А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
210<br />
;<br />
на несколько IP-пакетов. Чтобы не попасться на эту удочку, убедитесь, что детектор атак<br />
в состоянии собирать фрагменты пакетов для анализа сигнатур в реальном времени.<br />
<strong>В</strong>торая проблема состоит в добавлении злоумышленником ложных пакетов в TCPдиалог.<br />
Несмотря на то, что конечный хост просто отвергнет лишний пакет, детектор<br />
атак попытается его проанализировать. Если конечный хост проверяет порядковый<br />
номер TCP, дабы убедиться, что пакеты транспортного уровня прибывают в правильном<br />
порядке, то детектор вторжений, как правило, эту последовательность не отслеживает<br />
и примет за реальные такие фальшивые пакеты, как запрос на прерывание соединения.<br />
При получении фальшивого запроса на закрытие (типа TCP FIN), детектор<br />
будет игнорировать все остальные пакеты в данном потоке, поскольку он будет уверен,<br />
что конечный хост тоже их игнорирует. (Он считает, что соединение уже было<br />
закрыто.)<br />
Проявляющиеся сейчас в области межсетевых взаимодействий тенденции потребуют,<br />
вероятно, серьезного пересмотра механизма современных систем выявления атак.<br />
Технологии виртуальных частных сетей предусматривают внедрения пакетов внутрь<br />
других пакетов, а технология шифрования делает практически невозможными проникновение<br />
в эти пакеты и проверку сигнатуры атаки.<br />
Кроме того, сетевые шлюзы все чаще и чаще рассчитаны на коммутацию пакетов<br />
более высоких уровней со скоростью их поступления и принимают решения о направлении<br />
пакетов на основе лишь определенных фрагментов в заголовке пакета. <strong>В</strong>ыявление<br />
атак станет, скорее всего, серьезным препятствием на пути повышения скорости<br />
коммутаторов до многих гигабит. Производители признают, что они больше не в состоянии<br />
предлагать порт для перехвата всех пакетов без значительного снижения производительности<br />
коммутирующего оборудования. Одно из возможных решений этой<br />
проблемы состоит в реализации распределенных систем выявления атак с несколькими<br />
коллекторами с единой высокопроизводительной базой данных, сервер которой<br />
имеет достаточную производительность для консолидации всей информации практически<br />
в реальном времени. С другой стороны, производители сетевого оборудования<br />
могли бы встраивать некоторый небольшой по размеру (хотелось бы надеяться, что<br />
стандартный) код выявления атак в архитектуру коммутаторов.<br />
Развертывание эффективных систем выявления атак представляет собой сложную<br />
задачу, но она кажется тривиальной по сравнению с тем временем и усилиями, которые<br />
вам придется потратить, чтобы обеспечить ту отдачу, на которую рассчитывала<br />
ваша компания, в том числе на предпродажные исследования и постоянные модернизации<br />
сигнатур атак. <strong>А</strong>дминистратору систем защиты не стоит ждать легкой жизни,<br />
но он, безусловно, будет спокойнее спать, зная, что в вечно бодрствующем мире Internet<br />
корпоративная сеть имеет недремлющего стража.<br />
Программы обнаружения сетевых атак<br />
Злоумышленники редко бесцеремонно вторгаются в сеть с «оружием» в руках. Они<br />
предпочитают проверить, надежны ли запоры на двери и все ли окна закрыты. Они<br />
незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из нее,<br />
отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные отдельным<br />
пользователям и сетевым устройствам.