КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Прикладные посредники
|
|
|
|
Модуль мониторинга и оповещения
Модуль мониторинга и оповещения генерирует все динамические и статистические данные всех подсистем МЭ и ОС (количество принятых/отправленных, разрешенных/запрещенных пакетов, попыток неудачной аутентификации, расходование дискового пространства и оперативной памяти и др.) и оповещает администратора о критических и иных событиях (обнаружение типовых атак, исчерпание системных ресурсов, подключение к определенному ресурсу новых пользователей и др.).
Большинство МЭ позволяют определять действия, которые должен осуществить экран в случае выполнении правила или наступления какого-либо события. К таким действиям относятся:
• запуск внешних программ с передачей им параметров;
• вывод сообщений на консоль управления МЭ;
• подача звукового сигнала;
• запись в журнал;
• отправка сообщения по электронной почте;
• отправка сообщения на пейджер;
• отправка SNMP-трапа.
Выбор того или иного способа оповещения зависит от типа правила, для которого определено событие МЭ. Например, для разрешающего правила нет смысла отправлять администратору сообщение по электронной почте, поскольку администратору нет необходимости отслеживать нормальную активность. Но в случае срабатывания запрещающих правил или обнаружения вторжений администратор должен быть информирован об этом как можно скорее. Но и для запрещающих правил определять выполняемые действия МЭ нужно осторожно, поскольку взрывной рост выполнения таких правил (например, при сканировании портов, выполнении атаки SYN-flood на запрещенные порты) может привести к отказу обслуживания как самого МЭ, так и используемой схемы оповещения. Чтобы исключить подобную ситуацию, некоторые МЭ имеют опцию «регистрировать только первое событие» или «применить только для первого пакета».
При организации защиты грамотное использование системы сигнализации МЭ играет огромную роль, поскольку она в первую очередь предназначена для выявления аномалий активности и пре-
дупреждения администратора безопасности о попытках нарушения ИБ или ситуациях, требующих его вмешательства.
Модули мониторинга и оповещения современных МЭ частично выполняют функции систем обнаружения вторжений (IDS - intrusion detection system), целью которых является обнаружить и предотвратить вторжения на первых стадиях их проявления.
Прикладные посредники являются неотъемлемой частью большинства МЭ. Они позволяют управлять ПБ на прикладном уровне сетевых приложений. Принцип действия посредников основывается на установлении посредничества между клиентом и сервером. В самом общем случае клиент устанавливает соединение с посредником и запрашивает его об установлении соединения с сервером. Таким образом устанавливается два соединения: между клиентом и посредником и между посредником и сервером. Посредник контролирует корректность и допустимость команд и параметров, передаваемых клиентом с одной стороны, а при приеме данных от сервера выполняет их проверку на ряд условий безопасности. Очевидно, для каждого прикладного протокола должен быть разработан собственный прикладной посредник, и для каждого прикладного протокола реализуемые функции безопасности также будут различными.
Поскольку посредники прикладного уровня понимают прикладной протокол, то имеется возможность более тонко управлять политикой доступа к сетевым сервисам. Например, большинство посредников HTTP (HTTP-proxy) позволяет управлять доступом к различным WEB-ресурсам по имени универсального локатора ресурсов (URL), а также блокировать активные компоненты - Java, Java script, ActiveX, теги HTML. Для протокола FTP возможно разделение полномочий по доступу к файлам FTP-сервера по различным критериям. Например, разрешить доступ только к строго определенным директориям или файлам, ограничить выполнение FTP-команд, запретить загрузку файлов при превышении максимально установленного размера файла.
Большинство ограничений использования прикладного сервиса может быть установлено на самом сервере. Перечислим некоторые причины, когда использование посредника предпочтительнее (иногда это единственный способ реализации той или иной задачи
безопасности):
• прикладной сервер находится не в локальной сети и его нельзя
контролировать;
• отсутствуют функциональные возможности программного обеспечения прикладного сервера по реализации требуемых ограничений;
• МЭ реализует более гибкое обеспечение безопасности использования сервиса.
Подробно прикладные посредники как МЭ прикладного уровня
рассматриваются в гл. 3.
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 349; Нарушение авторских прав?; Мы поможем в написании вашей работы!