Описанные выше способы фильтрации трафика в конечном итоге разрешают по тем или иным правилам доступ "хорошим" пользователям (или службам) и запрещают "плохим". Такая практика постепенно теряет свою эффективность, поскольку вредоносные коды все больше и больше "подстраиваются" под существующие методы защиты. Например, что мешает какой-либо программе воспользоваться разрешением доступа в Интернет для передачи "подсмотренных" на компьютере данных на какой-либо сервер глобальной сети, маскируясь при этом под обычную работу пользователя? А если деятельность компании тесно связана с глобальной сетью, то сетевые атаки на ее серверы, имеющие целью вызвать отказ в обслуживании клиентов, могут повлечь за собой миллионные убытки.

Для предотвращения подобных вторжений в инфраструктуру предприятия стали применяться аппаратные и программные решения, контролирующие содержание передаваемых по сети пакетов с целью обнаружения подозрительной активности. Первоначально такие системы контролировали сеть параллельно основным устройствам и выдавали сигналы опасности при обнаружении подозрительных данных. Они получили название Intrusion Detection Systems (IDS).

Современные системы предотвращения атак - Intrusion Prevention Systems (IPS) - выполняют активную функцию. Они не только обнаруживают атаку, но и сразу же блокируют подозрительный трафик. Подобные системы могут обнаружить подготовку DoS-атаки, блокировать трафик программ, используемых для передачи данных между пользователями (типа Kazaa, Gnutella, ICQ и т. п.), обнаруживать сетевые черви, активность эксплойтов и т. п. (рис. 5.4).

Принцип действия IPS основан, прежде всего, на сравнении информации, передаваемой по сети, с заранее известными сигнатурами, которые присутствуют в пакетах, передаваемых червями, в пакетах программ, использующих те или иные уязвимости программного обеспечения, и т. п. Состав сигнатур постоянно обновляется с сайтов разработчиков IPS. Кроме того, IPS могут обнаруживать аномальные изменения трафика (например, резкое увеличение пакетов определенного типа) и сохранять пропускную способность канала для "полезных" данных.

Понятно, что с увеличением количества сигнатур, учитываемых при анализе содержимого пакета данных, растет нагрузка на устройство и, в конечном итоге, снижается его пропускная способность, поэтому надежно защитить весь сетевой трафик организации практически невозможно. Например, функция Cisco Intrusion Detection Systems включена в ПО коммутаторов Cisco, начиная с IOS Software

Программа Norton Internet Security блокировала вторжение на пользовательский компьютер

Рис. 5.4. Программа Norton Internet Security блокировала вторжение на пользовательский компьютер

Release 12.0.(5), но производитель предупреждает о снижении производительности устройства при увеличении числа сигнатур в используемых политиках предотвращения атак. IPS применяют в пограничных точках: на стыке Интернета и локальной сети организации, между серверным сегментом и пользовательской частью.

Как уже говорилось, технологии предотвращения атак могут быть программными или аппаратно-программными. Можно отметить, например, новое поколение Check Point - межсетевой экран, используемый большинством крупнейших компаний мира для защиты своих ресурсов, который включает в себя технологию SmartDefense, предназначенную для анализа проходящего трафика. Существуют и специализированные решения от Tipping Point (www.tippingpoint.com), Internet Security Systems (www.iss.net), Radware (www.radware.com), TopLayer (www. toplayer.com) и др.

Использование решений данного класса чувствительно увеличивает расходы предприятия с одной стороны и предъявляет повышенные требования к уровню подготовки администратора с другой стороны. Поскольку подобные дополнительные расходы для небольших предприятий обычно не оправданы, то в них используются традиционные программы брандмауэров. В то же время данная функциональность стала включаться в антивирусное программное обеспечение ведущих вендоров, занимающихся вопросами безопасности.

Шлюзы | Самоучитель системного администратора | Варианты межсетевых экранов


Самоучитель системного администратора



Новости за месяц

  • Сентябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс