А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
208<br />
ний (например, серверы Web, электронной почты и баз данных) в поисках подозрительных<br />
шаблонов и для анализа сообщений из журналов приложений.<br />
Детекторы атак на приложения постоянно проверяют журнальные файлы и системные<br />
переменные в поисках готовящейся атаки. Хотя они представляют собой полезные,<br />
нужные механизмы, ориентированные на приложения системы трудны в управлении<br />
и реализации, так как критически важным сетевым приложениям каждого<br />
вида требуется своя система выявления атак. Они должны стать последним рубежом<br />
защиты от тех изощренных атак, которые их инициаторы сумели достаточно хорошо<br />
замаскировать, чтобы обмануть системы выявления атак на сеть и хосты.<br />
Идея установки программного обеспечения выявления атак на маршрутизаторах всегда<br />
воспринималось со значительной долей скепсиса, так как проверка каждого пакета в<br />
поисках сигнатуры атаки обычно отнимает значительную часть общей производительности<br />
маршрутизатора. Однако маршрутизаторы обладают прекрасной возможностью<br />
распознавания и предотвращения атак еще до того, как они проникнут внутрь корпоративной<br />
сети, где ущерб от них может оказаться намного существеннее.<br />
Реализованная на маршрутизаторе простая методика фильтрации позволяет гарантировать,<br />
что ваша компания не станет стартовой точкой для организации атаки DDoS.<br />
Применяемые при этом так называемые выходные фильтры представляют собой набор<br />
правил для проверки исходящих пакетов и анализа адресов их отправителей. Поскольку<br />
используемые с внутренней стороны краевого маршрутизатора сетевые адреса,<br />
как правило, известны, маршрутизаторы могут отфильтровывать пакеты, чьи адреса<br />
отправителей не соответствуют их сетям.<br />
Это позволяет фильтровать потенциально подделанный трафик, обычно наблюдаемый,<br />
когда злоумышленники захватывают ничего не подозревающий хост и отправляют<br />
с него пакеты на выбранную ими цель где-нибудь в Internet. <strong>М</strong>ногие провайдеры<br />
стали реализовывать выходные фильтры на всем управляемом ими оборудовании в<br />
помещениях заказчика (Customer Premises Equipment, CPE).<br />
Как только вы выбрали аппаратное и программное обеспечение для обнаружения<br />
атак, следующий шаг в реализации эффективной системы выявления атак — составление<br />
диаграммы всей сети, в которой четко указаны пять элементов:<br />
U отдельные сетевые сегменты;<br />
G границы сегментов;<br />
Q заслуживающие и не заслуживающие доверия объекты;<br />
Q все серверы (хосты) и службы, работающие на каждом хосте;<br />
О списки контроля доступа ACL (Access Control List) на границе каждого сегмента<br />
и на каждом сервере.<br />
Отдельные сетевые сегменты — к примеру, от маршрутизатора к маршрутизатору,<br />
вместе со списком сетевых протоколов и типичной нагрузкой, которая, по вашему<br />
мнению, будет характерна для каждого сегмента.<br />
Границы сегментов — это маршрутизаторы, коммутаторы и брандмауэры.<br />
Заслуживают и не заслуживают доверия известные локальные и удаленные пользователи,<br />
партнеры по бизнесу, анонимные пользователи и потенциальные клиенты электронной<br />
коммерции.<br />
И число инцидентов, и диапазон злонамеренных сетевых атак продолжают расти, в<br />
силу чего время реакции на подобные инциденты становится критически важным. Из-