Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Поймать вора

Патрик Мюллер, Грег Шипли

Хотя мы и считали себя достаточно подкованными людьми в области обнаружения вторжений, но, окончив тестировать десять продуктов IDS в сети университета DePaul, мы, можно сказать, получили высшее образование по данной специальности.

Одно приходит на ум, когда подводишь итоги нашего шестимесячного тестирования систем обнаружения вторжений: ученье — свет. Журнал Network Computing занимается индустрией IDS с 1998 г. По этой теме было опубликовано уже множество статей, а наши методология и критерии оценок с каждым разом совершенствовались. Но когда мы решили углубиться в предмет еще раз и в партнерстве с чикагским университетом DePaul развернули 10 продуктов IDS для защиты более

10 000 действующих хостов, то почувствовали себя первоклашками. Мы были неподготовлены к такому серьезному тестированию — и это еще мягко сказано. Но вот прошло шесть месяцев. Мы выжили, но, правда, с трудом.

Рынок систем обнаружения вторжений сейчас на подъеме, и многие организации проводят у себя пилотные испытания IDS. Фактически его ежегодный прирост составляет 50%, и поставщики услуг управления безопасностью (Managed Security Service Providers — MSSP) уже вырастают из детских штанишек. Опросы показывают, что, несмотря на разорение одних компаний и продажу контрольных пакетов акций других, нашим читателям технологии IDS более интересны, чем другие технологии безопасности. Да и денег на этом рынке тратится все больше (см. результаты опроса http://www.nwc.com/1217/ 1217rd3.html). Но, помучившись с развертыванием систем IDS, у компаний начинается головная боль по поводу их эксплуатации. В этой связи все более популярной становится идея заключения договора со сторонней фирмой на предмет сопровождения этих систем.

Со всей этой шумихой по поводу IDS, темпами роста самой индустрии и крутящимися на рынке деньгами, вы можете подумать, что время IDS пришло. Но в действительности технология хотя и может быть полезной, однако еще далека от совершенства. Существуют проблемы с оперативностью обновления сигнатур. Немногие продукты могут работать с большими массивами данных, а те, что могут, очень часто "нагружают" оператора ненужными сведениями. Компании Cisco Systems и Enterasys Networks — единственные поставщики, предложившие действительно масштабируемые решения. Производители начали решать вопросы агрегирования данных, но лишь немногие из них имеют продукты, способные коррелировать их.

Вы, однако, выигрываете от удачного развертывания системы IDS. Оно обеспечит вам такой уровень детализации информации, какой недоступен обычным средствам защиты периметра сети, а также поможет установить более эффективное наблюдение за работой наиболее важных машин. IDS могут выступать в роли систем раннего предупреждения и даже уменьшать время реакции на предпринятые атаки. Они способны выдать столько статистических данных по ним, сколько не под силу "переварить" самому выдающемуся специалисту по информационным технологиям (ИТ). Большинство вещей, творящихся сегодня в Интернет, непостижимо для непосвященных умов, а современные IDS создают вполне внятные отчеты.

Сообразительные ИТ-менеджеры больших организаций смогут использовать NIDS (IDS сетевого уровня) для определения в своих сетях тенденций в характере и динамике трафика, для распознавания атак, "слабых" систем и недобросовестных пользователей. Сегодняшние NIDS, в общем-то, не остановят искушенного хакера, но им вполне по силам осадить неопытных злоумышленников и помочь найти уязвимые места в сети.

Нашей задачей было пойти дальше обычного тестирования и использовать системы IDS для мониторинга и защиты крупномасштабной сети. Все выглядело просто: вести мониторинг, "вычислять" непрошеных гостей и атакующих, и пытаться их остановить. К несчастью, постоянно возникали какие-то сложности: то сенсоры отказывали, то консоли "падали", то базы данных повреждались. Проблемы с разрывом соединений доводили нас до "белого каления". Аппаратное обеспечение отказывалось работать. Возникал информационный хаос и приходилось все перезапускать заново.

В конце концов, когда мы познакомились с технологией обнаружения вторжений поближе, стало очевидным, что с ней нельзя работать по принципу "запустил и забыл". Нужны — и в достаточном количестве — людские ресурсы для ее развертывания, мониторинга и поддержания в рабочем состоянии. На заметку управляющим компаний: если вы планируете развертывать IDS, не забудьте включить в статью расходов затраты на дополнительные людские ресурсы — для успеха вашего предприятия вам потребуются специалисты со стороны. Еще вам следует детально разобраться в том, как развертывание IDS повлияет на остальные аспекты ИТ. Существует ли план интеграции мероприятий сетевой безопасности с остальными мероприятиями? Что произойдет, если вдруг вы обнаружите что-то, напоминающее удавшуюся атаку? Есть ли у вас специалисты, способные провести расследование произошедших инцидентов уже после того, как они были идентифицированы?

Не следует забывать и о вопросах, не относящихся к сфере ИТ, таких, как возможное нарушение прав на неприкосновенность частной жизни и т. п. Например, ведение журналов регистрации событий, в которых будут фиксироваться чьи-то попытки найти другого работодателя, может нарушать кое-какие из этих прав. Иногда, чтобы подстраховаться, полезно проконсультироваться с юристом.

Долгое и странное путешествие

Во время нашего шестимесячного тестирования мы попытались решить некоторые из вышеупомянутых проблем. Мы выступали в роли "дополнения" к команде сетевых специалистов университета DePaul. Используя тестируемые продукты для идентификации атак, мы передавали полученную информацию команде сетевых специалистов, а те для решения проблем обращались к команде системных администраторов. Хотя такая стратегия нас вполне устраивала, она может не подойти вашей организации. Есть вещи, которые имеют мало общего с собственно технологией, но они способны оказать сильное влияние на конкретное развертывание того или иного решения IDS. По этой и многим другим причинам мы настоятельно рекомендуем провести пилотные испытания IDS до развертывания ее в вашей организации. Они помогут вам увидеть пути решения технических проблем и вообще, многое прояснят.

Могут ли IDS защитить все критически важные ресурсы вашей сети? Да, могут, но при условии, что вы знаете их ограничения и то, как они отразятся на работе вашей организации. Системы обнаружения вторжений умеют подавать сигналы тревоги — и делают это с каждой новой версией все лучше и лучше, — но не могут заменить надежные замки, "укрепленные" хосты, средства контроля доступа, предопределенные процедуры и политику безопасности.





  
11 '2001
СОДЕРЖАНИЕ

колонка редактора

• Порядок для свободы и безопасности

бизнес

• Теорема OCS

• Системы связи в энергетике

локальные сети

• Кабельные тестеры для UTP

• Тестирование систем на базе 50- и 62,5-мкм оптического волокна

• Мы будем жить по-новому

• Выбираем телекоммуникационный шкаф

корпоративные сети

• "Большая тройка" рвется на новый рынок

• Сервер как коммунальная услуга

• IP-телефония на корпоративном рынке

• Многочисленные "много-"

услуги сетей связи

• Тонкие клиенты для российских школ

• Социальные аспекты развития цифрового вещания

• Цифровое видео приближается к "критической массе"

• Тестируем устройства для передачи цифрового видео

• Тестируем WAN - анализаторы

• Новая платформа Интернет-доступа - взаимовыгодное сотрудничество операторов и Интернет-провайдеров

защита данных

• Поймать вора

• Дракон взбирается на вершину

новые продукты

• NetWare 6 предоставляет давно обещанные возможности; Новый ИБП от APC; Ericsson приближает эпоху быстрого мобильного Интернета; Решение электронного бизнеса на основе Linux компании Red Hat


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх