IDS сетевого уровня рассматриваются как эффективное средство сбора информации о событиях, происходящих в сети. Преимущества IDS сетевого уровня:

1. Он устанавливается только в наиболее важных точках сети для мониторинга всего входящего сетевого трафика и обычно состоит из нескольких однонаправленных пассивных хостов, которые перехватывают сетевой трафик в разных частях сети и сообщают об атаках на одну консоль управления. Работа хостов IDS практически не влияет на саму сеть.

2. Обнаружение сетевых атак типа «отказ в обслуживании» и «фрагментация пакетов». Анализ содержимого пакета данных позволяет выполнять поиск команд или конкретного синтаксиса, используемого в атаках.

3. Возможность анализировать «on-line» трафик, что не позволяет хакеру удалить следы своего присутствия.

4. Обнаружение и реагирование в реальном времени для сбора информации об атаке и злоумышленнике до завершения атаки.

5. Регистрация отраженных нападений или попыток подозрительных намерений нарушителя, что важно при оценке и совершенствовании политики безопасности.

6. Независимоcть от операционных систем, установленных в корпоративной сети.

К недостаткам сетевых IDS можно отнести невозможность анализа зашифрованной информации противника (шифрование делает невозможным анализ интенсивности потока пакетов). Кроме того, большинство сетевых IDS не сообщают, была ли атака успешной (они сообщают только, что она была начата). После обнаружения атаки администраторы должны вручную исследовать каждый атакованный узел, чтобы определить, имело ли место вторжение.

Сегодняшняя IDS на уровне приложений отслеживает события, происходящие в приложении, посредством очного аудита (securitylog или syslogd). Они обнаруживают атаки, анализируя файлы журнала приложения и сравнивая новые записи с известными сигнатурами атак. Имея прямой интерфейс с приложением и знание приложения, IDS прикладного уровня имеют гораздо больше возможностей найти подозрительную активность в приложении. При обнаружении атаки система посылает сигнал тревоги администратору или активизирует другие определенные механизмы ответа.

Преимущества IDS уровня приложения:

1. Возможность подтверждения успеха или неудачи атаки на основе отложенного анализа журналов, содержащих данные о событиях, которые действительно произошли, дополняя раннее предупреждение о начале атаки с помощью IDS сетевого уровня.

2. Возможность анализа расшифрованного входящего трафика, поскольку он имеет интерфейс с приложением и может дешифровать трафик.

---

Однако IDS прикладного уровня более уязвимы, чем IDS уровня хост-системы, и могут быть атакованы и отключены, поскольку они выполняются как приложения на хосте, что является их недостатком.

IDS системного уровня анализируют активность хоста, за которой они следят, и точно определяют, какой процесс или пользователь проявляет подозрительную активность в операционной системе. Система IDS системного уровня может централизованно управлять несколькими хостами и сообщать о атаках на одну консоль безопасности.

Главные преимущества.

1. Строгий контроль работы пользователя на узле, который обычно осуществляется только администратором сети (доступ к файлам, изменение прав доступа к файлам, попытки установки новых программ и/или попытки доступа к привилегированным службам), а также контроль за изменениями в ключевых системных или исполняемых файлах и т.д., что часто позволяет отслеживать несанкционированную деятельность вплоть до отдельного пользователя.

2. Распределение событий аудита по классам для упрощения конфигурации системы аудита;

3. Параметризация информации, собранной в соответствии с пользователем, классом, событием аудита, успешным/неуспешным вызовом системы;

4. Обнаружение атак, пропускающих IDS сетевого уровня (например, атак с самого атакуемого сервера).

5. Обнаруживайте и реагируйте на атаку практически в реальном времени, так как они получают прерывание от ОС, как только появляется новая запись журнала.

6. Не требуется дополнительного оборудования (установка отдельного узла IDS в сети), поскольку программное обеспечение IDS системного уровня устанавливается на существующую сетевую инфраструктуру, включая файловые серверы, веб-серверы и другие используемые ресурсы.

7. Позволяет масштабировать систему путем установки дополнительных агентов при расширении списка контролируемых сетевых узлов.

Недостатки.

1. Программные агенты обычно должны устанавливаться и поддерживаться на каждом контролируемом хосте.

2. Возможность атаки «отказ в обслуживании» путем переполнения файловой системы аудита.

3. Не удается обнаружить распределенную атаку на все узлы сети, так как она отслеживает только входящий сетевой трафик на своем узле.

4. Трудности обнаружения и отражения атак типа «отказ в обслуживании».

5. Использование вычислительных ресурсов хостов, которым они управляют. Высокое потребление системных ресурсов при необходимости детального мониторинга (производительность процессора, потребление локального диска и архивной памяти). 

---

3.2.6.  Технические решения по применению аппаратно-программный комплекс шифрования «Континент»

Основным назначением аппаратно-программного комплекса шифрования (АПКШ) «Континент» является защита информации, в корпоративных сетях, использующих для передачи данных протоколы семейства TCP/IP v. 4, а также защита сегментов VPN от проникновения извне. В состав АПКШ «Континент» входят следующие компоненты:

– криптографический шлюз (КШ) «Континент»;

– центр управления сетью (ЦУС) КШ;

– программу управления сетью КШ.

АПКШ «Континент» обеспечивает:

– шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищаемыми сегментами сети;

– защиту внутренних сегментов сети от несанкционированного доступа извне;

– скрытие внутренней структуры защищаемых сегментов сети;

– централизованное управление защитой сети.

            События аудита регистрируются в журналах аудита в виде отдельных записей. На АПКШ с установленным ЦУС формируются как журналы КШ, так и журналы ЦУС. События, происходящие на КШ, регистрируются в локальных журналах КШ. Для централизованного доступа к записям содержимое локальных журналов перемещается через ЦУС на хранение в БД на сервер БД АПКШ «Континент». В системном журнале регистрируются события, связанные с работой подсистем КШ и ЦУС, а также события, регистрируемые другими СЗИ (например, ПАК «Соболь»). Для каждого зарегистрированного события сохраняются время регистрации, описание события, категория и ряд дополнительных параметров.

            В журнале НСД хранятся записи о зарегистрированных событиях, свидетельствующих о возможных угрозах безопасности. Каждая запись содержит информацию о количестве зарегистрированных событий в течение одной минуты, а также ряде дополнительных параметров. В журнал НСД также осуществляется запись событий, связанных с IP-пакетами, отброшенными пакетным фильтром или не соответствующих ни одному правилу фильтрации.

21. Протокол формирования защищенного туннеля на канальном уровне PPTP (Point-to-PointTunnelingProtocol),

Ответ:

Протокол формирования защищённого туннеля на канальном уровне PPTP

PPTP, или «Туннельный протокол точка-точка», – это сетевой протокол, который в основном используется на компьютерах с Windows. В настоящее время он считается устаревшим для использования в VPN (виртуальных частных сетях) из-за многих известных проблем безопасности. Например, АНБ может легко взломать PPTP. Тем не менее, PPTP все еще используется в определенных сетях, особенно в тех, которые используют компьютеры Windows.

---

Принцип работы PPTP

Для стандартного формирования криптозащищенных туннелей на канальном уровне модели OSI компанией Microsoft при поддержке компаний Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics был разработан протокол туннелирования PPTP (Point-to-Point Tunneling Protocol), представляющий собой расширение протокола PPP (Point-to-Point Protocol). В протоколе PPTP не специфицируются конкретные методы аутентификации и шифрования. Клиенты удаленного доступа в Windows NT 4.0 и Windows 98 с Dial-Up Networking поставляются с версией шифрования DES компании RSA Data Security, получившей название "шифрование двухточечной связи Microsoft" (Microsoft Point-to-Point Encryption - MPPE).

Как и все технологии туннелирования, PPTP используется для инкапсуляции пакетов данных, создавая туннель для передачи данных через IP-сеть.

PPTP использует схему клиент-сервер (техническая спецификация содержится в Интернете RFC 2637), которая работает на уровне 2 модели OSI. Как только VPN-туннель установлен, PPTP поддерживает два типа потока информации:

• 
  Управляющие сообщения для управления и, в конечном итоге, разрыва VPN-соединения. Управляющие сообщения передаются напрямую между VPN-клиентом и сервером.
  
• 
  Пакеты данных , которые проходят через туннель, то есть к клиенту VPN или от него.
  

Пользователи могут получить информацию об адресе VPN-сервера PPTP у администратора сервера. Строки подключения могут быть либо именем сервера, либо IP-адресом, который администратор может предоставить пользователям напрямую.

Протоколы PPTP

PPTP использует GRE (General Routing Encapsulation) туннелирование для инкапсуляции пакетов данных. Он использует TCP-порт 1723 и IP-порт 47 через протокол управления транспортом (TCP). Что касается шифрования, PPTP поддерживает до 128-битных ключей и использует MPPE (Microsoft Point-to-Point Encryption).

Режимы туннелирования: добровольные и обязательные

PPTP поддерживает два типа туннелирования:

• 
  Добровольное туннелирование . Тип туннелирования, инициируемый клиентом (например, Microsoft Windows) при существующем соединении с сервером.
  
• 
  Обязательное туннелирование . Тип туннелирования, инициируемый сервером PPTP на интернет-провайдере, для которого требуется сервер удаленного доступа для создания туннеля.
  

22. Протокол формирования защищенного туннеля на канальном уровне L2F (Layer-2 Forwarding)

---

Ответ:

Канальному уровню модели OSI соответствует также протокол туннелирования L2F (Layer-2 Forwarding), разработанный компанией Cisco Systems при поддержке компаний Shiva и Northern Telecom. В данном протоколе также не специфицируются конкретные методы аутентификации и шифрования. В отличие от протокола PPTP протокол L2F позволяет использовать для удаленного доступа к провайдеру Internet не только протокол PPP, но и другие протоколы, например, SLIP. При формировании защищенных каналов по глобальной сети провайдерам Internet не нужно осуществлять конфигурацию адресов и выполнять аутентификацию. Кроме того, для переноса данных через защищенный туннель могут использоваться различные протоколы сетевого уровня, а не только IP, как в протоколе PPTP. Протокол L2F стал компонентом операционной системы IOS (Internetwork Operating System) компании Cisco и поддерживается во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа.

Протокол L2F обладает следующими свойствами:

1) гибкостью процедур аутентификации, предполагающей отсутствие жесткой привязки к конкретным протоколам проверки подлинности;

2) прозрачностью для конечных систем - рабочим станциям локальной сети и удаленной системе не требуется специального программного обеспечения для использования защитного сервиса;

3) прозрачностью для посредников - авторизация удаленных пользователей выполняется аналогично случаю непосредственного подключения пользователей к серверу удаленного доступа локальной сети;

4) полнотой аудита - регистрация событий доступа к серверу локальной сети осуществляется не только сервером удаленного доступа этой сети, но и сервером провайдера.

В соответствии со спецификацией протокола L2F в образовании защищенного туннеля участвуют протоколы нескольких типов:

1) исходный инкапсулируемый протокол - это протокол, на основе которого функционирует локальная сеть, например, IP, IPX или NetBEUI;

2) протокол-«пассажир», в который инкапсулируется исходный протокол и который сам должен быть инкапсулирован при удаленном доступе через открытую сеть; рекомендуется протокол РРР;

3) управляющий (инкапсулирующий) протокол, который используется для создания, поддержания и разрыва туннеля (в качестве такого протокола применяется L2F);

4) протокол провайдера - используется для переноса инкапсулируемых протоколов (исходного протокола и протокола-«пассажира»); самым распространенным протоколом провайдера является IP.

---

Смотрите также файлы

• Внешняя политика Это деятельность на международной арене, регулирующая взаимоотношения с другими государствами и народами.docx

• Жасспірімдерді нашаорлыа атынасы сауалнамасы.docx

• Программа среднего профессионального образования 39. 02. 01 Социальная работа (базовая подготовка).rtf

• азастан республикасы білім жне ылым министрлігі м.Уезов атындаы ОТстік азастан университеті филология факультеті.docx

• Методические приемы обучения решению задач в начальной школе.pptx