Р.Л. Смелянский - Компьютерные сети. Том 2. Сети в ЭВМ (1130083), страница 42

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 42)

Работа узловой СОА требусг наличия ресурс ;Ф~;*. ;.';!'::щищаемом узле, составляющих 5...15% от общего проне времени Выделяют три типа узловых СОА: анализаторы журналов; ана- .-~!,:.Лизаторы системных вызовов; анализаторы поведения приложе- 177 Анализаторы журналов работают с журналами приложений, без;.у, опасность которых является критичной, а также с журналами опера=".; пионной системы. Если такой анализатор встретит запись, соответ ", ствуюшую некоторому шаблону в своей базе, то он зарегистрирует событие нарушения безопасности. Анализаторы журналов по своей природе являются реактивнымй';, системами.

Иными словами, они реагируют на событие уже послв,'- того, как оно произошло, Таким образом, журнал будет содержатг';;.,' сведения о том, что проникновение в систему состоялось. В болт;ь!! шинстве случаев анализаторы журналов не способн«я предотвратитт~',', осуществляемую атаку на систему.

Анализаторы системных вызовов следят за вызовами между при-",-.,", ложениями и операционной системой. Сенсоры узловой СОА дан-,' ного типа размещаются между операционной системой и приложе '.,';. ниями и «подменяют» стандартные системные вызовы ОС, а часто и;;, функции стандартных библиотек, таких как ВЬс, библиотека сокето)),"'; и т.п. Когда приложению требуется выполнить системный вызов:,' параметры вызова попадают в «обертку», создаваемую узловой СОА„",: и анализируются в соответствии с набором заданных шаблонов. Ша='.!' блоны различаются для каждого типа приложения и для каждой из ." вестной атаки на узел.

Анализаторы системных вызовов отличаются от анализаторов жур-',-:,' налов тем, что часто они могут предотвращать развитие атаки в тоМ,. случае, если являются частью операционной системы и могут разре)~.',, шать или запрещать выполнение системного вызова. Если приложение:.. генерирует вызов, который может быль использован, например ллФ.':. атаки на переполнение буфера, то датчик может блокировать этот вы":.'. зов и сохранить систему в состоянии информационной безопасно"'," сти.

Анализатор поведения приложений оперирует описаниями нор-."':;,'; мального ~разрешенного) поведения приложений, например в виде« профилей разрешенных для приложений системных вызовов ОС':,' Анализатор наблюдает за поведением приложений, и в случае появлении;::,. «запрещенного» вызова выполнение приложения принудительно оста-.'" навливается. Например, веб-серверу обычно разрешается принимать сетевые::", соединения через порт 80, считывать файлы в веб-каталоге и передаватт«::~ эти файлы по соединениям через порт 80. Если веб-сервер попытается:"; записать или считать файлы из другого места или открыть новые сетевые':;,,', соединения, анализатор обнаружит несоответствующее спецификации:,,-' поведение сервера и заблокирует такое его действие.

Сетевые СОА Сетевая СОА располагается на узле, через который проходит боль-:.:,~' шая часть трафика определенной части сети. Здесь надо быть очейЬ') «1 178 аккуратным. Например если в СПД транспортной среды использу- ются коммутаторы, а не концентраторы, то сенсор сетевой СОА, :;:.",, подключенный к порту коммутатора, не будет получать весь сетевой ;-'„;-,, график сегмента сети, а будет контролировать только график, про".'::-:;, ходящий через порт, к которому подключен сенсор. В случае с ком'.;~'ч мутируемой СПД существуют два варианта подключения датчиков ::.',~,,:сетевых СОА: через специальный порт, отслеживаюший весь график, :,' проходящий через сетевой коммутатор (ЯРАХ-порт), и через дубликатор трафика (пе1в ог)г 1ар) [91) В настоящее время большинство сетевых СОА используют для Ф!* !!~~:,:обнаружения атак методы обнаружения злоупотреблений Сетевые СОА обладают следующими преимушествами по сравне- -'"...~~,:.,нию с узловыми: ° сетеву1о СОА можно полностью скрыть в сети, и злоумышлен- ~'~",:,.ник нс будет знать о том, что за ним ведется наблюдение, Ъф~:-' ' ° один сенсор сетевой СОА может использоваться для монито!".-',:.':ринга трафика в сегменте сети с большим числом систем-целей, по;:": ~,.;,;:,гтенциальных для атак; 'у![:.;;.: ° сетевая СОА может перехватывать содержимое всех пакетов, на- ,'~~,'„,::правляюшихся на определенный узел Недостатки сетевых СОА * отсутствие адаптивности к неизвестным атакам, сигнатуры ко',,;;":=,;:".'"'., торых отсутствуют в базе СОА; ° сетевая СОА не может определить, была ли атака успешной (так !;::~"„:,как она не видит результата атаки); как правило, сетевая СОА не может просматривать зашифро- :-~'.-,.",", ванный график В настояшее время получают развитие гибридные системы, кото;)[;",.:,.:,'рые объединяют в себе узловые и сетевые сенсоры, сохраняя все .;:~!.,:.: -достоинства соответствуюших систем [17[ Функции систем обнаружения атак Системы обнаружения атак могут быть использованы для раз.;~':,"!' личных целей: обнаружения атак, предотвращения атак, сбора до- 4"~'::: казательной базы.

О первых двух целях СОА уже много говорилось, -,";.:' поэтому сразу перейдем к рассмотрению третьей цели. СОА может оказаться полезной после обнаружения атаки или на- ,~",: рушения правил пользования ресурсами сети кем-то из сотрудников :;=:: организации. Дело в том, что, как показывает статистика, не менее ,";::.

40 % атак инициируют сотрудники самой организации. С помощью ;:-',;:-';;: СОА можно собирать доказательства подобных инцидентов. Сетевую СОА можно настроить на отслеживание определенных соединений и "-' ведение полноценного хгурнала по учету трафика (табл. 4.3), В то же время фиксировать все записи журнала для определенной учетной записи системы можно с помошью узловой СОА 179 Таблица 4.3, Пример использования СОА для контроля политики безопасности Политика безопасности Узловая СОА Сетевая СОА Неудачные попытки входа. Попытки соединения.

Удачный вход с удаленных систем. Запуск запрещен- ных приложений Весь трафик, поступаю- щий на потенциальна атакуемые системы (межсетевые экраны, веб-серверы, серверы приложений и т.д.) Обнаружение атак Предотвраще- ние атак То же То же Сбор доказа- тельств Содержимое всего трафика, формируемого на системе-цели или атакующей системе Все успешные подключения, исходящие от атакующей системы.

Все неудачные соединения от атакующих систем, Все нажатия клавиш из интерактивных сеансов на атакугоших системах 4. 1.9. Виртуальные частные сети 180 До недавнего времени многие организации для соединения с географически удаленными филиалами и с сетями других (партнерских) организаций использовали так называемые частные сети — РМ (Рпчаге )че(тиогк). Под частной сетью понимается объединение выделенных каналов связи, которые организация арендует у телефонных компаний и поставщиков услуг Интернета, в СПД с единой! Р-адресацией и единой политикой маршрутизации.

По существу это продолжение СПД транспортной среды организации. С точки зрения организации частные сети обладают множеством преимушеств перед открытыми каналами: ° передаваемая по ним информация сохраняется в секрете, так как не смешивается с графиками других организаций; ° задержки при передаче данных между филиалами меньше, чем при использовании СПД общего доступа; ° географически удаленные пользователи взаимодействуют с интранетом организации точно так же, как если бы они физически находились в центральном офисе. Основной недостаток частных сетей — высокая стоимость их создания и эксплуатации. Использование частных сетей — очень дорогое удовольствие.

Альтернативой частным сетям являются виртуальные частные сети — ЪР)Ч (ЪЧПпа! Рг(иаГе )чециог)с), которые обеспечивают многие преимущества частных сетей за меньшую цену. Пусть мы хотим передавать через Интернет конфиденциальные данные организации, ':,~!'-.',~::"- используя СПД общего доступа, но при этом мы должны быть уве- !~".-;!'- репы, что сохраняется конфиденциальность трафика. Каким же об- ,1',",'з разом можно отделить свой трафик от трафика остальных пользователей сети? Это обеспечивается за счет использования шифрования и тунеллирования (см. гл. 1) Значительная часть трафика в Интернете передается в открьпом нешифрованном виде, и любой узел на пути следования пакетов может читать, сохранять и даже изменять эти пакеты. Это относится Р' к большей части приложений, например почтовому и веб-трафику, а также сеансам связи через протокол ГТР.

Однако трафики шифрованного протокола терминального доступа ЯЯН (Зесцге 511е1!) и про- '",'"!" токола НТТРЗ (НурегТехг Тгапз(ег Ргогосо1 Бесите) являются шифруемыми, и в общем случае их практически невозможно дешифровать или изменить на промежуточных узлах следования пакетов. Тем не ~!~!;",:,." менее протоколы ЗЗН и НТТРЯ не могут быть использованы для по- ,-':,".:Г строения ЧР)х) (далее объясним, почему).

Основные принципы функционирования виртуальных частных сетей следующие ° график шифруется для обеспечения зашиты от прослушивания и несанкционированного изменения, ° каждый подключаемый к ЧР~1 узел проходит аутентификацию; ° ЧР)х1 прозрачен для протоколов уровня приложений, т. е. любой '::-~~,':::.

прикладной протокол между двумя узлами, входящими в ЧР)'(, функ'ционирует так, как если бы эти узлы находились в родной сети ор- ",-;:~!::.' ганизации. Реализации ЧРг(, как правило, состоят из двух типов компонентов: пользовательских и узловых. Пользовательские используются для .:!~;-',!!", подключения отдельных удаленных пользователей к сети организации, а узловые — для объединения локальных сетей географически удаленных филиалов организации в единую сеть Пользовательские ЧРв1 э ( Пользовательские виртуальные частные сети предназначены для соединения компьютера пользователя с интранетом организации, когда последний находится вне сети организации.

Характеристики

Список файлов книги