А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Глава 3. Основные пути обеспечения безопасности информации 209<br />
за нехватки специалистов по защите все больший интерес в отрасли вызывают автоматизированные<br />
системы реакции на атаку, с помощью которых система выявления атак<br />
может сразу предпринять оборонительные (или, по крайней мере, сдерживающие) меры<br />
в ответ на вторжение.<br />
Распространенная ошибка при проектировании автоматизированных систем реакции<br />
на атаку состоит в том, что такие системы часто делают именно то, на что рассчитывает<br />
злоумышленник.<br />
К примеру, рассмотрим политику защиты, при которой система выявления атак<br />
отфильтровывает адрес отправителя, с которого, по имеющейся информации, производится<br />
сканирование портов хостов в вашей сети. <strong>В</strong> действительности злоумышленник<br />
достаточно просто может выдать себя за другой хост (подделав IP-адрес), что, в<br />
конечном итоге, приведет к фильтрации пакетов ни в чем не повинного хоста (возможно,<br />
одного из ваших партнеров по бизнесу или, хуже того, потенциального заказчика).<br />
<strong>В</strong> этом случае злоумышленник, по сути, использует вашу автоматизированную систему<br />
противодействия для проведения атаки по типу «отказ в обслуживании» и против<br />
вашей сети, и против хоста, за который он себя выдает.<br />
<strong>В</strong>место того чтобы отказывать в доступе подозреваемому в организации атаки, часто<br />
полезнее получить больше информации о хосте, с которого производится атака:<br />
можно попытаться отследить маршрут до хоста организатора атаки, провести обратный<br />
поиск DNS по IP-адресу злоумышленника, постараться выяснить тип хоста (определить<br />
тип ОС) и установить провайдера Internet инициатора вторжения.<br />
Собранная информация позволит принять более взвешенное решение о том, что<br />
следует сделать: отказать в доступе по всему периметру, предупредить администратора<br />
или просто зарегистрировать событие как подозрительное. Не забудьте записать<br />
всю собранную информацию (предпочтительно через Syslog) на удаленный хост, где<br />
эти данные можно сохранить на вторичной системе хранения.<br />
Целостность журналов и других критически важных системных файлов может быть<br />
гарантирована с помощью инструментальных средств обеспечения целостности системных<br />
файлов. Этот инструментарий периодически вычисляет контрольные суммы<br />
для данных, находящихся в журналах регистрации, хранимых в безопасном месте.<br />
Контрольные суммы затем регулярно пересчитываются и сравниваются с оригиналом,<br />
обеспечивая таким образом неповрежденность журнальных файлов.<br />
Кроме того, ваша политика защиты должна предусматривать периодический анализ<br />
журналов для выявления подозрительной активности. <strong>А</strong>нализ файлов регистрации<br />
и синтаксический разбор в реальном времени позволяют проводить целый ряд<br />
соответствующих инструментальных средств (как коммерческих, так и свободно распространяемых).<br />
Они способны помочь администратору систем защиты в решении<br />
этой рутинной задачи.<br />
При реализации технологии выявления атак администраторы систем защиты должны<br />
помнить о двух основных ее недостатках:<br />
G маскировки (evasion);<br />
ГД вставки (insertion).<br />
Сетевые детекторы используют стандартные или определенные пользователями сигнатуры,<br />
которые они пытаются обнаружить в передаваемых по сети пакетах. Однако опытный<br />
злоумышленник может замаскировать сигнатуру своей атаки, разбив один TCP-пакет