Автор работы: Пользователь скрыл имя, 25 Марта 2012 в 20:35, контрольная работа
По существу, процесс обнаружения вторжений является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение вторжения — это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.
1. Введение ……………………………………………………..3
2. Обнаружение и предотвращение вторжений……………..4
3. Предотвращение вторжений системного уровня………...6
4. Варианты решения…………………………………………..7
5. Предотвращение вторжений сетевого уровня…..………..7
6. Варианты решения.………………………………………….9
7. Защита от DDoS атак……………………………………….10
8. Решение для операторов связи....……………………….…11
9. Бизнес-преимущества внедряемого решения…….…..….11
10. Архитектура решения………………………………………12
11. Решение для предприятий…………………………………13
12. Решение для предприятий ………………………………...14
13. Технические преимущества внедряемых решений…...…15
14. Варианты решения………………………………………….15
15. Заключение ……………………………………………..…. 16
16. Список литературы ………………………………………...17
Введение.
Сетевые и информационные
технологии меняются настолько быстро,
что статичные защитные механизмы,
к которым относятся системы
разграничения доступа, МЭ, системы
аутентификации во многих случаях не
могут обеспечить эффективной защиты.
Поэтому требуются динамические
методы, позволяющие оперативно обнаруживать
и предотвращать нарушения
По существу, процесс обнаружения
вторжений является процессом оценки
подозрительных действий, которые происходят
в корпоративной сети. Иначе говоря,
обнаружение вторжения — это
процесс идентификации и
Обнаружение и предотвращение вторжений
Подсистема обнаружения и предотвращения вторжений включает в себя:
Подсистемы/функции |
Варианты решения |
Предотвращение вторжений системного уровня |
Cisco Security Agent |
Предотвращение вторжений сетевого уровня |
Cisco IPS Sensor |
Защита от DDoS атак |
Peakflow SP |
Таблица 1. Подсистемы обнаружения и предотвращения вторжений
Обнаружение вторжений –
это процесс мониторинга
Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.
По способу мониторинга средства подсистемы делятся на:
Выделяется несколько методов анализа событий:
В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.
Решение по предотвращению
вторжений состоит из сенсоров, одного
или нескольких серверов управления,
консоли оператора и
Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.
Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.
Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.
Необходимо учитывать, что
только комплексное использование
разных типов средств подсистемы
позволяет достигнуть всестороннего
и точного обнаружения и
Предотвращение вторжений системного уровня
Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.
Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.
К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.
Варианты решения:
Cisco Security Agent |
|
|
Check Point Endpoint Security |
||
Symantec Endpoint Protection |
||
Trend Micro OfficeScan Corporate Edition |
||
IBM Proventia Server Intrusion Prevention System |
||
Kaspersky Total Security |
Предотвращение вторжений сетевого уровня
Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.
Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.
Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.
В качестве мер противодействия, может выполняться:
Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.
Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:
Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems
Варианты решения:
Cisco IPS Sensor |
|
|
Cisco IOS IPS |
||
Модули Cicso IDS и IPS |
||
Check Point IPS-1 |
||
Check Point Interspect |
||
IBM Proventia Network IPS |
||
Juniper Intrusion Prevention |
||
McAfee IntruShield IPS |
Защита от DDoS атак
Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.
Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.
Общий подход к защите от атак DDoS включает реализацию следующих механизмов:
Решение для операторов связи
Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.
Бизнес-преимущества внедряемого решения:
Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.
Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:
Архитектура решения
Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи
Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.
В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.
Информация о работе Обнаружение и предотвращения вторжений в информационную систему