Локальные и сетевые системы обнаружения атак

СОА, использующие информацию, получаемую от персонального ком- пьютера, на который они установлены, обычно называют локальными (host- based). В противоположность им системы обнаружения, ориентированные на анализ  всего  доступного  сетевого  трафика,  называют  сетевыми  (network- based).

Рассмотрим, какая информация может использоваться локальными СОА

для выявления попыток атаки.

?  Отслеживание попыток входящих и исходящих TCP- и UDP-соединений.

В результате могут обнаруживаться и пресекаться попытки несанкциониро-

ванных подключений к отдельным портам, а также попытки сканирования портов.

?  Анализ входящего и исходящего сетевого трафика на предмет наличия

«подозрительных» пакетов. «Досмотру» могут подлежать как поля заголовков пакетов, так и их содержимое.

?  Отслеживание попыток регистрации на локальной ЭВМ. В случае инте-

рактивной регистрации может накладываться ограничение на время регистра- ции, а в случае регистрации по сети можно ограничить перечень сетевых ад- ресов, с которых разрешается вход в систему. Отдельное внимание уделяется множественным неудачным попыткам регистрации, которые могут иметь ме- сто в случае атаки «подбор пароля методом перебора».

?  Отслеживание  активности  пользователей,  наделенных  повышенными полномочиями в системе (суперпользователь root в UNIX-системах, пользова-

тели группы Администраторы в ОС Windows). Так как в широком классе слу-

чаев атака направлена на получение полномочий суперпользователя, могут

отслеживаться попытки регистрации этого пользователя в системе в неразре-

шенное время, попытки сетевой регистрации суперпользователя и т. д.

?  Проверка  целостности  отдельных  файлов  или  ключей  реестра  (для Windows-систем). Несанкционированные действия взломщика могут заклю- чаться в попытках внесения изменений в базу данных пользователей или в модификации отдельных настроек системы. Контроль целостности критичных областей данных позволит СОА обнаружить попытку реализации атаки.

Сетевые СОА собирают и анализируют все доступные им сетевые паке-

ты на предмет наличия «подозрительного» содержимого или несанкциониро-

ванных потоков информации от одного узла сети к другому. В связи с этим точка подключения СОА должна обеспечивать максимальный охват трафика, циркулирующего в сегменте сети. Обычно такие системы подключаются к специальному порту коммутатора либо устанавливаются непосредственно на маршрутизаторе сети. СОА данного класса гораздо эффективнее, чем локаль- ные, способны обнаруживать факт сканирования портов, а также выявлять попытки атак на «отказ в обслуживании». Кроме того, если система обнару- жения установлена на шлюзе, обеспечивающем доступ из локальной сети в Интернет, то путем фильтрации нежелательных пакетов может обеспечивать- ся защита этой локальной сети от внешних атак. Получается, что СОА выпол- няет в этом случае функции межсетевого экрана (либо управляет им). Таким образом, сетевые системы обнаружения атак находят свое применение в ин- формационных системах, где установка специализированного программного обеспечения на компьютеры пользователей затруднительна, и там, где требу- ется изолировать сетевой сегмент от внешней угрозы. Необходимо отметить, что анализ интенсивного потока данных требует существенных вычислитель- ных затрат, поэтому аппаратные требования к узлу, на котором устанавлива- ется такая СОА, могут быть очень высокими. Наиболее критичной эта про- блема становится при попытке защиты сети, содержащей несколько сотен компьютеров и имеющей выход в Интернет. К этому классу относятся боль- шинство сетей крупных предприятий.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий