Анализ проблем информационной безопасности в компьютерной сети организации, подключенной к сети Интернтет
Типы IDS
Существует несколько способов классификации IDS, каждый из которых основан на различных характеристиках IDS. Тип IDS следует определять, исходя из следующих характеристик:
Способ мониторинга системы. По способам мониторинга системы делятся на network-based, host-based и application-based.
Способ анализа. Это часть системы определения проникновения, которая анализирует событ
ия, полученные из источника информации, и принимает решения, что происходит проникновение. Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection).
Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDS делятся на interval-based (или пакетный режим) и real-time.
Большинство коммерческих IDS являются real-time network-based системами.
К характеристикам IDS также относятся:
Источник информации. IDS может использовать различные источники информации о событии для определения того, что проникновение произошло. Эти источники могут быть получены из различных уровней системы, из сети, хоста и приложения.
Ответ: Набор действий, которые выполняет система после определения проникновений. Они обычно разделяются на активные и пассивные меры, при этом под активными мерами понимается автоматическое вмешательство в некоторую другую систему, под пассивными мерами — отчет IDS, сделанный для людей, которые затем выполнят некоторое действие на основе данного отчета.
Развертывание IDS
Технология обнаружения проникновений является необходимым дополнением для инфраструктуры сетевой безопасности в каждой большой организации. Эффективное развертывание IDS требует тщательного планирования, подготовки, прототипирования, тестирования и специального обучения.
Следует тщательно выбирать стратегию обнаружения проникновения, совместимую с сетевой инфраструктурой, политикой безопасности и имеющимися ресурсами.
Стратегия развертывания IDS
Следует определить несколько стадий развертывания IDS, чтобы персонал мог получить опыт и создать необходимый мониторинг и необходимое количество ресурсов для функционирования IDS. Требуемые ресурсы для каждого типа IDS могут сильно различаться, в частности, и в зависимости от системного окружения. Необходимо иметь соответствующую политику безопасности, планы и процедуры, чтобы персонал знал, как обрабатывать различные многочисленные сигналы тревоги, выдаваемые IDS.
Для защиты сети предприятия рекомендуется рассмотреть комбинацию network-based IDS и host-based IDS. Далее следует определить стадии развертывания, начиная с network-based IDS, так как они обычно являются более простыми для инсталлирования и сопровождения. После этого следует защитить критичные серверы с помощью host-based IDS. Используя инструментальные средства анализа уязвимостей, следует протестировать IDS и другие механизмы безопасности относительно правильного конфигурирования и функционирования.
Такие технологии, как Honey Pot и аналогичные, должны использоваться только в том случае, если имеется достаточная техническая квалификация администратора. Более того, эти технологии должны использоваться только после анализа существующего законодательства.
Развертывание network-based IDS
Единственный вопрос, который следует тщательно продумать при развертывании network-based IDS, — это расположение системных сенсоров. Существует много вариантов расположения network-based IDS, каждый из которых имеет свои преимущества:
1. Основная подсеть
2. Подсеть с критичными ресурсами и дополнительными точками доступа
3. DMZ-сеть
Рис. 3.1. Возможные варианты расположения сенсоров network-based IDS
Позади внешнего межсетевого экрана в DMZ-сети (расположение 1)
Преимущества:
· Видит атаки, исходящие из внешнего мира, которым удалось преодолеть первую линию обороны сетевого периметра.
· Может анализировать проблемы, которые связаны с политикой или производительностью межсетевого экрана, обеспечивающего первую линию обороны.
· Видит атаки, целями которых являются прикладные серверы (такие как web или ftp), обычно расположенные в DMZ.
· Даже если входящая атака не распознана, IDS иногда может распознать исходящий трафик, который возникает в результате компрометации сервера.
Перед внешним межсетевым экраном (расположение 2)
Преимущества:
· Документирует количество атак, исходящих из Интернета, целью которых является сеть.
· Документирует типы атак, исходящих из Интернета, целью которых является сеть.
На основной магистральной сети (расположение 3)
Преимущества:
· Просматривает основной сетевой трафик; тем самым увеличивается вероятность распознания атак.
· Определяет неавторизованную деятельность авторизованных пользователей внутри периметра безопасности организации.
В критичных подсетях (расположение 4)
Преимущества:
· Определяет атаки, целью которых являются критичные системы и ресурсы.
· Позволяет фокусироваться на ограниченных ресурсах наиболее значимых информационных ценностей, расположенных в сети.
Развертывание host-based IDS
После того как network-based IDS размещены и функционируют, для увеличения уровня защиты системы дополнительно может быть рассмотрено использование host-based IDS. Однако инсталлирование host-based IDS на каждый хост может потребовать существенных временных затрат. Поэтому рекомендуется, чтобы в первую очередь host-based IDS были инсталлированы на критичных серверах. Это может уменьшить общую стоимость развертывания и позволит основное внимание уделить реагированию на тревоги, касающиеся наиболее важных хостов. После того как host-based IDS начали функционировать в обычном режиме, организации с повышенными требованиями к безопасности могут обсудить возможность инсталлирования host-based IDS на другие хосты. В этом случае следует приобретать host-based системы, которые имеют централизованное управление и функции создания отчетов. Такие возможности могут существенно понизить сложность управления сообщениями о тревогах от большого числа хостов.
Далее следует рассмотреть возможность повышения квалификации администраторов. В большинстве случаев эффективность конкретной host-based IDS зависит от возможности администратора различать ложные и верные тревоги.
Также важно (так как часто администратор не сопровождает постоянно host-based IDS) установить график проверки результатов IDS. Если это не сделано, риск, что противник изменит что-либо в IDS в течение осуществления атаки, возрастает.
Стратегии оповещения о тревогах
Наконец, при развертывании IDS важной проблемой является определение того, какие именно возможности оповещения IDS о тревогах использовать в каждом конкретном случае. Большинство IDS поставляются с уже сконфигурированными возможностями оповещения о тревогах, которые допускают широкий диапазон опций, включая посылку сообщений на e-mail, пейджер, использование протоколов сетевого управления и даже автоматическое блокирование источника атаки.
Скачать рефератДругие рефераты на тему «Программирование, компьютеры и кибернетика»:
- Анализ данных в среде СУБД Access
- Автоматизированные системы управления обработки информации в торговле
- Графическое моделирование зависимостей максимальной высоты и длины полёта тела от коэффициента сопротивления среды
- Автоматизированная система управления автономным водоснабжением
- История и принципы работы всемирной сети Интернет
Поиск рефератов
Последние рефераты раздела
- Основные этапы объектно-ориентированного проектирования
- Основные структуры языка Java
- Основные принципы разработки графического пользовательского интерфейса
- Основы дискретной математики
- Программное обеспечение системы принятия решений адаптивного робота
- Программное обеспечение
- Проблемы сохранности информации в процессе предпринимательской деятельности