Анализ сетевого трафика

Анализ сетевого трафика проводится для обнаружения атак, предпринятых злоумышленниками, находящимися как в сети организации, так и в Internet.

Для этого следует:

  • • сохранять и анализировать статистику работы маршрутизаторов, особенно - частоту срабатывания фильтров;
  • • применять специализированное программное обеспечение для анализа трафика с целью выявления выполняемых атак (NIDS - Network Intrusion Detection System). Выявлять узлы, занимающие ненормально большую долю полосы пропускания, и другие аномалии в поведении сети;
  • • применять программы типа arpwatch для выявления узлов, использующих нелегальные IP- или МЛС-адреса;
  • • применять программы типа Anti sniff для выявления узлов, находящихся в режиме прослушивания сети.

Защита маршрутизатора

Мероприятия по защите маршрутизатора проводятся с целью предотвращения атак, направленных на нарушение схемы маршрутизации датаграмм или на захват маршрутизатора злоумышленником.

Для осуществления защиты маршрутизатора необходимо:

  • • использовать аутентификацию сообщений протоколов маршрутизации с помощью алгоритма MD5;
  • • осуществлять фильтрацию маршрутов, объявляемых сетями-клиентами, провайдером или другими автономными системами. Фильтрация выполняется в соответствии с маршрутной политикой организации; маршруты, не соответствующие политике, игнорируются;
  • • использовать на маршрутизаторе, а также на коммутаторах статическую Л RP-табл ицу узлов сети организации;
  • • отключить на маршрутизаторе все ненужные сервисы (особенно так называемые «диагностические» или «малые» сервисы TCP: echo, Chargen, daytime, discard и UDP: echo, Chargen, discard);
  • • ограничить доступ к маршрутизатору консолью или выделенной рабочей станцией администратора, использовать парольную защиту; не использовать Telnet для доступа к маршрутизатору в сети, которая может быть прослушана;
  • • применять последние версии и обновления программного обеспечения, следить за бюллетенями по безопасности, выпускаемыми производителем.

Защита хоста

Мероприятия по защите хоста проводятся с целью предотвращения атак, имеющих целью перехват данных, отказ в обслуживании или проникновение злоумышленника в операционную систему.

Для защиты хоста следует:

  • • запретить обработку ICMP Echo-запросов, направленных на широковещательный адрес;
  • • запретить обработку ICMP-сообщений «Redirect», «Address Mask Reply», «Router Advertisement», «Source Quench»;
  • • если хосты локальной сети конфигурируются динамически сервером DHCP, использовать на DHCP-сервере таблицу соответствия MAC- и IP-адресов и выдавать хостам заранее определенные IP-адреса;
  • • отключить все ненужные сервисы TCP и UDP (перевести порты из состояния LISTEN в CLOSED);
  • • для обслуживания входящих соединений использовать супердемон типа tcp- server или xinetd, позволяющий устанавливать максимальное число одновременных соединений, список разрешенных адресов клиентов, выполнять проверку легальности адреса через DNS и регистрировать соединения в лог-файле;
  • • использовать программу типа tcplogd, позволяющую отследить попытки скрытного сканирования (например, полутокрытыми соединениями);
  • • использовать статическую ARP-таблицу узлов локальной сети;
  • • применять средства безопасности используемых на хосте прикладных сервисов;
  • • использовать последние версии и обновления программного обеспечения, следить за бюллетенями по безопасности, выпускаемыми производителем.

Превентивное сканирование

Администратор сети должен знать и использовать методы и инструменты злоумышленника и проводить превентивное сканирование сети организации для обнаружения слабых мест в безопасности до того, как это сделает злоумышленник. Для этой цели имеется также специальное программное обеспечение - сканеры безопасности (network security scanners) типа Nessus.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >