Безопасность корпоративных сетей
Отчет по практике - Компьютеры, программирование
Другие отчеты по практике по предмету Компьютеры, программирование
?стемы NIDS. Поэтому Cisco рекомендует сочетать системы обоих типов и размещать HIDS на критически важных хостах, а NIDS - для наблюдения за всей сетью. В результате такого сочетания возникает полномасштабная система обнаружения атак.
После установки системы необходимо настроить ее, чтобы повысить эффективность и сократить число ложных срабатываний. Под ложным срабатыванием понимается сигнал тревоги, вызванный не атакой, а обычным трафиком или обычной деятельностью. Отрицательным срабатыванием называется случай, когда система не обнаруживает настоящей атаки. После настройки системы IDS вы можете точно сконфигурировать ее для конкретных действий по ликвидации угроз. Как уже отмечалось, нужно нацеливать HIDS на ликвидацию наиболее опасных угроз на уровне хоста, потому что именно здесь HIDS может работать с наибольшей эффективностью.
Определяя роль системы NIDS, вы можете выбрать один из двух основных вариантов.
Первый вариант (и потенциально - в случае неправильного внедрения - наиболее опасный) - это "отрубание" трафика с помощью фильтров управления доступом, установленных на маршрутизаторах. Если система NIDS обнаруживает атаку, источником которой является какой-либо хост, она блокирует этот хост, не давая ему возможности на определенное время связываться с данной сетью. На первый взгляд этот способ кажется очень удобным и хорошо помогает администратору безопасности, однако в действительности прибегать к нему следует с большой осторожностью, а, возможно, и не прибегать вовсе.
Первая проблема состоит в том, что хакер может пользоваться чужими адресами. Если система NIDS решает, что атака идет с определенного устройства, и "отрубает" это устройство, оно теряет права доступа к вашей сети. Однако, если хакер пользуется чужим адресом, NIDS блокирует адрес, хозяин которого ни когда не планировал никаких атак. Если для атаки хакер использовал IP-адрес мощного прокси-сервера HTTP, вы блокируете множество ни в чем не повинных пользователей. В руках творчески настроенного хакера этот механизм сам по себе может стать удобным инструментом для атаки типа DoS.
Для смягчения описанного выше риска метод "отрубания" нужно использовать только для трафика ТСР, но там, где спуфинг адресов осуществить гораздо труднее, чем в области UDP. Пользуйтесь этим методом только в случае реальной угрозы и при минимальной вероятности ложного срабатывания. Однако в пределах одной сети существует гораздо больше вариантов. Эффективное внедрение фильтрации RFC 2827 может значительно ограничить объем трафика, поступающего с чужих адресов. Кроме того, поскольку заказчики обычно не включаются в состав внутренней сети, вы можете предпринять более жесткие меры против атак, исходящих из внутрикорпоративных источников. Еще одна причина для более жестких внутренних мер состоит в том, что внутренние сети, как правило, не имеют таких мощных средств фильтрации с учетом состояния соединений (stateful filtering), которые обычно используются на границе сети. Поэтому во внутренней сети вам следует более серьезно полагаться на систему IDS, чем во внешней среде.
Вторым вариантом для NIDS является сокращение угроз за счет использования сброса TCP (TCP reset). Как видно из названия этого метода, он используется только для трафика ТСР. Прекращение атаки производится отправлением сообщений "TCP reset" на атакующий и атакуемый хост. Поскольку трафик ТСР хуже поддается спуфингу, этот метод является более предпочтительным, чем метод грубого "отрубания" адресов.
Этот метод чувствителен к производительности. Система NIDS отслеживает передаваемые пакеты. Если скорость передачи пакетов превосходит возможности NIDS, снижения производительности в сети не происходит, так как NIDS не находится на пути потоков данных. Однако при этом теряется эффективность самой системы NIDS, которая начинает терять пакеты, срабатывать в спокойной обстановке и не замечать настоящих атак. Поэтому, чтобы в полной мере воспользоваться всеми преимуществами NIDS, не превышайте возможностей этой системы. С точки зрения маршрутизации, IDS, как и многие системы, способные учитывать состояние, некорректно функционирует в асимметрично маршрутизируемой среде. Если группа маршрутизаторов и коммутаторов передает пакеты по одному маршруту, а принимает по другому, система IDS будет видеть только половину трафика, что вызовет ложные срабатывания и нулевую реакцию на реальные атаки.
Корпоративный модуль крупного предприятия
Корпорация состоит из двух функциональных областей: кампуса и периферии. Эти области, в свою очередь, делятся на модули, которые определяют детали функционирования каждой из областей. Модули подробно описываются в разделах "Корпоративный кампус" и "Корпоративная периферия". После этого в разделе "Корпоративные опции" описываются различные варианты дизайна.
Говоря об угрозах, следует отметить, что корпоративная сеть, как и большинство других сетей, подключена к Интернет. Внутренние пользователи должны получать выход в Интернет, а внешние пользователи должны получать доступ к внутрикорпоративной сети. Это создает ряд угроз общего характера, которые могут дать хакеру щелочку, через которую он может проникнуть к важным сетевым ресурсам.
Первая угроза - это угроза со стороны внутренних пользователей. Статистика приводит разные цифры, но все исследователи сходятся в том, что большинство атак начинается изнутри корпоративной сети. Потенциальными источниками таких атак являются обиженные сотрудники, про?/p>