Военная история учит, что никогда не следует полагаться на одну линию обороны или на один метод оборонительных действий. Мы тоже указываем на недопустимость полного доверия только системе обнаружения вторжений. Если фильтры не “срабатывают”, то необходимо определить, почему это случилось, и какие события в сети предшествовали этому. Необходимо уметь самостоятельно декодировать подозрительные пакеты. Это только небольшой пример эшелонированной защиты.

Брандмауэр служит как эффективное средство для удаления лишних пакетов и блокирования многих атак на входе в локальную сеть. В пределах локальной сети маршрутизатор (или коммутатор) может быть настроен на поиск признаков взлома. При выявлении значимого события коммутатор может или заблокировать сеанс с хостом злоумышленника, или отправить уведомление об опасности. Эту модель можно усовершенствовать, добавив защиту на уровне хоста. Таким образом, можно будет выявить попытки незаконного доступа к чужим файлам локальных пользователей, обладающих легитимными именами пользователей (своими или других пользователей). Добавив еще несколько сетевых систем обнаружения вторжений, включая и несколько скрытых, мы получим архитектуру, достаточную для противодействия возрастающим угрозам. К сожалению, такая архитектура практически неосуществима в реальной жизни. Так как же возможно сегодня и в ближайшем будущем организовать эшелонированную защиту?

В наше время следует применять пять следующих правил организации защиты по периметру локальной сети. При этом не стоит думать, что защита должна быть только на линии подключения к Internet и больше нигде. Все эти пять правил раскрываются на страницах глав и приложений этой книги. Так как это последняя глава, попытаемся сделать некоторые выводы.

■ Блокировать все исходящие ICMP-сообщения о недостижимости. Можно также блокировать другие исходящие ICMP-сообщения об ошибке. Это позволит защитить свой узел от проведения разведывательных действий.

■ Ограничить базу данных DNS-сервера. Это правило можно сформулировать и по-другому, но сама идея очень проста. Доступный по Internet DNS-сервер должен иметь сведения только о нескольких хостах локальной сети, включая сервер электронной почты, Web-cepBep и так далее. В противном случае DNS-сервер может быть использован хакером для получения разведывательной информации.

■ Использовать максимальное количество proxy-систем. Не следует ограничиваться ргоху-серверами на брандмауэрах, их следует добавлять также между точкой подключения к Internet и устройствами фильтрации входящего трафика.

■ Использовать трансляцию сетевых адресов (NAT). Если появится возможность отказаться в локальной сети от общедоступных IP-адресов и перейти на частные адреса, то качество защиты от атак повысится на порядок.

■ Реализовать автоматические ответные действия. Этот метод уже много лет применяется для блокирования рекламы, поступающей по электронной почте. Активные методы защиты, используемые брандмауэром Raptor и BackOfficer Friendly, не привели к серьезным проблемам в Internet. Всегда найдется возможность для использования автоматического ответа, и лучше быть максимально защищенным.

Разумеется, эшелонированная защита не должна ограничиваться периметром сети. Она включает в себя: работы по администрированию компьютеров, применение персональных брандмауэров, антивирусных приложений, сканирование содержимого входящих и исходящих пакетов, установку заплат для операционных систем и использование программ поиска уязвимых мест.

Компрометация многих компьютеров | Обнаружение нарушений безопасности в сетях | Масштабное выявление попыток взлома


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Июль
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс