- •Оглавление
- •От редактора перевода
- •Введение
- •Использовать
- •Аргументировано обсуждать
- •IV. Применять знания
- •Модуль 1. Компьютерные системы
- •Обзор компьютерных систем
- •1.1.1. Компоненты компьютерных систем
- •Эволюция компьютерных систем
- •1.2.1. Краткая историческая справка
- •Закон Мура
- •1.2.2. Применение компьютерных систем
- •Представление данных в компьютерных системах
- •1.3.1. Биты и байты
- •1.3.2. Системы счисления
- •Модуль 2. Системы аппаратного обеспечения
- •2.1 Процессор и память
- •2.1.1 Процессор. Основы.
- •2.1.2 Типы памяти
- •2.1.3 Лабораторная работа: Эталонное тестирование (необязательная)
- •2.2 Внешние устройства
- •2.2.1 Присоединяемые внешние устройства
- •2.2.2 Шины
- •2.2.3 Входные/выходные устройства
- •2.3 Запоминающие устройства
- •2.3.1 Интерфейсы дисковых контроллеров
- •2.3.2 Накопитель (запоминающее устройство большой ёмкости)
- •2.4 Соединение компонентов аппаратного обеспечения
- •2.4.1 Как компоненты компьютера работают вместе
- •2.4.2 Лабораторная работа: Изучение компьютерных систем
- •2.4.3 Лабораторная работа: Конфигурация online
- •2.5 Повышение производительности компьютера
- •2.5.1 Закон Мура
- •2.5.2 “Узкие” места (Bottlenecks)
- •2.5.3 Производительность и время ожидания
- •Модуль 1 и Модуль 2 Обзорные материалы
- •Закон Мура
- •Модуль 3. Программное обеспечение операционных систем
- •Структура
- •3.1.1 Уровни программного обеспечения
- •3.1.2 Bios: Жизнь снизу
- •3.1.3 Управление процессами
- •3.1.4 Лабораторная работа: диспетчер задач (Task Manager)
- •3.2 Управление устройствами и конфигурация
- •3.2.1 Управление прерываниями
- •3.2.2 Характеристики аппаратного обеспечения
- •3.2.3 Конфигурация
- •3.2.4 Лабораторная работа: Управление устройствами
- •3.3. Распределение ресурсов
- •3.3.1 Виртуальная память
- •3.3.2 Совместное использование файлов и принтеров
- •3.4. Файловые системы
- •3.4.1 Организация файлов
- •3.4.2 Таблица размещения файлов (File Allocation Table) и файловая система nt
- •Модуль 4. Прикладное программное обеспечение
- •4.1 Основы программного обеспечения
- •4.2 Использование систем программного обеспечения
- •4.2.1 Лабораторная работа: Команды dos
- •4.2.2 Лабораторная работа: Макросы
- •4.2.3 Лабораторная работа: Встроенные объект-приложения
- •4.3 Пакетные файлы сценариев
- •4.3.1 Расширенные функции командной строки
- •4.3.2 Команды пакетного файла
- •4.3.3 Лабораторная работа: Создание пакетного файла
- •4.4 Базы данных
- •4.4.1 Лабораторная работа: Поиск в библиотеке Конгресса
- •4.5 Проектирование программного обеспечения
- •4.5.1 Введение в разработку крупномасштабных программных систем (Large-Scale Software).
- •4.5.2 Модель открытого кода
- •4.5.3 Средства для создания и управления программным обеспечением
- •Модуль 3 и Модуль 4 - Материалы для проверки
- •Базы данных
- •Виртуальная память
- •Модуль 5. Сетевые системы
- •5.1 Основы Интернета
- •5.1.1 Типы mime
- •5.1.2 Языки Интернет
- •5.2 Локальные и глобальные сети
- •5.3 Стратегии коммуникации
- •5.3.1 Структура клиент-сервер (Client-Server Framework)
- •5.3.2 Равноправное соединение
- •5.4 Технологии передачи данных
- •5.5 Архитектура Интернет
- •5.5.1 Роутеры и tcp/ip
- •5.5.2 Сервис доменных имен (Domain Name Service)
- •5.5.3 Способность к подключению
- •5.5.4 Провайдеры Интернет-сервиса (Internet Service Providers)
- •Модуль 6. Безопасность компьютера
- •6.1 Угрозы безопасности
- •6.1.1 Злоумышленники: кто, зачем и как?
- •6.1.2 Кража личности и нарушение конфиденциальности (Identity Theft and Privacy Violation)
- •6.1.3 Вредоносные программные средства
- •6.1.4 Отказ от обслуживания
- •6.2 Технологии безопасности
- •6.2.1 Шифрование
- •6.2.2 Применение шифрования
- •6.2.3 Идентификация
- •6.3 Предотвращение, определение и восстановление
- •6.3.1 Система сетевой защиты (Firewall)
- •6.3.2 Средства определения вторжения
- •6.3.3 Восстановление данных
- •6.3.4 Обзор типов безопасности
- •Модуль 5 и Модуль 6 Обзорный материал
- •Шифрование
- •Приложение а. Выполнение файла Visual Basic
- •Приложение в. Загрузка приложения WinZip
- •Рекомендации по чтению ssd2
6.3.2 Средства определения вторжения
-
Системы обнаружения вторжения
-
Средства сетевого наблюдения
-
Антивирусное программное обеспечение
Системы обнаружения вторжения
Система обнаружения вторжения (intrusion detection system – IDS) для компьютера подобна системе охраны дома. При обнаружении вторжения, IDS уведомляет сетевого администратора, подобно тому, как срабатывает тревога в домашней системе безопасности для уведомления домовладельцев. IDS собирает и анализирует информацию внутри компьютера или сети для определения возможных нарушений защиты. В случае нарушения защиты, IDS может помочь в обнаружении злоумышленника, предоставив отчет о событиях дня. Однако IDS не блокирует потенциально разрушительный трафик. При использовании вместе с firewall IDS может проверить настройки firewall и обеспечить дополнительный уровень безопасности, который предупреждает сетевого администратора о подозрительных данных, проходящих через firewall. По сравнению с firewall, IDS обеспечивает более глубокий мониторинг трафика.
IDS работает, сопоставляя входящий трафик с записям сигнатурной (signature) базы данных известных атак или подозрительной деятельности и предупреждает администраторов при таком соответствия. ID (intrusion detection) сигнатура (ID signature) может быть специальным состоянием TCP, специальными байтами в заголовке IP или специальным байтовым потоком в пакете. Некоторые подписи нападений и характерные базы данных общедоступны. IDS может также послать автоматические уведомления для предупреждения сетевых администраторов о потенциальных нарушениях безопасности через разнообразные каналы, в том числе электронную почту и мобильные телефоны. Эти уведомления могут помочь сетевым администраторам определить последующие шаги для анализа нарушения безопасности и усиления стратегии защиты.
Сильные стороны IDS:
-
Может отследить каждый шаг атаки
-
Нельзя легко обойти
Слабые места IDS:
-
Не может блокировать вторгающийся трафик
-
Устойчивость зависит от базы данных
-
Возможны ложные тревоги
-
Установка может потребовать определенных знаний о конфигурации и безопасности систем
Примером IDS с открытым кодом является Snort. Она сохраняет активный файл протокола для определения возможных атак или нарушений доступа, происходящих в реальном времени. Она также может следить и проверять сетевой трафик и неудачные попытки соединения, подключения к/от необычных расположений, несанкционированные сетевые зондирования, систематические сканирования портов, трафик, противоречащий установкам firewall и необычную активность принятия файлов.
Установка IDS
Обычно, IDS устанавливается после firewall для более основательного анализа пакетов, фильтруемых firewall. Рисунок внизу показывает, как можно установить IDS в сетевой системе.
Рисунок 1. Установка IDS
Средства сетевого наблюдения
Сетевой мониторинг нужно проводить непрерывно для поддержки доверия к надёжности защищаемой сети и источников данных. Сетевые мониторы могут устанавливаться в стратегических местах, для непрерывного сбора и анализа информации, которая может указать на подозрительную деятельность. Некоторые системы могут реагировать на подозрительную сетевую деятельность, блокируя подозрительные подключения, ограничивая или отключая действующие сервисы, изолируя пораженные системы и собирая свидетельства для последующего анализа. Дополнительно, мониторинг может помочь определить, эффективны ли контрмеры защиты.
Внизу приведен список средств сетевого наблюдения с кратким описанием, которое даст вам возможность понять, какие средства сетевого мониторинга используются в настоящее время.
-
Tripwire® - позволяет определять непредвиденное содержимое файлов и папок
-
Analyzer/Sniffer - захватывает и анализирует сетевые пакеты. Собирает информацию о данных, проходящих через вашу сеть, и расшифровывает анализируемые данные.
-
Big Brother - тестирует состояния системы и доступность сетевых сервисов и уведомляет администраторов о системных проблемах.
-
Ethereal - позволяет исследовать данные из Интернета или файл с диска. Это бесплатный анализатор сетевого протокола для UNIX и Windows (включая Win2K).
Антивирусное программное обеспечение
Вирусные атаки могут распространяться быстро, они обходятся дорого и требуют много времени для восстановления нормальной работы. Исследователи в CAIDA оценивают, что Code Red червь заразил 359,000 компьютеров менее чем за 14 часов. [CAIDA] Поэтому необходимы инвестиции в установку антивирусного программного обеспечения на всех серверах и рабочих станциях в пределах защищенной сети, чтобы защититься от разрушительных программных атак.
Вообще, антивирусное программное обеспечение ищет в файлах (или памяти) признаки злоумышленного кода, используя вирусный профиль (иногда называемый "сигнатурой"), предоставленный продавцом программного обеспечения. Антивирусное программное обеспечение может также удалить вирусы из файлов, изолировать файлы, которые не могут быть почищены и обнаруживает Троянских коней и червей. Некоторые антивирусные средства могут восстанавливать данные, удаленные вирусами.
Так как новые вирусы обнаруживаются каждый день, эффективность антивирусного программного обеспечения зависит от наличия последних вирусных баз, установленных на вашем компьютере. Некоторые продавцы антивирусных средств обеспечивают сервисы подписки или другие возможности распространения, помогающие пользователям в получении последних баз данных вирусов.
Сильные стороны антивирусного программного обеспечения:
-
Защищает пользователей от переносимого почтой вредоносного кода, невыявленного IDS и системой сетевой защиты
-
Может вирусы, распространяемые через сеть
Слабые стороны антивирусного программного обеспечения:
-
Необходимо периодическое обновление
-
Не защищает от всех сетевых нападений
Две популярные антивирусные программы – средства Norton Anti-Virus и McAfee Anti-Virus. Нажмите на какую-нибудь из ссылок для просмотра библиотек с информацией о вирусах.
Дополнительную информацию о вирусах и антивирусных программах вы можете найти на CERT Computer Virus Resource page.
Вы можете также прочитать статью «Malicious Code Propagation and Antivirus Software Updates» со страницы инцидентов на CERT.