Автоматизированные средства безопасности. Технологии VPN и VLAN

Автоматизированные средства безопасности (АСБ)

Автоматически – с участием человека;

Автоматизировано – когда вариант решения принимает человек.

VPN-виртуальная частная сеть. Защищённые сетевые соединений поверх другой сети. Защищённость канала связи за счет использования протоколов аутентификации и шифрования, используемых для установки соединения и передачи данных поверх незащищённой сети.

Два основополагающих признака технологии VPN

- средой передачи данных обычно служат сети.

Схемы применения технологии VPN

- схема "сеть-сеть" – протокол безопасности применяется только к пакетам, выходящим из локальной сети, и прекращает своё действие при входе пакета в удалённую локальную сеть;

- схема "точка-точка" – обычно используется при удалённой работе сотрудника с сетью организации. При этом типовой вариант предполагает, что клиент подключён к серверу удалённого доступа, связь между которыми им не назначена, идёт через промышленную сеть общего пользования.

V-LAN

Типы виртуальных сетей (V-LAN)

- на основе портов коммутатора или, фактически, сетевых сегментов;

- на основе MAC-адресов или групп физических устройств;

- на основе сетевого протокола или групп логических устройств;

- на основе типов протоколов;

- на основе комбинации критериев или на основе правил;

- на основе тегов или IEEE 802.1Q;

- на основе аутентификации пользователей.

Принцип обнаружения COA заключается в построенном анализе активности в информационной системе и информировании уполномоченных субъектов об обнаружении подозрительных действий.

15.Автоматизированые средства безопасности. Сканеры уязвимостей. Системы обнаружения атак. Классификация систем обнаружения атак.

Автоматизированные средства безопасности (АСБ)

Автоматически – с участием человека;

Автоматизировано – когда вариант решения принимает человек.

Ска́неры уязви́мостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.

Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники.

Поиск может осуществляться, как сигнатурным методом, т.е версии файлов и библиотек содержащих уязвимости.

Основная технология системы обнаружения атак

- технология сравнения с образцами (ТСО);

- технология соответствия состояния (ТСС); статический анализ

- анализ с расшифровкой протокола (АРП);

- статический анализ (СА); анализ аномалий

- анализ на основе аномалий (АОА).

Технология сравнения с образцами-в сетевом трафики заранее определенные образцы пакета9ранее определены, как атакующие)

Положительные стороны:

1. наиболее простой метод обнаружения атак;

2. позволяет жёстко увязать образец с атакой;

3. сообщает об атаке достоверно;

4. применим для всех протоколов.

Отрицательные стороны:

1. если образец определён слишком общё, то вероятен высокий процент ложных срабатываний;

2. если атака нестандартная, то она может быть пропущена;

3. для одной атаки, возможно, придётся создавать несколько образцов;

4. метод ограничения анализом одного пакета и как следствие не улавливает тенденций и развития атак.

Технология соответствия состояния-похожа на приведущю технологию, последовательность пакетов и позволяет обнаружить разделенные по частям сетевые атаки отсекая полученные пакеты трафика, формируется атаку последовательности

Положительные стороны:

1. в применении метод лишь немного сложнее метода сравнения с образцами;

2. позволяет жёстко увязать образец с атакой;

3. сообщает об атаке достоверно;

4. применим для всех протоколов.

Отрицательные стороны:

1. в применении метод лишь немного сложнее метода сравнения с образцами;

2. позволяет жёстко увязать образец с атакой.

3. для одной атаки, возможно, придётся создавать несколько образцов/

Анализ с расшифровкой протокола-последовательность пакетов и получение данных перед поиском образов в соответствии с правилами протокола или приложения получателю. Это предотвращает отсечь атаки основные на восприятие данных протоколом или прил.,но требует предварительной фиксации системы всех организации протоколов.

Положительные стороны:

1. снижение вероятности логики срабатывания, если протокол точно определён;

2. позволяет улавливать различные варианты на основе одной атаки;

3. позволяет обнаружить случаи нарушения правил работы с протоколами.

Отрицательные стороны:

-Если стандартный протокола допускает разночтение, то вероятен высокий процент ложных срабатываний

Статический анализ-основан на накоплении статистических характеристик, описывающих поведение пользователя и сравнение текущих поведений с накопление значениями в рамках погрешности.

Положительные стороны:

некоторые типы атак могут быть обнаружены только этим методом

Отрицательные стороны:

Алгоритмы распознавания могут потребовать тонкой дополнительной настройки

1. Анализ на основе аномалий-для защищенного объекта строится модель нормативного поведения включения в себя статистических характеристик. Любое отклонение от нормы превышающий определённый порог количественные или качественный, сигнализирует от появлений ной возможной подозрительной активности.

Положительные стороны:

1. корректно настроенный анализатор позволит выявить даже неизвестные атаки;

2. не потребляет дополнительные работы по вводу новых сигнатур и правил атак.

Отрицательные стороны:

1. не может представить описание атаки по элементам;

2. скорее сообщает, что происходит

Наши рекомендации