й у таких системах, дуже простий і саме на ньому засновані практично всі пропоновані сьогодні на ринку системи виявлення атак. Практично всі системи виявлення атак засновані на сигнатурному підході.
Переваги системи виявлення атак:
.) Комутація дозволяє управляти великомасштабними мережами, як кількома невеликими мережевими сегментами. У результаті буває важко визначити найкраще місце для установки системи, що виявляє атаки в мережевому трафіку. Іноді можуть допомогти спеціальні порти (span ports) на комутаторах, але не завжди. Виявлення атак на рівні конкретного вузла забезпечує більш ефективну роботу в комутованих мережах, тому що дозволяє розмістити системи виявлення тільки на тих вузлах, на яких це необхідно.
.) Системи мережевого рівня не вимагають, щоб на кожному хості встановлювалося програмне забезпечення системи виявлення атак. Оскільки для контролю всієї мережі число місць, в яких встановлені IDS невелика, то вартість їх експлуатації в мережі підприємства нижче, ніж вартість експлуатації систем виявлення атак на системному рівні. Крім того, для контролю мережевого сегмента, необхідний тільки один сенсор, незалежно від числа вузлів в даному сегменті.
.) Мережевий пакет, будучи пішли з комп'ютера зловмисника, вже не може бути повернений назад. Системи, що функціонують на мережевому рівні, використовують живий трафік при виявленні атак в реальному масштабі часу. Таким чином, зловмисник не може видалити сліди своєї несанкціоновану діяльність. Аналізовані дані включають не тільки інформацію про метод атаки, але й інформацію, яка може допомогти при ідентифікації зловмисника і доведенні в суді. Оскільки багато хакерів добре знайомі з механізмами системної реєстрації, вони знають, як маніпулювати цими файлами для приховування слідів своєї діяльності, знижуючи ефективність систем системного рівня, яким потрібна ця інформація для того, щоб виявити атаку.
.) Системи, що функціонують на рівні мережі, виявляють підозрілі події і атаки в міру того, як вони відбуваються, і тому забезпечують набагато більш швидке повідомлення та реагування, ніж системи, що аналізують журнали реєстрації. Наприклад, хакер, який ініціює мережеву атаку типу відмова в обслуговуванні на основі протоколу TCP, може бути зупинений системою виявлення атак мережевого рівня, яка посилає TCP-пакет з встановленим прапором Reset в заголовку для завершення з'єднання з атакуючим вузлом, перш ніж атака викличе руйнування або пошкодження атакується вузла. Системи аналізу журналів реєстрації не розпізнають атаки до моменту відповідного запису в журнал і роблять відповідні дії вже після того, як було зроблено запис. До цього моменту найбільш важливі системи або ресурси вже можуть бути скомпрометовані або порушена працездатність системи, запускає систему виявлення атак на рівні вузла. Повідомлення в реальному масштабі часу дозволяє швидко зреагувати відповідно до попередньо визначеними параметрами. Діапазон цих реакцій змінюється від дозволу проникнення в режимі спостереження для того, щоб зібрати інформацію про атаку і атакуючому, до негайного завершення атаки.
І, нарешті, системи виявлення атак, що функціонують на мережевому рівні, не залежать від операційних систем, встановлених в корпоративній мережі, оскільки вони оперують мережевим трафіком, яким обмінюються всі вузли в корпоративній мережі. Системі виявлення атак все одно, яка ОС згенерувала той чи інший пакет, якщо він у відповідність зі стандартами, підтримуваними системою виявлення. Наприклад, у мережі можуть працювати ОС Windows 98, Windows NT, Windows 2000 і XP, Netware, Linux, MacOS, Solaris і т.д., але якщо вони спілкуються між собою за протоколом IP, то будь-яка з систем виявлення атак, підтримуюча цей протокол, зможе виявляти атаки, спрямовані на ці ОС. Спільне застосування систем виявлення атак на рівні мережі і рівні вузла підвищить захищеність вашої мережі.
. 5 Мережеві системи виявлення атак і міжмережеві екрани
Найбільш часто мережеві системи виявлення атак намагаються замінити міжмережевими екранами, сподіваючись на те, що останні забезпечують дуже високий рівень захищеності. Однак не варто забувати, що міжмережеві екрани - це просто системи, засновані на правилах, які дозволяють або забороняють проходження трафіку через них. Навіть міжмережеві екрани, побудовані за технологією raquo ;, не дозволяють з упевненістю сказати, чи присутній атака в контрольованому ними трафіку чи ні. Вони можуть сказати, чи відповідає трафік правилом чи ні. Наприклад, МСЕ зконфігурований так, щоб блокувати всі з'єднання крім TCP-з'єднань на 80 порту (тобто HTTP-трафік). Таким чином, будь-який трафік через восьмидесятих порт законний з точки зору МСЕ. З іншого боку, система виявлення атак також контролює трафік, але шукає в ньому ознаки атаки. Її мало т...