Безопасность и Internet - статьи


Управление данными - часть 2


Этот метод эффективен, но имеет свои ограничения: хакеры по-прежнему могут опознавать сеть-приманку и инициировать атаки, не превышая ограничения на число исходящих соединений. В GenII существует второй уровень управления данными: шлюз IPS (intrusion prevention system — «система предотвращения вторжений»). Этот шлюз обладает теми же возможностями для обнаружения атак, что и обычные IDS (intrusion detection system — «система обнаружения вторжений»), но имеет преимущество, поскольку позволяет блокировать атаки после того, как те идентифицированы.

Рис. 3. Сигнатура Snort-Inline применяется для модификации и обезвреживания известной DNS-атаки, использующей опцию замены. Жирным шрифтом выделена команда, служащая для модификации и обезвреживания атаки

Honeynet Project еще более эффективно использует эту возможность за счет применения Snort-Inline, представляющей собой модифицированную версию свободно распространяемой технологии обнаружения вторжений Snort. Вместо того чтобы блокировать обнаруженные исходящие атаки, их модифицируют и обезвреживают (на рис. 3 представлен пример известной DNS-атаки). Хакеры запускают свои эксплоиты, которые путешествуют по Internet и поражают установленные для них цели, но Snort-Inline обезвреживает такие атаки, и те заканчиваются впустую. Хакеры осознают свою неудачу, но понять ее причины они не в состоянии. В этой ситуации можно выполнять мониторинг действий хакеров, одновременно снижая риск нанесения ущерба удаленным системам.

Есть вероятность того, что шлюз IDS не распознает новую или замаскированную атаку, но существует и иной риск, который следует принять во внимание при развертывании данной технологии. Если хакер инициирует ранее неизвестную атаку, а шлюз IDS пропустит ее, хакер потенциально может использовать жертву в своих интересах. К счастью, однако сеть-приманка будет регистрировать все действия хакера, в том числе задействованные инструменты, его методы и сигнатуру новой атаки. Эта информация затем будет распространена в сообществе специалистов по защите, что позволит им уберечься от повторения такой атаки.




- Начало -  - Назад -  - Вперед -