1. Главная
  2. Информатика
  3. Пользователи системы обнаружения атак

Пользователи системы обнаружения атак

Для разграничения доступа к системе обнаружения атак требуется так настроить операционную систему, под управлением которой функционирует система обнаружения атак, как это описано выше. Во-первых, необходимо ограничить круг пользователей, имеющих к ней доступ, чтобы никто кроме определенных лиц не имел к ней доступа. Это даст возможность предотвратить несанкционированную реконфигурацию системы обнаружения атак и нарушение ее функционирования. Как минимум, к системе обнаружения атак должны иметь доступ двое специалистов:

· администратор (или оператор) системы обнаружения атак, отвечающий за ее настройку и мониторинг контролируемых ресурсов;

· администратор операционной системы, поддерживающий ее функционирование, обновление системного ПО и т. д.

Во многих организациях эти сотрудники относятся к различным подразделениям: управлению безопасности (или отделу защиты информации) и управлению информатизации. В крупных компаниях с разветвленной структурой "руководство" системой обнаружения атак может выполняться не двумя, а большим числом специалистов. Например, настройку сенсоров осуществляет администратор, мониторинг сети — оператор, а за реагирование на обнаруженные атаки ответственен третий сотрудник (группы реагирования на инциденты). При этом операторы системы обнаружения атак не имеют возможности изменить ее конфигурацию. В противном случае указанные категории пользователей совмещаются в одном лице.

Если система обнаружения атак выполнена как программно-аппаратное решение с функциями маршрутизации (например, Cisco Secure Integrated Software или RealSecure for Nokia), то вместо администратора ОС с данным "симбионтом" работает администратор сети (из управления телекоммуникаций). За рубежом в последнее время получили широкое распространение услуги по аутсорсингу в области безопасности, т. е. управление средствами защиты специалистами третьих фирм, специализирующимися на предоставлении подобных услуг. В этом случае функции управления системой обнаружения атак и операционной системой возлагаются на персонал этих фирм.

Права доступа к системе обнаружения атак

В случае удаленного доступа к системе обнаружения атак, а также для укрепления надежности взаимодействия между ее компонентами (например, Между сенсором и консолью) необходимо использовать механизмы строгой аутентификации и криптографических преобразований. Причем эти механизмы нужны даже в том случае, если такое взаимодействие или доступ осуществляются из внутренней сети. Не стоит полагаться на такую возможность, как контроль доступа с определенных адресов. Во-первых, такой контроль не может быть осуществлен в сетях с динамическим выделением адресов (например, при помощи протокола DHCP). А во-вторых, адрес достаточно легко подменить, что позволит злоумышленнику выдать себя за одного из участников взаимодействия. Выходом из данной ситуации является технология UAM (User to Address Mapping), предложенная компанией Check Point и реализованная в ее решениях. С помощью разработанного Check Point интерфейса OPSEC SDK можно интегрировать названный механизм в системы обнаружения атак. Данная технология очень проста и позволяет эффективно осуществлять аутентификацию пользователей в сетях с динамическим выделением адресов. Аутентификация заключается в следующей последовательности действий:

1. После включения компьютер обращается к DHCP-серверу и получает свободный IP-адрес. Одновременно с этим информация о выделенном IP-адресе и соответствующем ему МАС-адресе и имени узла посылается на UAM-сервер.

2. При регистрации пользователя в сети на UAM-сервер передаются сведения об имени пользователя и имени узла, с которого осуществляется вход в систему.

3. Затем UAM-сервер сопоставляет данные, полученные на первом и втором шагах, и в результате имеет точное представление о том, по какому адресу в данный момент времени находится тот или иной пользователь.

4. При доступе к различным ресурсам система защиты оперирует не IP-адресами, а именами пользователей.

Политика безопасности

Политика безопасности (в части, касающейся инфраструктуры обнаружения атак) должна рассматривать следующий список как неявно заданные вопросы и содержать ответы на них.

· Описание контрольных сумм (хэш-функций) программного обеспечения системы обнаружения атак.

· Список пользователей, имеющих доступ к системе обнаружения атак.

· Меры, предпринимаемые по защите системы обнаружения атак.

· Расписание порядка резервирования компонентов системы обнаружения атак.

Все действия, связанные с системой обнаружения атак, должны быть зафиксированы в соответствующих документах, составляющих политику безопасности. Расположенный ниже список опять-таки содержит вопросы, на которые вы должны ответить, заполняя эти документы.

· Контролируемые ресурсы или анализируемые узлы.

· Наиболее вероятные атаки.

· Объекты (протоколы, адреса, порты, файлы и т. д.), доступные извне для защищаемого ресурса.

· Субъекты (пользователи, приложения и т. п.), использующие защищаемые ресурсы.

· Кто и как будет управлять системой обнаружения атак?

· Правила и шаблоны системы обнаружения атак.

Наши рекомендации

Выявление уязвимостей компьютерных сетей. Системы обнаружения атак

Системы обнаружения атак

Системы обнаружения атак на уровне узла. Теперь обратимся к недостаткам, свойственным только системам обнаружения атак

Глава 8. Выбор системы обнаружения атак

Выбор системы обнаружения атак

Системы обнаружения атак на уровне узла

Разработка своей собственной системы обнаружения атак

Какой метод обхода сетевых систем обнаружения вторжений заключается в действиях нарушителя с целью противодействовать сетевым системам обнаружения атак исследовать полезную нагрузку пакета?

Локальные и сетевые системы обнаружения атак

Выделение управляющего центра многоагентной системы обнаружения сетевых атак