Автоматизированные средства безопасности. Технологии VPN и VLAN
Автоматизированные средства безопасности (АСБ)
Автоматически – с участием человека;
Автоматизировано – когда вариант решения принимает человек.
VPN-виртуальная частная сеть. Защищённые сетевые соединений поверх другой сети. Защищённость канала связи за счет использования протоколов аутентификации и шифрования, используемых для установки соединения и передачи данных поверх незащищённой сети.
Два основополагающих признака технологии VPN
- средой передачи данных обычно служат сети.
Схемы применения технологии VPN
- схема "сеть-сеть" – протокол безопасности применяется только к пакетам, выходящим из локальной сети, и прекращает своё действие при входе пакета в удалённую локальную сеть;
- схема "точка-точка" – обычно используется при удалённой работе сотрудника с сетью организации. При этом типовой вариант предполагает, что клиент подключён к серверу удалённого доступа, связь между которыми им не назначена, идёт через промышленную сеть общего пользования.
V-LAN
Типы виртуальных сетей (V-LAN)
- на основе портов коммутатора или, фактически, сетевых сегментов;
- на основе MAC-адресов или групп физических устройств;
- на основе сетевого протокола или групп логических устройств;
- на основе типов протоколов;
- на основе комбинации критериев или на основе правил;
- на основе тегов или IEEE 802.1Q;
- на основе аутентификации пользователей.
Принцип обнаружения COA заключается в построенном анализе активности в информационной системе и информировании уполномоченных субъектов об обнаружении подозрительных действий.
15.Автоматизированые средства безопасности. Сканеры уязвимостей. Системы обнаружения атак. Классификация систем обнаружения атак.
Автоматизированные средства безопасности (АСБ)
Автоматически – с участием человека;
Автоматизировано – когда вариант решения принимает человек.
Ска́неры уязви́мостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.
Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники.
Поиск может осуществляться, как сигнатурным методом, т.е версии файлов и библиотек содержащих уязвимости.
Основная технология системы обнаружения атак
- технология сравнения с образцами (ТСО);
- технология соответствия состояния (ТСС); статический анализ
- анализ с расшифровкой протокола (АРП);
- статический анализ (СА); анализ аномалий
- анализ на основе аномалий (АОА).
Технология сравнения с образцами-в сетевом трафики заранее определенные образцы пакета9ранее определены, как атакующие)
Положительные стороны:
1. наиболее простой метод обнаружения атак;
2. позволяет жёстко увязать образец с атакой;
3. сообщает об атаке достоверно;
4. применим для всех протоколов.
Отрицательные стороны:
1. если образец определён слишком общё, то вероятен высокий процент ложных срабатываний;
2. если атака нестандартная, то она может быть пропущена;
3. для одной атаки, возможно, придётся создавать несколько образцов;
4. метод ограничения анализом одного пакета и как следствие не улавливает тенденций и развития атак.
Технология соответствия состояния-похожа на приведущю технологию, последовательность пакетов и позволяет обнаружить разделенные по частям сетевые атаки отсекая полученные пакеты трафика, формируется атаку последовательности
Положительные стороны:
1. в применении метод лишь немного сложнее метода сравнения с образцами;
2. позволяет жёстко увязать образец с атакой;
3. сообщает об атаке достоверно;
4. применим для всех протоколов.
Отрицательные стороны:
1. в применении метод лишь немного сложнее метода сравнения с образцами;
2. позволяет жёстко увязать образец с атакой.
3. для одной атаки, возможно, придётся создавать несколько образцов/
Анализ с расшифровкой протокола-последовательность пакетов и получение данных перед поиском образов в соответствии с правилами протокола или приложения получателю. Это предотвращает отсечь атаки основные на восприятие данных протоколом или прил.,но требует предварительной фиксации системы всех организации протоколов.
Положительные стороны:
1. снижение вероятности логики срабатывания, если протокол точно определён;
2. позволяет улавливать различные варианты на основе одной атаки;
3. позволяет обнаружить случаи нарушения правил работы с протоколами.
Отрицательные стороны:
-Если стандартный протокола допускает разночтение, то вероятен высокий процент ложных срабатываний
Статический анализ-основан на накоплении статистических характеристик, описывающих поведение пользователя и сравнение текущих поведений с накопление значениями в рамках погрешности.
Положительные стороны:
некоторые типы атак могут быть обнаружены только этим методом
Отрицательные стороны:
Алгоритмы распознавания могут потребовать тонкой дополнительной настройки
1. Анализ на основе аномалий-для защищенного объекта строится модель нормативного поведения включения в себя статистических характеристик. Любое отклонение от нормы превышающий определённый порог количественные или качественный, сигнализирует от появлений ной возможной подозрительной активности.
Положительные стороны:
1. корректно настроенный анализатор позволит выявить даже неизвестные атаки;
2. не потребляет дополнительные работы по вводу новых сигнатур и правил атак.
Отрицательные стороны:
1. не может представить описание атаки по элементам;
2. скорее сообщает, что происходит