НА БАГАХ В CHROME - Xakep Online

Новые доспехи для IT-инфраструктурырующий запросы к PHP-приложениям, Mod_Security, защищающийвеб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQLкоманды(см. статью «Последний рубеж» в ][_12_2010).Сетевые NIDS (Network Intrusion Detection System) более универсальны,что достигается благодаря технологии DPI (Deep PacketInspection, глубокое инспектирование пакета). Они контролируютне одно конкретное приложение, а весь проходящий трафик, начинаяс канального уровня.Для некоторых пакетных фильтров также реализована возможность«заглянуть внутрь» и блокировать опасность. В качестве примераможно привести проекты OpenDPI (www.opendpi.org) и Fwsnort(cipherdyne.org/fwsnort). Последний представляет собой программудля преобразования базы сигнатур Snort в эквивалентные правилаблокировки для iptables. Но изначально файервол заточен поддругие задачи, да и технология DPI «накладна» для движка, поэтомуфункции по обработке дополнительных данных ограничены блокировкойили маркированием строго определенных протоколов. IDSвсего лишь помечает (alert) все подозрительные действия. Чтобызаблокировать атакующий хост, администратор самостоятельноперенастраивает брандмауэр во время просмотра статистики. Естественно,ни о каком реагировании в реальном времени здесь речине идет. Именно поэтому сегодня более интересны IPS (IntrusionPrevention System, система предотвращения атак). Они основанына IDS и могут самостоятельно перестраивать пакетный фильтрили прерывать сеанс, отсылая TCP RST. В зависимости от принципаработы, IPS может устанавливаться «в разрыв» или использоватьзеркалирование трафика (SPAN), получаемого с нескольких сенсоров.Например, в разрыв устанавливается Hogwash Light BR (hlbr.sf.net), которая работает на втором уровне OSI. Такая система можетне иметь IP-адреса, а значит, остается невидимой для взломщика.В обычной жизни дверь не только запирают на замок, но и дополнительнозащищают, оставляя возле нее охранника, ведьтолько в этом случае можно быть уверенным в безопасности. В ITв качестве такого секьюрити выступают хостовые IPS (см. «Новыйоборонительный рубеж» в ][_08_2009), защищающие локальнуюсистему от вирусов, руткитов и взлома. Их часто путают с антивирусами,имеющими модуль проактивной защиты. Но HIPS, как правило,не используют сигнатуры, а значит, не требуют постоянногообновления баз. Они контролируют гораздо больше системныхпараметров: процессы, целостность системных файлов и реестра,записи в журналах и многое другое.Чтобы полностью владеть ситуацией, необходимо контролироватьи сопоставлять события как на сетевом уровне, так и на уровнехоста. Для этой цели были созданы гибридные IDS, которыеколлектят данные из разных источников (подобные системычасто относят к SIM — Security Information Management). СредиС Suricata можно использовать все наработки к Snort, например SnorbyХАКЕР 02 /157/ 2012 127