урбує, для якого порту призначений трафік. За замовчуванням весь трафік для системи виявлення атак підозрілий. Тобто, незважаючи на те, що система виявлення атак працює з тим же джерелом даних, що і МСЕ, тобто з мережевим трафіком, вони виконують доповнюючі один одного функції. Наприклад, HTTP-запит GET /../../../etc/passwd HTTP/1.0 raquo ;. Практично будь МСЕ дозволяє проходження даного запиту через себе. Однак система виявлення атак легко виявить цю атаку і блокує її. Мало виявити атаку, - необхідно на неї відповідним чином відреагувати. Саме варіанти реагування в чому визначають ефективність системи виявлення атак. На сьогоднішній день пропонуються наступні варіанти реагування:
Повідомлення на консоль (включаючи резервну) системи виявлення атак або на консоль інтегрованої системи (наприклад, міжмережевого екрану).
Звукове сповіщення про атаку.
Генерація керуючих послідовностей SNMP для систем мережного управління.
Генерація повідомлення про атаку по електронній пошті.
Додаткові повідомлення на пейджер або факс. Дуже цікава, хоча й рідко застосовується можливість. Сповіщення про виявлення несанкціонованої діяльності надсилається не адміністратор, а зловмисникові. На думку прихильників даного варіанту реагування, порушник, дізнавшись, що його виявили, змушений припинити свої дії.
Обов'язкова реєстрація виявляються подій. В якості журналу реєстрації можуть виступати: текстовий файл, системний журнал (наприклад, в системі Cisco Secure Integrated Software), текстовий файл спеціального формату (наприклад, в системі Snort), локальна база даних MS Access, SQL-база даних (наприклад, в системі RealSecure). Треба тільки враховувати, що обсяги реєстрованої інформації вимагають, як правило, SQL-базу - MS SQL або Oracle.
Трасування подій (event trace), тобто запис їх у тій послідовності і з тією швидкістю, з якими їх реалізовував зловмисник. Потім адміністратор в будь-який заданий час може прокрутити (replay або playback) необхідну послідовність подій із заданою швидкістю (в реальному режимі часу, з прискоренням або уповільненням), щоб проаналізувати діяльність зловмисника. Це дозволить зрозуміти його кваліфікацію, використовувані засоби атаки і т.д.
Переривання дій атакуючого, тобто завершення з'єднання. Це можна зробити, як:
перехоплення сполуки (session hijacking) і посилка пакета з встановленим прапором RST обом учасникам мережевого з'єднання від імені кожного з них (в системі виявлення атак, функціонуючої на рівні мережі);
блокування облікового запису користувача, що здійснює атаку (у системі виявлення атак на рівні вузла). Таке блокування може бути здійснена або на заданий проміжок часу, або до тих пір, поки обліковий запис не буде розблокована адміністратором. Залежно від привілеїв, з якими запущена система виявлення атак, блокування може діяти як в межах самого комп'ютера, на який спрямована атака, так і в межах всього домену мережі.
Реконфігурація мережевого обладнання або міжмережевих екранів. У разі виявлення атаки на маршрутизатор або міжмережевий екран посилається команда на зміна списку контролю доступу. Згодом всі спроби з'єднання з атакуючого вузла будуть відхилятися. Як і блокування облікового запису зловмисника, зміна списку контролю доступу може бути здійснено або на заданий інтервал часу або до того моменту, як зміна буде скасовано адміністратором реконфігурованих мережевого обладнання.
Блокування мережевого трафіку так, як це реалізовано в міжмережевих екранах. Цей варіант дозволяє обмежити трафік, а також адресатів, які можуть отримати доступ до ресурсів захищається комп'ютера, дозволяючи виконувати функції доступні в персональних міжмережевих екранах.
2. Програмні засоби аналізу захищеності
Мережеві та інформаційні технології змінюються настільки швидко, що статичні захисні механізми, до яких відносяться і системи розмежування доступу, і міжмережеві екрани, і системи аутентифікації, сильно обмежені і в багатьох випадках не можуть забезпечити ефективного захисту. Отже, необхідні динамічні методи, що дозволяють виявляти і запобігати порушенням безпеки. Однією з технологій, яка може бути застосована для виявлення порушень, які не можуть бути ідентифіковані за допомогою моделей контролю доступу, є технологія виявлення атак.
Засоби захисту інформації на основі методів побудови систем виявлення атак (СОА) прийнято умовно ділити на два класи:
. СОА на рівні мережі аналізують мережевий трафік. Принципова перевага мережевих СОА в тому, що вони ідентифікують нападу перш, ніж вони досягнуть атакується вузла. Ці системи простіше для розгортання у вели...
