Рисунок 3. Варианты размещения ловушек:

а) ловушка на отдельном хосте; б) ловушка-сеть

Важным моментом работы ловушек есть сбор логов их работы и, по возможности, всего трафика обмена с ними. Данная информация является очень важной с целью её анализа после совершения той или иной атаки или только попытки. В случае реализации новой атаки, для которой нет записи в сигнатурной БД, по этим данным можно будет составить сигнатуры, которые в дальнейшем можно включить в БД СОА реальных систем, повысив их эффективность.

В случае использования нескольких ловушек или ловушек-сетей, информация об их работе может собираться в едином центре для анализа с целью обнаружения распределённых телекоммуникационных атак.

IDS Snort

Введение

После небольшого введения в теорию я расскажу о практике, а именно, с чего собственно и хотел начать статью – про систему обнаружения атак IDS Snort. Введение появилось не случайно. Связано это с тем, что очень мало людей занимается вплотную вопросами обнаружения атак, поэтому наблюдается информационный вакуум в этой области. Читателю должно стать чётко ясно, где именно используется Snort и каким маленьким винтиком он является в большой теме обнаружения телекоммуникационных атак.

Несмотря на то, что IDS расшифровывается как Intrusion Detection System и дословно переводится как Система Обнаружения Вторжений (СОВ) использование этого термина не совсем правильно и в силу возможностей великого и могучего русского языка мы будем говорить о Системе Обнаружения Атак (СОА) Snort. Простой пример в правильности выбранного термина: атака может быть совершена, но безуспешно, то есть вторжения не было. Система, отвечающая первому названию, не должна ничего обнаружить, в то время как вторая, и тот же Snort, обнаруживают именно атаки независимо от их последствий. Конечно, тут есть и доля философская, читатель может спросить, а какой мне смысл от того, что мы обнаружили атаку, которая уже сделала своё «чёрное дело»? И вопрос будет кстати, так как он подтвердит нужность всего выше написанного введения, что есть способы и программы защиты, а есть программы, обнаруживающие, например, атаки. Полная аналогия тому, если вы захотите поставить видеокамеру над входной дверью. От взломщиков она никак не спасёт, дверь будет взломана одинаково, вне зависимости от наличия или отсутствия видеокамеры, надо ставить хорошую дверь и хороший замок, но камера может дать сигнал хозяину о необходимости принятия дополнительных мер, записать действия взломщиков, что может служить доказательной базой в суде по факту взлома. Однако если хозяин не предпринимает никаких мер, то и польза от такой камеры минимальна. Всё это говорит о том, что обнаружением атак надо заниматься серьёзно и постоянно уделять этому внимание. Всё описанное будет реально полезно тем, кто будет целенаправленно и практически ежедневно уделять время и работать по вопросам обнаружения атак. Статья должна заложить базу для развития в этом направлении. Для всех же остальных, кто поленится или сочтёт тему скучной, статья может быть полезной только с точки зрения расширения кругозора.