logo search
Olifer_V_G__Olifer_N_A_-_Kompyuternye_seti_-_2010

Протоколы защищенного канала. IPsec

887

Системы обнаружения вторжений

Система обнаружения вторжений (Intrusion Detection System, IDS) — это программное или аппаратное средство, предназначенное для предупреждения, выявления и протоколирования некоторых типов сетевых атак.

В отличие от сетевых экранов и прокси-серверов, которые строят защиту сети исключи­ тельно на основе анализа сетевого трафика, системы обнаружения вторжений учитывают в своей работе различные подозрительные события, происходящие в системе.

Существуют ситуации, когда сетевой экран оказывается проницаемым для злоумышлен­ ника, например, когда атака идет через туннель VPN из взломанной сети или инициатором атаки является пользователь внутренней сети и т. п. И дело здесь не в плохой конфигура­ ции межсетевого экрана, а в самом принципе его работы. Экран, несмотря на то что облада­ ет памятью и анализирует последовательность событий, конфигурируется на блокирование трафика с заранее предсказуемыми признаками, например по ІР-адресам или протоколам. Так что факт взлома внешней сети, с которой у него был установлен защищенный канал и которая до сих пор вела себя вполне корректно, в правилах экрана отразить нельзя. Точно так же, как и неожиданную попытку легального внутреннего пользователя скопировать файл с паролями или повысить уровень своих привилегий. Подобные подозрительные действия может обнаружить только система со встроенными агентами во многих точках сети, причем она должна следить не только за трафиком, но и за обращениями к критически важным ресурсам операционных систем отдельных компьютеров, а также иметь инфор­ мацию о перечне подозрительных действий (сигнатур атак) пользователей. Таковой и яв­ ляется система обнаружения вторжений. Она не дублирует действия межсетевого экрана, а дополняет их, производя, кроме того, автоматический анализ всех журналов событий, имеющихся у сетевых устройств и средств защиты, чтобы попытаться найти следы атаки, если ее не удалось зафиксировать в реальном времени.

Протоколы защищенного канала. IPsec

Известно, что задачу защиты данных можно разделить на две подзадачи: защиту данных внутри компьютера и защиту данных в процессе их передачи от одного компьютера в дру­ гой. Для обеспечения безопасности данных при их передаче по публичным сетям исполь­ зуются различные технологии защищенного канала.

Технология защищенного канала обеспечиваетзащитутрафика междудвумяточками воткры­ той транспортной сети, например вИнтернете. Защищенный канал подразумевает выполнение трех основныхфункций:

взаимная аутентификация абонентов при установлений соединения, которая может быть выполнена, например, путем обмена паролями;

защита передававмцх'По каналу сообщений от несанкционированного доступа, например, путем шифрования;

подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.