Все журналы > Журнал Системный Администратор > December 2004

Журнал Системный Администратор

Декабрь 2004

Цена: $4.5 US

Linspire одним глазком free Идеальный карманный компьютер для системного администратора Часть 2 free Дистрибутив для всех free Копирование файлов в автоматическом режиме с множества компьютеров через SSH free Единая учетная запись для Windows и UNIX в Active Directory free FreeBSD tips: настройка VLAN free Биллинг для АТС на базе PostgreSQL Пакетный Фильтр OpenBSD Часть 2 free Настоящий UNIX в наши дни free Автоматизируем FTP с помощью Python free Защита сетевых сервисов с помощью stunnel free Железный login: ломаем зубы грубой силе free Тени исчезают в полдень PHP-GTK free Обработка переадресованных http-запросов Запись дисков CD-R/RW в Linux Часть 2 Файловая система NTFS извне и изнутри Часть 2 free Разработка сценария регистрации пользователей в сети Часть 2 free

Подписаться

Зарегистриванные пользователи, пожалуйста следуйте этой ссылке

Тени исчезают в полдень

Сергей Яремчук

Известно, что появлению Интернета мы обязаны американскому министерству обороны. Поэтому интересными являются и разрабатываемые в этом ведомстве технологии, направленные на защиту информации. На страницах журнала уже рассказывалось о проекте Security Enhanced Linux[1] (http://www.nsa.gov/selinux) от U.S. National Security Agency (NSA), основной задачей которого является создание высокозащищенных систем. Сегодняшняя статья о не менее интересной системе, помогающей выявить проблемы в сети.

Разработанная в 1994 году, система обнаружения атак SHADOW или Secondary Heuristic Analysis for Defensive Online Warfare (http://www.nswc.navy.mil/ISSEC/CID) является результатом деятельности другого проекта Cooperative Intrusion Detection Evaluation and Response (CIDER). CIDER в свою очередь был попыткой совместной разработки инструментов для автоматического сбора и анализа потоков информации в целях обнаружения атак. Основные работы ведутся Naval Surface Warfare Center, но свои усилия приложили и другие не менее известные организации вроде NSWC Dahlgren, NFR, NSA и SANS. Некоторое время система была закрыта, затем SHADOW так же стал свободно доступен, так как основой являются программы с открытым исходным кодом. Одним из требований при разработке системы было обнаружение максимального количества атак (насколько это возможно), с максимальной эффективностью и контролем большого количества сетей.

Это уникальная в своем роде разработка, она базируется на идее статистического анализа потоков информации. Проверяются только размеры пакетов, откуда они приходят и куда направлены, без проверки внутреннего содержания. Это означает, что SHADOW пытается отыскать в первую очередь исследования, предшествующие атаке, а не саму атаку. Поэтому такая система в принципе способна выдать раннее предупреждение, что отличает ее от сигнатурных реализаций или определяющих аномалии в реальном времени. Такой анализ потоков информации делает возможным работу системы при использовании различных форм шифрования трафика. Также эта система может помочь отследить статистику работы компьютеров в сети, если же обнаружится неизвестный, то администратор получит предупреждение. Также администратор получает в свои руки полезный инструмент, позволяющий визуально определить происходящее в сети. Собранная информация поможет определиться со стратегией безопасности и будет полезна при задании правил firewall.

Оставшая часть статьи доступна только подписчикам. Если вы желаете продолжить чтение этой статьи, то вам необходимо подписаться на эту статью или весь номер.

Подписаться на весь номер

Зарегистриванные пользователи, пожалуйста следуйте по этой ссылке