А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
214<br />
исходящего будет безошибочно идентифицирован. <strong>В</strong> регистрационных журналах этой<br />
системы присутствуют описания выданных предупреждений, но нет их идентификаторов.<br />
<strong>А</strong>дминистратор видит адреса портов, к которым относились подозрительные запросы,<br />
либо параметры других операций, но не получает никакой информации о том,<br />
что же все это может означать.<br />
Отмеченное обстоятельство значительно снижает ценность сообщений, выдаваемых<br />
в режиме реального времени, поскольку невозможно сразу сообразить, отражает<br />
ли описание события реальную угрозу системе безопасности или это всего лишь попытка<br />
провести более тщательный анализ трафика. Иными словами, покупать названные<br />
продукты имеет смысл лишь в том случае, если в штате вашей организации есть<br />
опытные специалисты по информационной безопасности.<br />
Программное обеспечение eTrust Intrusion Detection корпорации Computer<br />
Associates представляет собой нечто большее, чем просто систему мониторинга сетевой<br />
активности и выявления хакерских атак. Этот продукт способен не только декодировать<br />
пакеты различных протоколов и служебный трафик, но и перехватывать их для<br />
последующего вывода на управляющую консоль в исходном формате. Система осуществляет<br />
мониторинг всего трафика TCP/IP и предупреждает администратора о случаях<br />
нарушения установленных стратегий в области информационной безопасности.<br />
Правда, эта разработка не поддерживает такого же уровня детализации наборов правил,<br />
как Intruder Alert.<br />
Однако детектирование попыток несанкционированного доступа и выдача предупреждающих<br />
сообщений — это только полдела. Программные средства сетевой защиты<br />
должны остановить действия хакера и принять контрмеры. <strong>В</strong> этом смысле наилучшее<br />
впечатление производят пакеты Intruder Alert и Centrax, те самые, что вызвали<br />
немалые нарекания по части настройки конфигурации. Если программы фирмы Network<br />
ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder<br />
Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies<br />
можно настроить таким образом, что оно будет запускать тот или иной командный<br />
файл в зависимости от характера зарегистрированных событий, скажем перезагружать<br />
сервер, который подвергся атаке, приводящей к отказу в обслуживании.<br />
Отразив атаку, хочется сразу перейти в контрнаступление. Приложения Black-ICE<br />
и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполняются<br />
после прослеживания всего пути до «логовища», где затаился неприятель. <strong>В</strong>озможности<br />
программного обеспечения BlacklCE особенно впечатляют, когда дело доходит<br />
до выявления источника атаки, расположенного внутри или вне сети: несмотря<br />
на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.<br />
<strong>А</strong> вот система eTrust поражает степенью проникновения в характер деятельности<br />
каждого пользователя сети, зачастую даже не подозревающего о том, что он находится<br />
под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее<br />
полную (и, пожалуй, наиболее точную) информацию о злоумышленниках, даже о том,<br />
где они находятся.<br />
Приложение Centrax способно создавать так называемые файлы-приманки, присваивая<br />
второстепенному файлу многозначительное название вроде «<strong>В</strong>едо-MocTb.xls»<br />
и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алгоритм<br />
представляется нам слишком прямолинейным, но и он может сослужить непло-