содержать пользовательские бюджеты, за исключением привилегированного пользователя<br />
(root/Administrator); поддерживать необязательные сетевые службы;<br />
О предлагать никакой вид интерактивного сетевого доступа (доступ возможен только<br />
через консоль);<br />
U работать под управлением малоизвестной, нестандартной операционной системы.<br />
Если система выявления атак размещается на стандартной многозадачной, многопользовательской<br />
системе, то это должен быть укрепленный вариант операционной<br />
системы, где не инициируется (и не размещается) большинство пользовательских процессов,<br />
чтобы она могла обеспечить необходимую производительность для проверки<br />
каждого пакета по мере их поступления. Это освобождает машину от необязательной<br />
нагрузки по обработке и позволяет сосредоточиться на выполнении поставленной задачи.<br />
Если ваша политика защиты такова, что злонамеренное вторжение будет иметь<br />
серьезные негативные последствия для вашего бизнеса, то рекомендуется установить<br />
избыточные системы выявления атак. <strong>В</strong> идеале эти системы нужно приобретать у двух<br />
производителей или, по крайней мере, устанавливать на двух различных платформах.<br />
Смысл в том, чтобы не класть все яйца в одну корзину. (Конечно, концепция избыточности<br />
применима ко всем подобным системам.)