ого до Інтернет, щоб запобігти проникненню несанкціонованого трафіку в корпоративну мережу. При використанні у Інтернет-провайдера така фільтрація не дозволяє передавати по каналах WAN пакети DDoS, що використовують ці адреси в якості джерел, що в принципі має захистити смугу пропускання в разі атаки. Якби всі Інтернет-провайдери світу слідували рекомендаціям RFC 2827, загроза спуфинга вихідних адрес втратила б свою гостроту. Хоча подібна стратегія не дає стовідсоткового захисту від атак типу DDoS, вона не дозволяє хакерам маскувати джерело атаки, що значно полегшує пошук атакуючої мережі. p align="justify"> Мета - програми
Вихідні коди додатків, як правило, пишуться людьми і тому неминуче містять помилки.
Помилки можуть бути дрібними (наприклад помилки, що виникають при роздруківці документів) або дуже неприємними (наприклад, в результаті помилки номер вашої кредитної картки, що зберігається в базі даних, може стати доступним по протоколу FTP для анонімного користувача ). На виявлення помилок другого типу, а також інших слабкостей більш загального характеру і націлені системи виявлення вторгнень (intrusion detection system - IDS), які діють як системи попередження. Коли IDS виявляє щось схоже на атаку, вона може вжити самостійні дії або повідомити систему управління, щоб відповідні дії міг вжити мережевий адміністратор. Деякі системи такого типу забезпечуються більш-менш ефективними засобами реагування та відбиття атак. Системи виявлення атак, що працюють на хостах (host-based IDS - HIDS), можуть перехоплювати виклики операційних систем та програм на окремому хості. Крім того, вони можуть згодом проводити аналіз локальних лог-файлів. Перехоплення дозволяє краще запобігати атаки, а аналіз являє собою пасивний засіб реагування. Специфіка хост-систем (HIDS) робить їх більш ефективними для запобігання атак деяких типів у порівнянні з мережевими системами NIDS (network IDS), які зазвичай видають сигнал тривоги тільки після виявлення атаки. Однак та ж специфіка не дає хост-системам загальносітьового перспективи, якій повною мірою володіють системи NIDS. Тому Cisco рекомендує поєднувати системи обох типів і розміщувати HIDS на критично важливих хостах, а NIDS - для спостереження за всією мережею. У результаті такого поєднання виникає повномасштабна система виявлення атак. p align="justify"> Після установки системи необхідно налаштувати її, щоб підвищити ефективність і скоротити число помилкових спрацьовувань. Під хибним спрацьовуванням розуміється сигнал тривоги, викликані не атакою, а звичайним трафіком або звичайною діяльністю. Негативним спрацьовуванням називається випадок, коли система не виявляє справжньої атаки. Після налаштування системи IDS ви можете точно конфігурувати її для конкретних дій з ліквідації загроз. Як вже зазначалося, потрібно націлювати HIDS на ліквідацію найбільш небезпечних загроз на рівні хоста, бо саме тут HIDS може працювати з найбільшою ефективністю. p align="justify"> Визначаючи роль системи NIDS, ви можете вибрати один з двох основних варіантів.
Перший варіант (і потенційно - у разі неправильного впровадження - найбільш небезпечний) - це "відрубування" трафіку за допомогою фільтрів управління доступом, встановлених на маршрутизаторах. Якщо система NIDS виявляє атаку, джерелом якої є який-небудь хост, вона блокує цей хост, не даючи йому можливості на певний час зв'язуватися з даною мережею. На перший погляд цей спосіб здається дуже зручним і добре допомагає адміністратору безпеки, проте насправді вдаватися до нього слід з великою обережністю, а, можливо, і не вдаватися зовсім. p align="justify"> Перша проблема полягає в тому, що хакер може користуватися чужими адресами. Якщо система NIDS вирішує, що атака йде з певного пристрою, і "відрубує" це пристрій, воно втрачає права доступу до вашої мережі. Однак, якщо хакер користується чужим адресою, NIDS блокує адресу, господар якого ні коли не планував жодних атак. Якщо для атаки хакер використав IP-адреса потужного проксі-сервера HTTP, ви блокуєте безліч ні в чому не винних користувачів. У руках творчо налаштованого хакера цей механізм сам по собі може стати зручним інструментом для атаки типу DoS. p align="justify"> Для пом'якшення описаного вище ризику метод "відрубування" потрібно використовувати тільки для трафіку ТСР, але там, де спуфинг адрес здійснити набагато важче, ніж в області UDP. Користуйтеся цим методом тільки в разі реальної загрози і при мінімальній ймовірності помилкового спрацьовування. Проте в межах однієї мережі існує набагато більше варіантів. Ефективне впровадження фільтрації RFC 2827 може значно обмежити обсяг трафіку, що надходить з чужих адрес. Крім того, оскільки замовники зазвичай не включаються до складу внутрішньої мережі, ви можете вжити більш жорсткі заходи проти атак, що виходять з внутрішньокорпоративних джерел. Ще одна причина для більш жорстких внутрішніх заходів полягає в тому, що внутрішні ме...
