Автор: Пользователь скрыл имя, 28 Сентября 2011 в 15:07, реферат
Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности.
Подсистема реагирования осуществляет реагирование на обнаруженные вторжений и иные контролируемые события. Варианты реагирования будут описаны более подробно ниже.
Подсистема управления компонентами предназначена для управления различными компонентами системы обнаружения вторжений. Под термином «управление» понимается возможность изменения политики безопасности для различных компонентов системы обнаружения вторжений (например, модулей слежения), а также получение информации от этих компонентов (например, сведения о зарегистрированном вторжении). Управление может осуществляться как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например SNMP.
Системы обнаружения вторжений строятся на основе двух архитектур: «автономный агент» и «агент-менеджер». В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура «агент-менеджер». В этом случае в распределенной системе обнаружения атак dIDS (distributed IDS), состоящей из множества IDS, расположенных в различных участках большой сети, серверы сбора данных и центральный анализирующий сервер осуществляют централизованный сбор и анализ регистрируемых данных. Управление модулями dIDS осуществляется с центральной консоли управления. Для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, использование такой архитектуры имеет принципиальное значение.
Общая схема функционирования dIDS приведена на рисунке:
Такая система
позволяет усилить защищенность
корпоративной подсети
• IP-адресу атакующего;
• порту получателя;
• номеру агента;
• дате, времени;
• протоколу;
• типу вторжения
и т. д.
Методы реагирования
Вторжение не только должно быть обнаружено, но и необходимо правильно и своевременно среагировать на него. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:
• уведомление;
• сохранение;
• активное реагирование.
Применение той или иной реакции зависит от многих факторов.
Уведомление. Самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об вторжении на консоль системы обнаружения вторжений. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Этими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону.
К категории «уведомление» относится также посылка управляющих последовательностей к другим системам, например к системам сетевого управления или к МЭ.
Сохранение. К категории «сохранение» относятся два варианта реагирования:
• регистрация события в БД;
• воспроизведение вторжения в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать «успешные» вторжения и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.
Активное реагирование. К этой категории относятся следующие варианты реагирования:
• блокировка работы атакующего;
• завершение сессии с атакующим узлом;
• управлением
сетевым оборудованием и
IDS могут предложить
такие конкретные варианты