Система обнаружения атак RealSecure
Наряду с технологией анализа защищенности процесс адаптивного управления безопасностью сети включает и технологию обнаружения атак. В комплекс средств адаптивного управления безопасностью SAFEsuite входит система обнаружения атак RealSecure. Система RealSecure позволяет обнаруживать враждебную деятельность на отдельных узлах (на уровне операционной системы), распознавать атаки на корпоративную сеть (на уровне сети) и реагировать на эти атаки соответствующим образом. Обнаружение атак (вторжений) производится в режиме реального времени как путем выявления некоторых статистических закономерностей графика и сравнения их со специальными масками, хранящимися в базе данных, так и путем слежения за нарушениями закономерностей, ранее сформированных для защищаемой системы. Система обнаружения атак RealSecure может использоваться для защиты внешнего доступа (например, из Internet) и обеспечения безопасности во внутренней сети. Как известно, по статистике до 75% всех инцидентов в корпоративной сети про исходит по вине сотрудников организации. Отличительная особенность системы обнаружения атак RealSecure состоит в том, что она может функционировать и на уровне сети, и на уровне хоста. В первом случае система RealSecure анализирует весь сетевой трафик, а во втором - журналы регистрации операционной системы (EventLog и syslog). Система обнаружения атак RealSecure использует распределенную архитектуру и содержит два основных компонента - RealSecure Detector и RealSecure Manager. Компонент RealSecure Detector отвечает за обнаружение атак и реагирование на них и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем «прослушивания» трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле. Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 можно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module). В последнем случае не требуется устанавливать консоль RealSecure Manager. Для облегчения работы в распределенной сети, в которой ответственность за управление сетью возложена на несколько подразделений, возможна установка нескольких консолей, одновременно управляющих всеми модулями обнаружения атак. Система RealSecure состоит изтрех подсистем:
Подсистема обнаружения следит за сетевым графиком и в случае обнаружения нападений оповещает о них подсистему управления. Подсистема обнаружения позволяет выявить большое количество атак (атаки на Web-серверы, сканирование сети пакетом SATAN, атаки SYN Flood и Ping Death и многие другие). Число детектируемых атак постоянно растет. При обнаружении нападения подсистема реагирования выполняет действия, заданные администратором: например, оповещение администратора путем посылки сообщения на консоль, завершение соединения с нападающим узлом, вызов специальных сценариев или программ обработки ситуаций. Подсистема управления позволяет с одного места - администратора безопасности - управлять несколькими подсистемами обнаружения, установленными на разных защищаемых сегментах. Эта подсистема обладает удобным графическим интерфейсом. Рассмотрим подробнее варианты реагирования на обнаруживаемые атаки. Возможности реагирования на атаки являются определяющими для любой системы обнаружения атак. В системе RealSecure такие варианты можно разделить на три типа:
Уведомления можно посылать на одну или несколько консолей управления (RealSecure Manager), по электронной почте или по факсу, телефону и пейджеру. Предусмотрена генерация управляющих SNMP-последовательностей для показа информации о контролируемых событиях в системах сетевого управления. Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном форматах. В последнем случае система RealSecure сохраняет содержание всего графика. При; этом возможно воспроизведение всех действий нарушителя с заданной скоростью для последующего анализа. Во многих случаях такая возможность помогает разобраться в том, каким образом злоумышленник проник в корпоративную сеть и что необходимо противопоставить ему в дальнейшем. В случае осуществления атаки, которая способна привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом, блокировка учетной записи нарушителя (если он является сотрудником организации) или реконфигурация межсетевых экранов и маршрутизаторов таким образом, чтобы в дальнейшем соединения с атакующим узлом были запрещены. В частности, при использовании в корпоративной сети межсетевых экранов фирм Checkpoint (Firewall-1), Raptor (Raptor Eagle) и Trusted Information Systems (Gauntlet) система RealSecure позволяет в случае обнаружения атаки динамически изменять некоторые настройки этих межсетевых экранов (например, правила фильтрации, запрещающие доступ в корпоративную сеть со стороны нападающих узлов). Система Real Secure поддерживает протокол компании Checkpoint SAMP (Suspicious Activity Monitoring Protocol). Данная возможность позволяет автоматически реконфигурировать сертифицированный Гостехкомиссией РФ межсетевой экран Checkpoint Firewall-1. Система Real Secure может «инструктировать» межсетевой экран, запрещая доступ с атакующего узла. Реконфигурация начинается в течение нескольких миллисекунд после начала атаки, тем самым предотвращая проникновение нарушителя через межсетевой экран в корпоративную сеть организации. Аналогичная возможность предусмотрена и для маршрутизаторов фирмы Cisco. Система RealSecure не снижает производительности сети не только в случае работы с Ethernet, Token Ring, но и при работе с высокоскоростными магистралями типа Fast Ethernet и FDDI. Аналогично другим системам, входящим в семейство SAFEsuite, система RealSecure работает под управлением ОС Windows NT, SunOS, Solaris, HP UX, AIX, Linux.
Популярное: Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... Почему двоичная система счисления так распространена?: Каждая цифра должна быть как-то представлена на физическом носителе... Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (267)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |