- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Гибридные межсетевые экраны.
Технология модуля доступа Generic Services Proxy (ПЫЗ) разработана для поддержки модулями доступа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов.
GSPобеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией.
Определение типов систем обнаружения вторжений. Виды IDS, понятие и принцип их работы. Типы датчиков IDS. Установка IDS. Определение целей применения IDS. Выбор объекта мониторинга. Выбор ответных действий при возникновении событий IDS. Виды обработки событий. Автоматический и автоматизированный ответ.
Системы:
Узловые
Сетевые
Узловые располагаются на отдельном узле и отслеживают признаки атак на отдельный узел.
Сетевые находятся на отдельной системе (напр, сервер) и отслеживают трафик на наличие признаков атак
Узловые IDS
Представляют собой систему датчиков, загружаемых на различные сервера организации и управляемых центральным диспетчером. Датчики отслеживают различные события и предпринимают определенные действия. Сенсор HIDS позволяет определить, была ли атака успешной.
Существует 5 основных типов датчиков HIDS:
Анализаторы журналов
Датчики признаков
Анализаторы сис вызовов
Ан-ры поведения приложений
Контролеры целостности файлов
Анализаторы журналов.
Процесс выполняется на сервере и отслеживает соответствующие файлы журналов в системе. Если встречается запись журнала, соответствующая некоторому критерию в процессе датчика, предпринимается установленное действие. Ан-ры журналов хорошо адаптированы для отслеживания активности авторизованных пользователей.
(%_%)
Датчики признаков.
Представляют собой наборы определенных признаков событий безопасности сопоставляемых с входящим трафиком или записями журнала. Различие между первым типом заключается в возможности анализа выходящего трафика. Такие системы обеспечивают возможность отслеживания атак во время их выполнения в системе.
Анализатор сис вызовов.
Осуществляет анализ вызовов между приложениями и ОС. Когда приложению требуется выполнить действие, его вызов ОС анализируется и сопоставляется с базой данных признаков. Такие анализаторы могут предотвращать действия.
Анализаторы поведения приложений
Датчик проверяет вызов на предмет разрешения выполнения действия приложением. При настройке таких датчиков необходимо создавать список действий, разрешенных для выполнения каждым приложением.
Контролеры целостности файлов
Отслеживают изменения в файлах. Это осуществляется путем использования контрольной суммы или цифровой подписи. При первоначальной конфигурации для файла создается цифровая подпись. Периодически эта подпись сопоставляется с оригиналом.
Сетевые IDS
Программный процесс, работающий на специально выделенной системе. NIDS переключает сетевую карту в неразборчивый режим работы, и весь сетевой трафик переходит в ПО NIDS. После этого происходит анализ трафика. NIDS-системы позволяют указывать интересуемый трафик по адресу источника, конечному адресу, порту и т.д. Это дает возможность отслеживания трафика, не соответствующего признакам атак. Чаще всего используется 2 сетевые карты. Одна для мониторинга сети (без ip). Вторая используется для соединения с системой управления IDS. Эта карта присоединяется ко внутренней сети, невидимой для той, в отношении которой ведется мониторинг.
^^
Преимущества NIDS:
Можно скрыть
Одна система может использоваться для мониторинга трафика с большим числом потенциальных систем-целей
Осуществляет перехват содержимого всех пакетов
Недостатки:
Система может только выдавать сигнал тревоги, если трафик соответствует предустановленным правилам
Система не может определить, была ли атака успешной
Система не может просматривать зашифрованный трафик
В коммутируемых сетях требуются спец конфигурации.
Установка IDS
Чтобы использовать IDS по максимуму, необходимо проести большой объем процедур планирования перед непосредственной установкой устройства.
При создании политики необходимо выполнить следующие шаги:
Определить цели создания IDS
Обнаружение атак. Система IDS запрограммирована на поиск определенных типов событий, которые служат признаками атак.
Предотвращение атак
Обнаружение нарушений политики
Принуждение к использованию политик
Принуждение к следованию политикам соединений
Сбор доказательств
Выбрать объекты мониторинга
Выбрать ответные действия
Установить пороги
Применить политику
Целью IDS является отслеживание выполнения или невыполнения политики организации. Такая конфигурация позволяет отслеживать любое несоответствие политика использования интернета. NIDS также проверяет соответствие конфигурациям маршрутизатора или межсетевого экрана. При отслеживании политики IDS настраивается на выполнение действий при нарушении политики.
Обработка инцидента.
Система IDS может оказаться полезной после обнаружения инцидента. В этом случае можно собрать доказательства. Систему можно настроить на отслеживание определенных соединений и ведение полноценного журнала по трафику. Можно использовать IDS и для фиксирования всех записей журнала для определенной учетной записи.
Выбор объекта мониторинга определяется расположением датчиков. Датчики могут быть использованы вне межсетевого экрана, внутри сети, на системах с секретной информацией или на системах, используемых специально для сбора данных.
Ключевым моментом является то, что датчик должен иметь возможность просмотра интересуемых событий, будь то сетевой трафик или записи журнала. Если интересуемые события не преодолевают экран, то не рекомендуется размещать датчик в области, защищаемой экраном.