Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
6. Ловушки – осуществляющие имитацию работы той или иной службы/хоста/сети. Контролирующие и протоколирующие все обращения к ним. Являются развивающимся классом на сегодняшний день. Очень перспективны с точки зрения сбора доказательств злого умысла нападающего, не подвергая при этом реальные системы какой-либо опасности [6, 20].
Разберём все эти классы более подробно.
Межсетевые экраны
«МЭ представляет собой локальное (однокомпонентное) или функционально-распределённое средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения о её распространении в (из) АС» [25].
В отечественной литературе в последнее время наблюдается разнобой в терминологии, в качестве синонима термина МЭ часто используются слова: «брандмауэр» и «firewall», заимствованные из немецкого и английского языков, соответственно дословно обозначающие «огненная стена».
Работу МЭ можно разделить на несколько составляющих:
n Анализ и фильтрация пакетов. Пакеты могут быть различных протоколов.
n Блокирование пакетов протоколов или содержимого.
n Аутентификация пользователя (подключения) и шифрование сеанса. Одновременно в МЭ могут присутствовать любые составляющие из перечисленных в зависимости от требований, предъявляемых к МЭ. Если классифицировать МЭ по ЭМВОС (OSI/ISO) [29 стр. 19-25], [30 стр. 66-74] уровню, то имеется два основных типа МЭ:
n МЭ сетевого уровня или фильтры пакетов;
n шлюзы приложений.
На канальном уровне тоже можно установить МЭ, относить данный МЭ следует к первому классу. Синонимом пакета в данном случае может служить и дейтаграмма, и ячейка, несмотря на то, что это несколько разные понятия.
МЭ больше подходят для защиты, нежели для обнаружения атак, однако ведение логов и использование этих средств совместно с другими может расширять сферу их применения в области защиты.
Под анализом и фильтрацией пакетов обычно понимается соответствие заголовков или поля данных какому-либо критерию. В процессе совершения атак или ведения подготовки к ним обмен с потенциально атакуемым объектом ведётся посредством обмена пакетами. МЭ является узким местом, где можно отсеять ненужные пакеты. Таким образом, если знать адреса нарушителей, то можно запретить обмен любым трафиком с нарушителями. Так, возможно разрешение или запрещение использования каких-либо служб какими-то отдельными узлами. Например, если имеется внутренняя БД, например, на порту 1433, то можно запретить все входящие пакеты, имеющие порт назначения 1433, тем самым исключив возможность атаки на этот порт. Также фильтрация может осуществляться на основе критерия «направления установки соединения» изнутри наружу или снаружи внутрь по флагам в пакетах. Можно запретить все входящие соединения.