В этом разделе рассматриваются принципы построения схемы автоматического ответа, доступные для этой цели механизмы, наиболее популярные реализации такой защиты (программа PortSentry), а также возможность автоматического ответа персональных брандмауэров. Очевидно, что автоматические ответные действия являются самыми дешевыми и простыми методами реакции на атаки. При грамотном и аккуратном использовании они обеспечивают достаточный уровень безопасности. Здесь придется дать несколько предупреждений. Поскольку системы обнаружения вторжений часто сообщают о ложных тревогах, то по ошибке ответные действия могут быть автоматически направлены против абсолютно невиновных людей. С другой стороны, можно организовать набор методов пассивной защиты. Такие пассивные ответные действия никому не причиняют вреда. Нужно быть очень глупым человеком, чтобы организовать автоматический запуск ответной атаки против вероятного хакера. Ведь могла произойти ошибка, или хакер подменил свой 1Р-адрес.

Еще одна проблема заключается в том, что злоумышленник может определить наличие автоматических ответных действий и использовать их в своих целях. Представьте себе создание замкнутого цикла обмена сообщениями (с помощью подмены двух IP-адресов), передаваемыми между двумя автоматизированными системами обнаружения вторжений, наподобие того, как это делалось для атаки отказа в обслуживании с помощью “замыкания” друг на друга служб echo и Chargen. Еще хуже, если злоумышленник осуществляет атаку от имени партнера, заказчика или поставщика, вызывает автоматические ответные действия и срывает сроки договоренностей.

Архитектурные решения

Большинство сетевых систем обнаружения вторжений являются пассивными, они просто перехватывают поток данных и не реагируют на действия хакеров. Однако многие коммерческие реализации этих систем могут быть подключены непосредственно к брандмауэру, и такой тандем обеспечивает возможность автоматических ответных действий. В качестве примера можно назвать программу hogwash - реализацию брандмауэра, основанную на системе Snort, которая совмещает функции обоих продуктов. Разрабатываются еще несколько подобных систем. Систему обнаружения вторжений с автоматическими ответными действиями обычно устанавливают в демилитаризованной зоне или на линии подключения к Internet, но возможны и другие удачные решения, например, брандмауэры в локальной сети и сами системы обнаружения вторжений, установленные на хостах.

Безопасность в организации | Обнаружение нарушений безопасности в сетях | Автоматический ответ на линии подключения к internet


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Сентябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс