- •Тема лекции: Администрирование сетей
- •1. Управление информационной системой
- •Электронные подписи и сертификаты
- •2. Контроль за импортом программ
- •2.1. Защита от вирусов
- •2.2. Контроль интерактивных программ
- •2.3. Лицензирование программ
- •3. Улаживание происшествий с безопасностью
- •3.1. Введение в обнаружение происшествия
- •3.2. Методы обнаружения происшествия
- •3.3. Ответные действия
- •4. Администрирование межсетевого экрана
- •4.1. Квалификация администратора мэ
- •4.2. Удаленное администрирование брандмауэра
- •Заключение
- •Перечень контрольных вопросов
3.1. Введение в обнаружение происшествия
Обнаружение происшествия (intrusion detection) играет важную роль в реализации политики безопасности организации. Использование распределенных систем привело к появлению большого числа уязвимых мест, и поэтому недостаточно просто «закрыть двери и запереть их на все замки». Требуются гарантии того, что сеть безопасна – что «все двери закрыты, надежны, а замки крепки». Системы обнаружения происшествий обеспечивают такие гарантии.
Обнаружения происшествия выполняет две важные функции в защите информационных ценностей:
оно является обратной связью, позволяющей уведомить сотрудников отдела информационной безопасности об эффективности компонент системы безопасности. Отсутствие обнаруженных вторжений при наличии надежной и эффективной системы обнаружения происшествий является свидетельством того, что оборона периметра надежна.
оно является пусковым механизмом, приводящим в действие запланированные ответные меры безопасности.
Безопасность обычно реализуется с помощью комбинации технических и организационных методов.
3.2. Методы обнаружения происшествия
Обнаружение происшествия может быть реализовано несколькими способами, и выбор метода должен основываться на типе защищаемой сети, используемой системе для защиты периметра, и уровня защиты, требуемого политикой безопасности организации. Существует ряд методов для обнаружения вторжения злоумышленника.
пассивное ожидание заявлений от пользователей о подозрительных событиях (какие-то файлы изменились или были удалены, диски на серверах заполнены до отказа по непонятным причинам). Достоинство – легко реализовать. Недостатки: не обеспечивает дополнительной защиты ИС или гарантий выполнения политики безопасности, атакующие обычно не делают ничего такого, что приводит к появлению подозрительных симптомов.
периодический анализ журналов, поиск в них сообщений о необычных событиях (большое число неудачных попыток аутентификации, большое число попыток нарушить полномочия по доступу к файлам, необычные пакеты в сетевом трафике, и т.д.) Этот метод обеспечивает некоторую дополнительную защиту по сравнению с пассивным ожиданием заявлений от пользователей. При довольно частом аудите он может дать достаточно информации, чтобы ограничить последствия атаки. Как правило, современные компьютеры и сети предоставляют требуемые возможности по аудированию в качестве опций конфигурации систем, но они по умолчанию отключены и должны быть явно включены. Этот метод требует принятия постоянных организационных мер. Его эффективность зависит от согласованного и частого просмотра администраторами системных журналов. Данный метод может быть обойден атакующими, которые скрывают свои следы с помощью отключения режима протоколирования в ходе их проникновения, или путем очистки системных журналов.
средства проверки целостности для Unix, такие как Tripwire, вычисляют эталонные контрольные суммы для файлов или файловых систем, а при последующих проверках вычисляют заново и сравнивают с эталонными для обнаружения модификаций. Эти средства требуют опытного администратора для установки.
сигналы тревоги и предупреждения от систем управления доступом периметра безопасности могут являться признаком начала атаки. Некоторые системы управления доступом, такие как МЭ и системы управления доступа удаленных пользователей, могут быть сконфигурированы так, что будут подавать сигналы тревоги при нарушении определенных правил доступа, превышения числа ошибок и т.д. Эти сигналы тревоги могут быть звуковыми, визуальными, сообщениями электронной почты, сообщениями пейджера, или сообщениями системам управления сетью, например SNMP-пакетами. Недостатки: обнаруживаются только те происшествия, в ходе которых злоумышленник пересекает периметр безопасности, вторжения из внешних сетей через скрытые или неизвестные каналы не будут обнаружены.
средства, которые анализируют статистические аномалии и делают на их основе выводы о наличии атаки. Это делается путем создания статистического профиля различных субъектов сетевой активности, таких как отдельные пользователи, группы пользователей, приложения, сервера и т.д., и последующего наблюдения за поведением таких субъектов. Если наблюдаемое поведение выходит за рамки статистического профиля, то это - признак возможной атаки. Этот подход также требует использования сложных эвристик, которые сильно затрудняют использование этого средства.