ізу мережі на наявність вразливостей (аудит мережі). p align="justify"> Для вирішення завдання аналізу мережі на наявність вразливостей повинен існувати інструмент, що дозволяє виявляти і аналізувати вразливості мережі і видавати рекомендації щодо їх усунення. Такі інструменти є і називаються вони засобами аналізу захищеності (за кордоном ці кошти називають сканирующим забезпеченням, або просто сканерами, а також сканерами безпеки). p align="justify"> Сьогодні провідні розробники відповідного програмного забезпечення все частіше реалізують мережевий моніторинг і аудит в єдиному виробі (В«в одному флаконіВ»).
У основі моніторингу безпеки лежить аналіз мережевого трафіку. В окремому випадку задача аналізу трафіку вирішується на основі застосування мережевих аналізаторів (аналізаторів протоколів). br/>
1. Мережеві аналізатори
Загальні відомості
Інструментальні засоби, звані мережевими аналізаторами, отримали своє ім'я на честь Sniffer Network Analyzer. Цей продукт був випущений в 1988 році компанією Network General (тепер - Network Associates) і став одним з перших пристроїв, що дозволяють менеджерам буквально не виходячи з-за столу дізнатися про те, що відбувається у великій мережі. Перші аналізатори зчитували заголовки повідомлень у пакетах даних, що пересилаються по мережі, надаючи, таким чином, адміністраторам інформацію про адреси відправників і одержувачів, розмір файлів та інші відомості низького рівня. Причому все це - на додаток до перевірки коректності передачі пакетів. За допомогою графів і текстових описів аналізатори допомагали мережевим адміністраторам провести діагностику серверів, мережевих каналів, концентраторів і комутаторів, а також додатків. Грубо кажучи, мережевий аналізатор прослуховує або "обнюхує" ("sniffs") пакети певного фізичного сегмента мережі. Це дозволяє аналізувати трафік на наявність деяких шаблонів, виправляти певні проблеми і виявляти підозрілу активність. Мережева система виявлення вторгнень є нічим іншим, як розвиненим аналізатором, який зіставляє кожен пакет у мережі з базою даних відомих зразків шкідливого трафіку, аналогічно тому, як антивірусна програма надходить з файлами в комп'ютері. На відміну від засобів, описаних раніше, аналізатори діють на більш низькому рівні. br/>
Якщо звернутися до еталонної моделі ВВС, то аналізатори перевіряють два нижніх рівні - фізичний і канальний.
Номер рівня моделі ВОСНазваніе уровняПрімери протоколовУровень 7Прікладной уровеньDNS, FTP, HTTP, SMTP, SNMP, TelnetУровень 6Уровень представленіяXDRУровень 5Уровень сеансаRPCУровень 4Транспортний уровеньNetBIOS, TCP, UDPУровень 3Сетевой уровеньARP, IP, IPX, OSPFУровень 2Канальний уровеньArcnet, Ethernet, Token ringУровень 1Фізіческій уровеньКоаксіальний кабель, оптоволокно, кручена пара
Фізичний рівень - це реальна фізична проводка чи інша се...
