Сторонние средства обеспечения безопасности
Выбор системы обнаружения вторжений
Индустриальные стандарты предусматривают использование как NIDS, так и HIDS. Если вы не можете себе позволить обе системы, для защиты сети сначала примените NIDS, а затем HIDS. Система NIDS обеспечит большую детализацию сетевого трафика, так как HIDS предоставляет информацию об определенном компьютере или сервере, а информация о трафике в этой системе не предусмотрена. Многие системы NIDS блокируют атаку и предотвращают несанкционированный доступ хакера.
Несмотря на то, что эти методы различны по своей эффективности, они выполняются в реальном времени и, следовательно, потенциально ограничивают ущерб, который может причинить атака. Так как системы HIDS основаны на анализе файлов журналов, они предоставляют информацию об атаке только после ее проявления. Гибридные IDS позволяют реагировать в реальном времени, однако обеспечивают защиту только определенного узла. Наконец, системы NIDS часто взаимодействуют с другими системами периметровой защиты посредством динамического обновления политик для обработки угроз в реальном времени.
Необходимо, чтобы выбранная система IDS удовлетворяла как настоящим, так и будущим требованиям. Важным аспектом является степень конфигурирования, так как настройка системы позволяет адаптировать IDS к вашей уникальной среде и повысить смысловое значение генерируемых данных. Так как IDS работает в качестве сигнализации проникновения, необходимо обеспечить соответствующее реагирование в случае тревоги. Для этого разработайте политику реагирования, заключающуюся в создании и всестороннем тестировании процедур на случай проявления вредоносной атаки.
Для обеспечения простоты IDS следует приобретать систему на отдельном аппаратном оборудовании, а не программный компонент, применение которого может занять больше времени. Можно создать систему IDS посредством комбинирования персональных и корпоративных сетевых экранов с журналами, их автоматизированными анализаторами и устройствами для прослушивания пакетов. В малой сети часто оказывается более разумным применение самостоятельно сконструированных устройств, если есть опыт собственных разработок.
Рекомендуемые продукты
Следующие продукты содержат весь спектр устройств IDS. Выбор нужного продукта зависит от вашей сети и вашего бюджета. Все они поддерживают автоматическое обновление признаков атак, удаленное управление, методы предотвращения злоумышленных действий и их обнаружение.
Важно. Смените все пароли по умолчанию (которые нередко попросту пусты), имеющиеся в устанавливаемых программах, в особенности в тех, которые создают учетную запись. Пренебрежение этой мерой предосторожности может привести к использованию хакерами хорошо известных паролей.
Сетевой экран с функциями маршрутизатора NETGEAR представляет собой хороший комбинированный сетевой экран начального уровня и NIDS для небольшой сети, а устройство RealSecure для Nokia является полнофункциональным программно-аппаратным устройством. Устройство LANguard Security Event Log Monitor & Reporter (S.E.L.M.) (см. рис. 9.3) использует журналы событий Windows 2000 в режиме реального времени для уведомления о событиях системы, связанных с безопасностью, поэтому его действие не ослабляется шифрованием IP-трафика или высокоскоростной передачей данных. Если сеть состоит из одного сервера и пяти рабочих станций, вы получаете все эти возможности совершенно бесплатно!
увеличить изображение
Рис. 9.3. Отчеты об использовании сети показывают, какие действия выполняются в системе, и кто их выполняет
В таблице 9.1 приведено сравнение некоторых устройств IDS различных производителей.
| Система IDS | Производитель | Тип |
|---|---|---|
| FR314 Cable/DSL Firewall Router | NETGEAR, Inc. http://www.netgear.com | Комбинация аппаратного сетевого экрана и NIDS. |
| Intruder Alert | Symantec Corporation http://www.symantec.com | Программная система IDS. |
| LANguard Security Event Log Monitor | GFI http://www.gfi.com/languard/ | Программная система IDS. |
| RealSecure | Internet Security Systems http://www.iss.net | Программная система IDS. |
| RealSecure для Nokia | Nokia http://www.nokia.com/securitysolutions/network/iss.html | Самостоятельное устройство; аппаратный и программный NIDS. |
Совет. Если ваш бюджет ограничен, в интернете найдется множество "самодельных" программ IDS, однако помните, что в этом случае их поддержка либо недостаточна, либо вовсе отсутствует. Хорошо известной бесплатной системой IDS является Snort; множество IDS и информация о них имеется в поисковой системе Google по адресу http://directory.google.com/Top/Computers/Security/Intrusion_Detection_Systems/.
IDS обеспечивают защиту от использования как новых, так и старых уязвимых мест, а также от любых пробелов в безопасности, присутствующих в используемом программном обеспечении. IDS рассматриваются многими специалистами в области безопасности компьютерных сетей как средства, реально обеспечивающие гибкую безопасность, так как они делают защиту сети менее зависимой от установки обновлений.
Многочисленные исследования показывают, что большинство атак выполняется посредством использования известных угроз, патчи для которых были доступны на протяжении месяцев, а то и лет. Постоянный мониторинг системы не обеспечит полной безопасности, однако появится больше шансов на обнаружение и пресечение действий хакера, независимо от того, какое слабое место использовалось для несанкционированного доступа.