Программа исследования перспективных телекоммуникаций и распределения информации
Download 0.49 Mb. Pdf ko'rish
|
27-1-1
|
Центр стратегических оценок и прогнозов www.csef.ru
34 IР-адреса, использует люк, и СОВ не обнаруживает очевидный нормальный вход в главный компьютер. Другая проблема происходит, когда нападавший запускает нападения отказа в обслуживании. В этом случае каждый пакет может быть направлен с различным IP-адресом, таким образом делающих фильтрацию пакетов нападения невозможной. 10.2. Идеальные механизмы ответа Предположим, что нападающий проник через сеть и скомпрометировал некоторые главные компьютеры. Алгоритм идеального ответа собирает доказательства деятельности нападающего, удаляет нападающего из сети, восстанавливает повреждения, и реконфигурирует сеть, чтобы сопротивляться данной методике проникновения нападающего. В сегодняшних условиях невозможно автоматизировать подобный идеальный ответ, так как люди будут испытывать большие трудность, выполняя это. Мы не можем автоматизировать то, что мы непосредственно не можем делать. Однако мы можем автоматизировать приближение этого идеального ответа. Такое приближение должно иметь следующие свойства, не существующие в современных средствах автоматизированного ответа: · способность динамически изменять или отключать цель атаки. Это свойство дает возможность СОВ автоматически удалить злоумышленника из цели, защитить целевой компьютер от дальнейшего повреждения посредством отключения или выполнить расширенный аудит действий нападающего; · способность динамически изменять или отключать главный компьютер нападения. В случае нападения изнутри сети, это дает возможность СОВ автоматически остановить порождение нападения также как записать доказательства действий нападающего; · способность определять главный компьютер, который начинает нападение. Когда пакеты нападения перехвачены, они могут быть только прослежены по каналу Ethernet, путем опроса каждого маршрутизатора относительно источника пакетов. Как только правильный Ethernet-адрес найден, каждый из главных компьютеров в сети Ethernet должен быть проанализирован, чтобы определить, который из них является ответственным за запуск нападения. Таким образом, СОВ дает возможность проследить путь нападающего; · способность контролировать весь сетевой трафик к/от цели. Необходимо записать для доказательства все пакеты, которые нападающий посылает цели. Кроме того, необходимо записать пакеты, исходящие от цели, так как она может быть использована в качестве промежуточной точки для проникновения в другие главные компьютеры; · способность изменять таблицы маршрутизации и разрешения в Firewall на каждом межсетевом экране и маршрутизаторе. Часто необходимо изолировать нападающего или целевой узел, чтобы предотвратить возможный Центр стратегических оценок и прогнозов www.csef.ru 35 дальнейший ущерб. Такая изоляция может ограничивать законный трафик так, что необходимо оптимально разместить фильтры таким образом, чтобы в наибольшей степени сдерживать нападающего, в то время как законный трафик должен проходить беспрепятственно. Этот список требований, необходимых для реализации приближения к идеальному ответу подразумевает, что службы безопасности установлены на каждом ведущем и сетевом устройстве. Это не означает, однако, что каждый компонент сети должен иметь установленную СОВ, которая знает остальную Download 0.49 Mb. Do'stlaringiz bilan baham: 
|