|
После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение? |
Инспектор
Вы можете этот курс.
Опубликован: 20.02.2006 | Доступ: платный | Студентов: 68 / 0 | Оценка: 4.22 / 3.75 | Длительность: 33:08:00
ISBN: 978-5-9556-0087-1
Специальности: Специалист по безопасности
Теги:
Лекция 7:
Системы обнаружения вторжений
Ключевые слова: подозрительная активность, программное обеспечение, вторжение, ПО, потоки данных, TCP/IP, номер порта, информационное наполнение, экранирование, контроль целостности, межсетевой экран, ЛВС, сеть, сервер приложений, внутренняя сеть, статистика, внутренний злоумышленник, Хакер, активность, маршрутизатор, 'inline', атака, CMD, Интернет, IIS, web-сервера, RED, im-черви, запись, командный интерпретатор, Windows, переполнение буфера, internet server, API, ISAPI, доступ, команда, представление, IDA, место, прямой, GET, базы данных, Системы мониторинга сетей, OpenView, SNMP, активный пользователь, обмен сообщениями, полоса пропускания, EML, входная строка, потенциал, одноранговая сеть, сетевой администратор, отправка сообщения, пейджер, обработка сигналов, ACID, analysis, intrusion, detection, freebsd, GPL, SIG, CVS, группа пользователей, эффективная реализация, протоколирование, среда передачи, сеть Ethernet, графическая среда, intel, гигабайт, маршрутное имя, бинарный файл, уровень детализации, fast, сокет, SMB, mysql, пользователи базы данных, файл, vi, Документирование программы, адресное пространство, маска сети, Telnet, AIMS, AOL, instant messenger, chat, препроцессор, unified, машина баз данных, сервер баз данных, конфигурация базы данных, filename, self-limiting, ICMP, ping, NetBIOS, сенсор, концентраторы, rule, attack, bad, traffic, ddos, глобальная сеть, сервер dns, experimental, exploit, finger, IMAP, internet message access protocol, gopher, multimedia, NNTP, сервер телеконференций, IDS, P2P, policy, POP3, pop, ловушка, RPC, удаленный вызов процедур, троянская программа, rlogin, scan, низкоуровневая команда, почтовый сервер, интерфейс командной строки, TFTP, virus-like, CGI, client, frontpage, параметры командной строки, interface, MSB, внешняя база данных, CVE, удаленное администрирование, SSL, MODULE, основной раздел, vulnerability, управление доступом, управление конфигурацией, chris, IPsec, administrative tools, two-pass, UDP, IPX, MSG, TTL, TOS, идентификатор фрагмента, flagging, ACK, echo, offset, SID, rev, priority, %URI, tagged, stateless, метасимволы, отрицание, документирование, файл паролей, целостность файлов, gene, PS/2, rpm, CFG, почтовый клиент, переменные окружения, acceptable, системная переменная, идентификатор устройства, описатель файла, номер описателя файла, режим доступа к файлу, тип файла, идентификатор пользователя, хэш-код, HAVAL, MD5, SHA-1, SHS, режим доступа
В предыдущей лекции мы ознакомились с сетевыми анализаторами и многими полезными вещами, которые можно делать с их помощью. Анализаторы можно использовать даже для выявления подозрительной активности в сети. Еще один шаг в этом направлении можно сделать, используя программное обеспечение, называемое системами обнаружения вторжений. По сути эти программы представляют собой модифицированные анализаторы, которые видят все потоки данных в сети, пытаются выявить потенциально вредный сетевой трафик и предупредить вас, когда таковой появляется. Основной метод их действия заключается в исследовании проходящего трафика и сравнении его с базой данных известных шаблонов вредоносной активности, называемых сигнатурами. Использование сигнатур очень похоже на работу антивирусных программ. Большинство видов атак на уровне TCP/IP имеют характерные особенности. Система обнаружения вторжений может выявлять атаки на основе IP-адресов, номеров портов, информационного наполнения и произвольного числа критериев. Существует другой способ обнаружения вторжений на системном уровне, состоящий в контроле целостности ключевых файлов. Кроме того, развиваются новые методы, сочетающие концепции обнаружения вторжений и межсетевого экранирования или предпринимающие дополнительные действия помимо простого обнаружения (см. врезку "Новое поколение систем обнаружения вторжений"). Однако в этой лекции основное внимание уделено двум наиболее популярным способам обнаружения вторжений в сети и системах: сетевое обнаружение вторжений и контроль целостности файлов.
Сетевая система обнаружения вторжений может защитить от атак, которые проходят через межсетевой экран во внутреннюю ЛВС. Межсетевые экраны могут быть неправильно сконфигурированы, пропуская в сеть нежелательный трафик. Даже при правильной работе межсетевые экраны обычно пропускают внутрь трафик некоторых приложений, который может быть опасным. Порты часто переправляются с межсетевого экрана внутренним серверам с трафиком, предназначенным для почтового или другого общедоступного сервера. Сетевая система обнаружения вторжений может отслеживать этот трафик и сигнализировать о потенциально опасных пакетах. Правильно сконфигурированная сетевая система обнаружения вторжений может перепроверять правила межсетевого экрана и предоставлять дополнительную защиту для серверов приложений.
Сетевые системы обнаружения вторжений полезны при защите от внешних атак, однако одним из их главных достоинств является способность выявлять внутренние атаки и подозрительную активность пользователей. Межсетевой экран защитит от многих внешних атак, но, когда атакующий находится в локальной сети, межсетевой экран вряд ли сможет помочь. Он видит только тот трафик, что проходит через него, и обычно слеп по отношению к активности в локальной сети. Считайте сетевую систему обнаружения вторжений и межсетевой экран взаимодополняющими устройствами безопасности - вроде надежного дверного замка и системы сигнализации сетевой безопасности. Одно из них защищает вашу внешнюю границу, другое -внутреннюю часть (рис. 7.1).
Имеется веская причина, чтобы внимательно следить за трафиком внутренней сети. Как показывает статистика ФБР, более 70 процентов компьютерных преступлений исходят из внутреннего источника. Хотя мы склонны считать, что наши коллеги не сделают ничего, чтобы нам навредить, но иногда это бывает не так. Внутренние злоумышленники - не всегда ночные хакеры. Это могут быть и обиженные системные администраторы, и неосторожные служащие. Простое действие по загрузке файла или по открытию файла, присоединенного к электронному сообщению, может внедрить в вашу систему "троянскую" программу, которая создаст дыру в межсетевом экране для всевозможных бед. С помощью сетевой системы обнаружения вторжений вы сможете пресечь подобную активность, а также другие возможные компьютерные интриги. Хорошо настроенная сетевая система обнаружения вторжений может играть роль электронной "системы сигнализации" для вашей сети.
Роман Попов