Методология защиты компьютерных сетей

Рассмотрение информации об обнаружении угроз и современных методах анализа безопасности компьютерных сетей. Описание основных методов работы, основанных на уровне IP. Изучение основных терминов, связанных с обнаружением вторжение и сбором трафика.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 25.07.2018
Размер файла 22,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Башкирский государственный аграрный университет

Методология защиты компьютерных сетей

Габдуллина Диана Данировна, бакалавр, студент

В данной статье представлена информация об обнаружении угроз и современных методов анализа безопасности компьютерных сетей.

В этой статье вводная информация об обнаружении вторжений и современных методов анализа сетевой безопасности. В основном здесь будут рассмотрены методы работы, основанные на уровне IP. Прежде всего, будут объяснены основные термины, связанные с обнаружением вторжений и сбором трафика. Затем будут описаны несколько методов, в соответствии со следующими критериями: угроза безопасность компьютерный сеть

· охват;

· эффективность;

· производительность;

· применимость для различных типов сбора данных;

· способность обнаружения вторжений в зашифрованном трафике.

Первый критерий -- это способность обнаруживать угрозы безопасности. Охват является полным, если метод обнаруживает как известные, так и неизвестные угрозы. Второй критерий означает точность обнаружения, скорость ложных срабатываний, полученных методом. Третий критерий - скорость обработки сетевого трафика с помощью метода - имеет решающее значение для развертывания в высокоскоростных сетях. Четвертый критерий определяет, является ли захват пакетов и/или (выборка) данных, основанных на потоке, пригодным в качестве входа оценки метода. Последний критерий является более важным в сегодняшней сети.

Основная классификация методов берется из:

1. Обнаружение вторжений. Система обнаружения вторжений (СОВ) -- программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин -- Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Можно разделить системы обнаружения вторжений (СОВ) на два основных класса в зависимости от их позиции во сети: хостовые системы обнаружения вторжений и сетевые системы обнаружения вторжений.

Хостовая система обнаружения вторжений. Этот тип обнаружения выполняется на компьютере в компьютерной сети. Хостовая система обнаружения вторжений (Хостовая СОВ) обычно отслеживает файлы журналов (например, журналов брандмауэра, журналов веб-сервера и системных журналов) и целостность системных файлов (например, целостности ядра или открытые порты).

Сетевые системы обнаружения вторжений. Сетевой подход рассматривает всю сеть или ее часть. Весь входящий или исходящий сетевой трафик проверяется на наличие подозрительных шаблонов. Шаблоны могут быть представлены в виде подписи, строки символов, которая описывает определенную атаку. Еще другой подход - обнаружение аномалий. Сначала необходимо создать модель нормального поведения сети. Затем необходимо оценить разность с моделью. Если значение больше, чем заданное (пороговое), это может указывать на атаку. Другие сетевые системы обнаружения вторжений (Сетевые СОВ) используют анализ состояния протокола, неожиданные или недопустимые последовательности пакетов с точки зрения конкретного протокола. Сетевые СОВ - пассивные системы: они являются "невидимыми " для других хостов и главным образом для нападающих.

В сочетании с СОВ, часто упоминаются два следующих термина: ложноположительных и ложноотрицательных. Первый обозначает ложное предупреждение СОВ: система классифицирует неопасный трафик, как вредоносный. Второй термин указывает на наличие вредоносного трафика, который не был распознан СОВ. Конечно, существует тенденция, чтобы минимизировать количество обоих ложных положительных и отрицательных. Например, если СОВ производит большое количество ложных срабатываний, это сигнализирует администратору о последующем ручном анализе этих предупреждений.

2. Предотвращение вторжений. Система предотвращения вторжений (англ. Intrusion Prevention System) -- программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них. Системы IPS можно рассматривать как расширение систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. По сравнению с СОВ, система предотвращения вторжений (СПВ) является реактивной системой, в которой СОВ тесно связана с брандмауэром. Основной задачей СПВ является смягчение (остановка) обнаруженной атаки. СПВ можно разделить на три класса: хостовые, сетевые и распределенные.

3. Сбор потокового трафика. Классический подход многих СОВ или СПВ для сбора данных, заключается в захвате всех сетевых пакетов, которые проходят через систему, чаще всего вPCAP-формате. Однако, многие маршрутизаторы и зонды мониторинга собирают потоковые данные, как правило, в формате NetFlow.

NetFlow и IPFIX

NetFlow был первоначально разработан компанией Cisco Systems, мировым лидером в области сетевых решений. Многие коммутаторы и маршрутизаторы Cisco способны экспортировать записи NetFlow. Есть два широко используемых версии NetFlow - версии 5 и 9. Первая из них является собственным форматом компании Cisco, а вторая была стандартизирована как открытый протокол по IETF в 2006 году.

Поток определяется как однонаправленная последовательность пакетов с некоторыми общими свойствами, которые проходят через сетевое устройство. Эти собранные потоки экспортируется на внешнее устройство, коллектор NetFlow. Сетевые потоки высоко гранулированные, например, записи потоков включают такие детали, как IP-адреса, пакеты и байты, метки, тип службы, порты приложений, входные и выходные интерфейсы, и т.д. Таким образом, коллекция потоковых данных обеспечивает агрегированный вид сетевого трафика.

IPFIX. Продолжение усиления IETF приводит к унификации протоколов и приложений, которые требуют потокового измерения IP трафика. RFC 3917 определяет требования для экспорта информации о потоке трафика из маршрутизаторов, промежуточных устройств (например, брандмауэры, прокси, балансировки нагрузки, NATs), или систем измерения трафика для дальнейшей обработки приложениями, расположенными на других устройствах. Следовательно, NetFlow версии 9 компании Cisco был выбран в качестве основы для IP Flow Information Export (экспорт информации о потоках IP, сокращенно IPFIX). Там нет фиксированных свойств, таких как в NetFlow версии 5. Пользователь может гибко определять свойства, используемые для распознавания потоков.

RFC 5101, опубликованный в январе 2008 года, определяет протокол IPFIX, который служит для передачи информации о движении IP-трафика по сети.RFC 5102 определяет информационную модель для протокола IPFIX. Он используется протоколом IPFIX для кодирования измеренной информации о трафике и информацию, связанную с целом процессе. Благодаря гибкости IPFIX, RFC 5103 может ввести термин Biflow, двунаправленный поток, и описать эффективный метод для экспорта Biflows информации с использованием протокола IPFIX. Двунаправленный вид сетевого трафика может быть полезным для анализа безопасности.

Развитие IPFIX еще не закончено. Рабочая группа IPFIX по-прежнему работает на нескольких интернет-проектах, которые будут опубликованы в качествеRFC. Самый последний RFC был выпущен в апреле 2008 года. Он обеспечивает руководящие принципы для осуществления и использования протоколаIPFIX.

Выборка пакетов выполняется (особенно маршрутизаторами), чтобы сохранить экспортеров ресурсов NetFlow. Различают два основных типа выборки:

· детерминированная - точно n пакетов из n выбирается,

· случайная - каждый пакет выбирается с вероятностью 1/n.

Постоянная n называется частотой дискретизации. Например, если она установлена на 4, и устройство принимает 100 пакетов, то 25 пакетов будет проанализировано и 75 пакетов будет отброшено для анализа. Записываются только общие поля заголовка пакета, а не вся полезная нагрузка. Выборка потока - это другой тип агрегации.

Активное и неактивное значения таймаута влияют на создание потока. Активный таймаут применяется к долговечных потоков. Если поток был неактивным некоторое время, равное таймауту неактивности или был обнаружен конец потока, статистика потока экспортируется от зонда к коллектору. Коллектор представляет собой сервер, выделенный для сбора, долгосрочного хранения и анализа статистических данных потока.

Другие технологии на основе потоков

Фирменный Cisco NetFlow или открытые IETF стандарты не являются единственными потоковыми решеними. Другой промышленный стандарт был описан в RFC 3176. sFlow - это технология для мониторинга трафика в сетях передачи данных, содержащих коммутаторы и маршрутизаторы. В частности, он определяет механизмы отбора проб, реализованные в агенте sFlow для мониторинга трафика, sFlow MIB для управления sFlow агентом и формат выборочных данных используемых агентом sFlow при пересылке данных на центральный коллектор данных. sFlow поддерживается Alcatel-Lucent, D-Link, Hewlett Packard, Hitachi и NEC.

Другие лидеры в сетевой индустрии также развивают свои собственные потоковые решения: Juniper Networks используют JFlow и Huawei Technology собственный NetStream.

Также, распространены следующие методы, которые не будут рассмотрены в данной статье:

· обнаружение на основе подписи;

· анализ протоколов с сохранением состояния;

· обнаружение аномалий.

В этой статье были рассмотрены несколько методов обнаружения для анализа защищенности компьютерной сети. Определенно, это далеко не полный список известных методов, а выборка методов, имеющих широкое распространение, а также интересных методов и подходов.

Есть несколько существующих СОВ на основе указанных методов. Snort является ведущим представителем СОВ, основанных на подписях, и де-факто стандартом для обнаружения вторжений. Она широко распространена, потому что это программное обеспечение с открытым исходным кодом. Другая часто используемая система Bro. В настоящее время не нашлось ни одного сетевого набора инструментов, который реализует методы обнаружения аномалий. Единственным исключением из этого является, скорее всего, CAMNEP, что делает возможным перенос выбранных методов из отдельной среде в авторские среды.

Список литературы

1. Northcutt, S. and Frederick, K. and Winters, S. and Zeltser, L. and Ritchey, R.: Inside Network Perimeter Security: The Definitive Guide to Firewalls, VPNs, Routers, and Intrusion Detection Systems, New Rider's Publishing, 2003, 978¬0735712324. 2.1,2.4.

2. Википедия - свободная интернет-энциклопедия. [Электронный ресурс]. URL: http://ru.wikipedia.org/wiki/IDS.

3. Википедия - свободная интернет-энциклопедия. [Электронный ресурс]. URL:http://ru.wikipedia.org/wiki/Система_предотвращения_вторжений.

Размещено на Allbest.ru

...

Подобные документы

  • Рассмотрение основных понятий защиты информации в сетях. Изучение видов существующих угроз, некоторых особенностей безопасности компьютерных сетей при реализации программных злоупотреблений. Анализ средств и методов программной защиты информации.

    дипломная работа [1,5 M], добавлен 19.06.2015

  • Эволюция систем безопасности сетей. Межсетевые экраны как один из основных способов защиты сетей, реализация механизмов контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика. Управление безопасностью сетей.

    курсовая работа [37,5 K], добавлен 07.12.2012

  • Классификация компьютерных сетей в технологическом аспекте. Устройство и принцип работы локальных и глобальных сетей. Сети с коммутацией каналов, сети операторов связи. Топологии компьютерных сетей: шина, звезда. Их основные преимущества и недостатки.

    реферат [134,0 K], добавлен 21.10.2013

  • Системы пакетной обработки данных. Появление первых глобальных и локальных компьютерных сетей. Классификационные признаки компьютерных сетей. Четыре основных вида компьютерных преступлений, их характеристика. Распространение вирусов через Интернет.

    реферат [32,6 K], добавлен 29.03.2014

  • Семиуровневая архитектура, основные протоколы и стандарты компьютерных сетей. Виды программных и программно-аппаратных методов защиты: шифрование данных, защита от компьютерных вирусов, несанкционированного доступа, информации при удаленном доступе.

    контрольная работа [25,5 K], добавлен 12.07.2014

  • Изучение понятия информационной безопасности, компьютерных вирусов и антивирусных средств. Определение видов угроз безопасности информации и основных методов защиты. Написание антивирусной программы, производящей поиск зараженных файлов на компьютере.

    курсовая работа [114,2 K], добавлен 17.05.2011

  • Функции компьютерных сетей (хранение и обработка данных, доступ пользователей к данным и их передача). Основные показатели качества локальных сетей. Классификация компьютерных сетей, их главные компоненты. Топология сети, характеристика оборудования.

    презентация [287,4 K], добавлен 01.04.2015

  • Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.

    дипломная работа [225,1 K], добавлен 16.06.2012

  • Создание компьютерных сетей с помощью сетевого оборудования и специального программного обеспечения. Назначение всех видов компьютерных сетей. Эволюция сетей. Отличия локальных сетей от глобальных. Тенденция к сближению локальных и глобальных сетей.

    презентация [72,8 K], добавлен 04.05.2012

  • Изучение базовых понятий и общих сведений о компьютерных и корпоративных сетях с последующим комплексным изучением способов и методов защиты информации в них. Классификация данных видов сетей. Существующие службы безопасности доступа. Профиль защиты.

    контрольная работа [30,5 K], добавлен 24.01.2009

  • Устройство компьютерных сетей. Системы для передачи информации, состоящие из терминалов, серверов и коммуникационной среды. Технические, программные и информационные средства сетей. Классификация компьютерных сетей. Сетевые операционные системы.

    курсовая работа [3,7 M], добавлен 10.07.2014

  • Разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов. Анализ угроз и обеспечения безопасности беспроводной сети. Настройка программы WPA.

    дипломная работа [2,9 M], добавлен 19.06.2014

  • Понятие и характеристики компьютерных сетей. Классификация сетей по ряду признаков: по назначению, территориальной распространенности, по типу функционального взаимодействия, типу среды передачи, топологии сетей, скорости передач, по сетевым ОС.

    презентация [510,5 K], добавлен 12.09.2011

  • Понятие, назначение и виды (локальная, глобальная) компьютерных сетей. Их основных функции: создание единого информационного пространства, обеспечение эффективной системы накопления, хранения и поиска данных по текущей и проделанной ранее работе.

    реферат [20,9 K], добавлен 22.08.2010

  • Характеристика предприятия по техническому обслуживанию вычислительной техники и компьютерных сетей. Рассмотрение структуры, целей и задач отдела обслуживания, организации рабочего места, формы оплаты труда. Изучение правил работы с электронной почтой.

    отчет по практике [48,6 K], добавлен 05.06.2014

  • Изучение понятия локальной вычислительной сети, назначения и классификации компьютерных сетей. Исследование процесса передачи данных, способов передачи цифровой информации. Анализ основных форм взаимодействия абонентских ЭВМ, управления звеньями данных.

    контрольная работа [37,0 K], добавлен 23.09.2011

  • Основные признаки классификации компьютерных сетей как нового вида связи и информационного сервиса. Особенности локальных и глобальных сетей. Объекты информационных сетевых технологий. Преимущества использования компьютерных сетей в организации.

    курсовая работа [1,9 M], добавлен 23.04.2013

  • Преимущества объединения компьютерных сетей. Виды локальных вычислительных сетей и их характеристика. Internet как глобальная компьютерная сеть, ее назначение и средства поиска информации. Сервис World Wide Web: Web-каналы, Web-страница, гиперссылка.

    контрольная работа [26,7 K], добавлен 10.03.2009

  • Конфигурация аппаратных средств и характеристика программных средств для создания беспроводных компьютерных сетей, особенности их использования и анализ возможных проблем. Технология организация безопасной работы в беспроводных компьютерных сетях.

    курсовая работа [2,5 M], добавлен 27.12.2011

  • Особенности совместного использования информации на удаленных друг от друга компьютерах. Классификация, структура, юридические и негативные аспекты, новые возможности компьютерных сетей. Обзор вспомогательного программного обеспечения и оборудования.

    реферат [41,0 K], добавлен 22.10.2010

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.