виявлення атак на рівні хоста можуть стати непоганим вибором. Але якщо ви хочете захистити більшу частину мережевих вузлів організації, то системи виявлення атак на рівні мережі, ймовірно, будуть найкращим вибором, оскільки збільшення кількості вузлів у мережі ніяк не позначиться на рівні захищеності, що досягається за допомогою системи виявлення атак. Вона зможе без додаткового налаштування захищати додаткові вузли, в той час як у випадку застосування системи, що функціонує на рівні хостів, знадобиться її встановлення та налаштування на кожен захищається хост. Ідеальним рішенням стала б система виявлення атак, що об'єднує в собі обидва ці підходи. Існуючі сьогодні на ринку комерційні системи виявлення атак (Intrusion Detection Systems, IDS) використовують для розпізнавання і відбиття атак або мережевий, або системний підхід. У будь-якому випадку ці продукти шукають сигнатури атак, специфічні шаблони, які зазвичай вказують на ворожі чи підозрілі дії. У разі пошуку цих шаблонів у мережевому трафіку, IDS працює на мережевому рівні. Якщо IDS шукає сигнатури атак в журналах реєстрації операційної системи або додатку, то це системний рівень. Кожен підхід має свої переваги і недоліки, але вони обидва доповнюють один одного. Найбільш ефективною є система виявлення атак, яка використовує у своїй роботі обидві технології. У цьому матеріалі обговорюються відмінності в методах виявлення атак на мережевому і системному рівнях з метою демонстрації їх слабких і сильних сторін. Також описуються варіанти застосування кожного із способів для найбільш ефективного виявлення атак.
В
5.3 Захиститися від віддалених атак в мережі Internet
В
Особливість мережі Internet на сьогоднішній день полягає в тому, що 99% відсотків інформаційних ресурсів мережі є загальнодоступними. Віддалений доступ до цих ресурсів може здійснюватися анонімно будь-яким неавторизованим користувачем мережі. Прикладом подібного неавторизованого доступу до загальнодоступних ресурсів є підключення до WWW-або FTP-серверів, в тому випадку, якщо подібний доступ дозволений. Визначившись, до яких ресурсів мережі Internet користувач має намір здійснювати доступ, необхідно відповісти на наступне питання: а чи збирається користувач дозволяти віддалений доступ з мережі до своїх ресурсів? Якщо ні, то тоді має сенс використовувати в якості мережевої ОС "чисто клієнтську" ОС (наприклад, Windows '95 або NT Workstation), яка не містить програм-серверів, що забезпечують віддалений доступ, а, отже, віддалений доступ до даної системи в принципі неможливий, оскільки він просто програмно не передбачений (наприклад, ОС Windows '95 або NT, правда з одним але: під дані системи дійсно немає серверів FTP, TELNET, WWW і т. д., але не можна забувати про вбудовану в них можливість надання віддаленого доступу до файлової системи, так зване поділ (share) ресурсів. А згадавши щонайменше дивну позицію фірми Microsoft по відн...