На страже корпоративных рубежей. Библиотека I2R. Главная задача средств, реализующих технологии обнаружения атак, заключается в том, чтобы автоматизировать рутинные функции по обеспечению информационной безопасности корпоративной сети.

Главная задача средств, реализующих технологии обнаружения атак (как и других систем защиты), заключается в том, чтобы автоматизировать рутинные функции по обеспечению информационной безопасности корпоративной сети и сделать их понятными для тех, кто не является экспертом в области защиты информации. Собственно, можно не использовать автоматизированные инструментальные средства. Практически все атаки можно обнаружить путем "ручного" анализа журналов регистрации операционных систем, приложений или сетевого оборудования. Это позволит существенно снизить затраты на развертывание инфраструктуры обнаружения атак. Однако время на осуществление этого процесса возрастет многократно. Кроме того, "ручной" анализ не позволит своевременно обнаружить и предотвратить многие атаки. Именно поэтому и применяются специальные автоматизированные средства, настроенные только на обнаружение нарушений политики безопасности. В "Сетевом" журнале № 11/2001 опубликована статья "Об атаках на компьютерные сети", где рассмотрены этапы реализации атак на корпоративные сети. Сейчас пришло время рассказать о средствах обнаружения этих атак, об их классификации, критериях выбора и т. д.

В последнее время наметился всплеск интереса к средствам обнаружения атак, в том числе и в России. Не проходит месяца, чтобы в прессе не появилась статья об этой технологии или какая-либо компания не провела семинар на данную тему. При этом западные компании перестали считать российский рынок неперспективным и стали обращать пристальное внимание на нашего потребителя. Например, компания Symantec начала сертификацию своих средств в Гостехкомиссии, а Internet Security Systems провела масштабную конференцию, посвященную пятилетию своего присутствия в России. Не отстает от них и Cisco Systems, которая немало времени посвятила своим решениям в области безопасности на конференции CiscoExpo, а также на своих многочисленных семинарах. Все это лишний раз доказывает важность использования средств обнаружения атак в корпоративных сетях.

Технология обнаружения атак должна решать следующие задачи:

распознавание известных атак и предупреждение о них соответствующего персонала;

анализ зачастую непонятных источников информации об атаках;

снижение нагрузки, связанной с текущими рутинными операциями по контролю за пользователями, системами и сетями -- компонентами корпоративной сети, на персонал, отвечающий за безопасность;

возможность управления средствами защиты не экспертами в области безопасности; контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т. д.).

Очень часто системы обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения:

Контроль эффективности межсетевых экранов (МСЭ). Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить пропускаемые им атаки и тем самым определить правила, которых недостает на МСЭ.

Контроль узлов сети с неустановленными обновлениями или с устаревшим программным обеспечением.

Блокирование и контроль доступа к определенным узлам интернета. Хотя системам обнаружения атак далеко до межсетевых экранов и систем контроля доступа к различным URL, например WEBsweeper, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным ресурсам интернета, допустим к Web-серверам порнографического содержания. Это бывает необходимо, когда у организации нет денег на приобретение и межсетевого экрана, и системы обнаружения атак и функции МСЭ возлагаются на систему обнаружения атак, маршрутизатором и покси-сервером. Кроме того, системы обнаружения атак могут контролировать доступ сотрудников к серверам на основе ключевых слов, таких, как sex, job, crack и т. д.

Контроль электронной почты. С помощью систем обнаружения атак можно контролировать действия неблагонадежных сотрудников, использующих электронную почту для выполнения задач, не входящих в их функциональные обязанности, например для рассылки резюме. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных систем им далеко, тем не менее они достаточно эффективны.

Для обеспечения наивысшей защищенности сети необходимо совместное применение систем обнаружения атак на уровне сети и на уровне узла.

Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, а не в обнаружении самих атак. Устранив причины возникновения атак, т. е. обнаружив и устранив уязвимости (описанные в "Сетевом журнале" № 9/2001), администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.

Средства обнаружения атак и их классификация

Существует множество разных классификаций систем обнаружения атак, однако самой распространенной является классификация по принципу реализации: host-based -- обнаруживающие атаки, направленные на конкретный узел сети, и network-based -- обнаруживающие атаки, направленные на всю сеть или ее сегмент.

Системы обнаружения атак, контролирующие отдельный компьютер, как правило, собирают и анализируют информацию из журналов регистрации операционной системы и различных приложений (Web-сервер, СУБД и т. д.). По такому принципу функционирует RealSecure OS Sensor. Однако в последнее время стали получать распространение системы, тесно интегрированные с ядром ОС, тем самым предоставляя более эффективный способ обнаружения нарушений политики безопасности. Причем такая интеграция может быть реализована двояко: могут контролироваться все системные вызовы ОС (так работает Entercept) или весь входящий/исходящий сетевой трафик (так работает RealSecure Server Sensor). В последнем случае система обнаружения атак захватывает весь сетевой трафик напрямую с сетевой карты, минуя операционную систему, что позволяет уменьшить зависимость от нее и благодаря этому повысить защищенность системы обнаружения атак.

Системы обнаружения атак уровня сети собирают информацию из самой сети, т. е. из сетевого трафика. Эти системы могут функционировать на обычных компьютерах (например, RealSecure Network Sensor), на специализированных компьютерах (RealSecure for Nokia или Cisco Secure IDS 4210 и 4230) или быть интегрированы в маршрутизаторы или коммутаторы (CiscoSecure IOS Integrated Software или Cisco Catalyst 6000 IDS Module). В первых двух случаях анализируемая информация собирается посредством захвата и анализа пакетов, с использованием сетевых интерфейсов в беспорядочном (promiscuous) режиме. В последнем варианте захват трафика осуществляется с шины сетевого оборудования.

Часто сетевые системы обнаружения атак пытаются заменить межсетевыми экранами, уповая на то, что последние обеспечивают очень высокий уровень защищенности. Однако не стоит забывать, что межсетевые экраны - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение через них трафика. Межсетевой экран - не панацея!

Для обнаружения атак необходимо одно из двух -- или понимать, каким должно быть нормальное поведение контролируемого объекта системы, или знать все возможные типы атак и их модификации. В первом случае используется технология обнаружения аномального поведения (anomaly detection), во втором -- технология обнаружения злоумышленного поведения или злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и в поиске данного шаблона в контролируемом пространстве (например, в сетевом трафике или журнале регистрации). Эта технология очень похожа на обнаружение вирусов (антивирусные системы являются ярким примером системы обнаружения атак), т. е. система может обнаружить все известные атаки, но она мало приспособлена для обнаружения новых, еще неизвестных. Подход, реализованный в таких системах, очень прост, и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак.

Достоинства систем обнаружения атак

Можно долго перечислять различные достоинства систем обнаружения атак, функционирующих на уровне узла и сети. Однако я остановлюсь только на некоторых из них.

Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки системы, обнаруживающей атаки в сетевом трафике. Иногда могут помочь специальные порты (span ports) на коммутаторах, но не всегда. Обнаружение атак на уровне конкретного узла обеспечивает более эффективную работу в коммутируемых сетях, так как позволяет разместить системы обнаружения только там, где это необходимо.

Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку для контроля всей сети число мест, где установлены IDS, невелико, то стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне. Кроме того, для контроля сетевого сегмента необходим только один сенсор, независимо от числа узлов в данном сегменте.

Сетевой пакет, отправленный с компьютера злоумышленника, уже не может быть возвращен назад. Системы, функционирующие на сетевом уровне, используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, злоумышленник не может удалить следы своей несанкционированной деятельности. Анализируемые данные включают не только информацию о методе атаки, но и ту, которая может помочь при идентификации злоумышленника и служить доказательством в суде. Поскольку многие хакеры хорошо знакомы с механизмами системной регистрации, они знают, как манипулировать этими файлами для сокрытия следов своей деятельности, снижая эффективность обнаружения атак на системном уровне.

Системы, функционирующие на уровне сети, обнаруживают подозрительные события и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем системы, анализирующие журналы регистрации. Например, хакер, инициирующий сетевую атаку типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен системой обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом Reset в заголовке для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого узла. Системы анализа журналов регистрации не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия лишь после того, как запись была сделана. К этому моменту уже могут быть скомпрометированы наиболее важные системы или ресурсы или нарушена работоспособность системы, запускающей систему обнаружения атак на уровне узла. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.

И наконец, системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, так как они оперируют сетевым трафиком, которым обмениваются все ее узлы. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной пакет, если он соответствует стандартам, поддерживаемым системой обнаружения. Например, в сети могут работать ОС Windows 98, Windows NT, Windows 2000 и XP, Netware, Linux, MacOS, Solaris и т. д., но если они общаются между собой по протоколу IP, то любая из систем обнаружения атак, поддерживающая данный протокол, сможет обнаруживать атаки, направленные на эти ОС.

Сетевые системы обнаружения атак и межсетевые экраны

Наиболее часто сетевые системы обнаружения атак пытаются заменить межсетевыми экранами, уповая на то, что последние обеспечивают очень высокий уровень защищенности. Однако не стоит забывать, что межсетевые экраны - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение через них трафика. Даже межсетевые экраны, построенные по технологии stateful inspection, не позволяют точно определить, имеет ли место атака в контролируемом ими трафике или нет. Они могут сказать, соответствует ли трафик правилу. Например, МСЭ сконфигурирован так, чтобы блокировать все соединения кроме TCP-соединений на 80-м порте (т. е. HTTP-трафик). Таким образом, любой трафик через 80-й порт законен с точки зрения МСЭ. С другой стороны, система обнаружения атак также контролирует трафик, но ищет в нем признаки атаки. Ее мало заботит, для какого порта предназначен трафик. По умолчанию весь трафик для системы обнаружения атак подозрителен. То есть несмотря на то, что система обнаружения атак работает с тем же источником данных, что и МСЭ, а именно с сетевым трафиком, они выполняют дополняющие друг друга функции, например HTTP-запрос "GET /../../../etc/passwd HTTP/1.0". Практически любой МСЭ разрешает прохождение данного запроса через себя. Однако система обнаружения атак легко обнаружит эту атаку и блокирует ее.

Можно провести следующую аналогию. Межсетевой экран - это обычный турникет, устанавливаемый на главном входе в вашу сеть. Но помимо главных дверей существуют и другие двери, а также окна. Маскируясь под реального сотрудника или войдя в доверие к охраннику на турникете, злоумышленник может пронести сквозь турникет взрывное устройство или пистолет. Мало того, он может залезть через окно. Именно поэтому и нужны системы обнаружения атак, которые усиливают защиту, обеспечиваемую межсетевыми экранами, которые являются пусть и необходимым, но явно недостаточным элементом сетевой безопасности.

Ситуация в России

В статье "Выявление уязвимостей компьютерных сетей" ("Сетевой журнал", № 9/2001) я объяснил невозможность сравнения средств обнаружения атак. Хочу лишь подчеркнуть, что сравнить и выбрать продукты может только конечный пользователь и только в своей собственной сети, чтобы проверить поведение и удобство использования того или иного решения именно в той технологии обработки информации, которая принята в организации.

В таблице приведен список средств обнаружения атак, наиболее часто используемых в России.

Средства анализа защищенности, используемые в России
Название Производитель Представитель в России Категория Примечание
RealSecure Network Sensor Internet Security Systems НИП "Информзащита" (www.infosec.ru) На уровне сети (программное решение для NT, W2k, Solaris) По системе существует авторизованное обучение в России
RealSecure Server Sensor То же То же На уровне узла (программное решение для NT, W2k, Solaris, Linux, HP UX и AIX) То же
RealSecure for Nokia То же То же На уровне сети (программно-аппаратное решение) То же
BlackICE Agent То же То же На уровне узла (программное решение для 9x/ME/NT/W2k/XP, Solaris) Единственная система, поддерживающая весь спектр ОС Windows, включая XP
BlackICE Sentry То же То же На уровне сети (программное решение для NT) Одна из двух систем в мире, поддерживающая гигабитные сети
Cisco Secure IDS 4000 Cisco Systems www.cisco.ru На уровне сети (программно-аппаратное решение)
Cisco Catalyst 6000 IDS Module То же То же То же Единственное решение для коммутаторов
Cisco Secure Integrated Software То же То же На уровне сети (программное решение для IOS) Расширение ОС IOS для маршрутизаторов Cisco
Cisco Secure IDS Host Sensor То же То же На уровне узла (программное решение для NT, W2k и Solaris) Система распространяется по OEM-лицензии компании Entercept

Intruder Alert Symantec www.symantec.com/region/ ru/partners/index.html На уровне узла (программное решение для NT, Unix, Netware) Система подана на сертификацию в Гостехкомиссию России

NetProwler То же То же На уровне сети (программное решение для NT) То же

Dragon Enterasys www.enterasys.ru На уровне сети (программное решение для Unix)

Snort Распространяется свободно На уровне сети (программное решение для Unix и NT/W2k)

Советы покупателю

В вышеупомянутой статье были даны советы покупателю систем анализа защищенности, применимые и при выборе системы обнаружения атак (относительно числа обнаруживаемых нарушений, частоты обновления базы сигнатур, механизма описания собственных сигнатур, собственной защиты, интеграции и т. д.). К ним можно добавить необходимость централизованного управления всеми сенсорами, установленными в разных местах корпоративной сети, в том числе и в удаленных филиалах. В случае приобретения системы обнаружения атак, функционирующей и на уровне сети, и на уровне узла, обратите внимание на возможность единого управления этими компонентами с одной консоли. Когда писалась эта статья, такой возможностью обладала только система RealSecure. Для решений Cisco Systems или Symantec необходимо было использовать отдельные консоли управления, что затрудняет их использование и так загруженным администратором безопасности.

Второй фактор, который может быть принят во внимание, - число контролируемых сенсоров системы обнаружения атак. Не все предлагаемые в России системы поддерживают неограниченное количество подключенных сенсоров. Однако надо помнить, что не всегда нужно все имеющиеся сенсоры подключать к одной консоли, а кроме того, существует предельный объем информации, который человек в состоянии воспринять, и при его превышении сведения, поступающие от некоторых сенсоров, будут упущены оператором системы обнаружения атак. Данный критерий важен только для крупных сетей, насчитывающих десятки и сотни сенсоров. В небольших организациях одна консоль (или сервер управления) может управлять всеми имеющимися в сети сенсорами.

В крупных сетях, где принята смешанная схема управления, центральный офис может осуществлять контроль за действиями удаленных филиалов, несмотря на то, что основной груз управления ложится именно на региональные отделы защиты информации. В другом случае может потребоваться, чтобы сенсор системы обнаружения атак передавал все сообщения в рабочее время (с понедельника по пятницу с 9:00 до 18:00) на локальную консоль, установленную в регионе, а после 18:00 и в выходные дни - на другую консоль, за которой круглосуточно наблюдает оператор системы обнаружения атак. В обоих этих случаях может потребоваться иерархическая схема управления системой обнаружения атак, позволяющая в автоматизированном режиме переключаться с одной консоли на другую без вмешательства персонала. Такая схема, например, используется в системе обнаружения атак Cisco Secure IDS.

Система обнаружения атак, как один из важнейших компонентов инфраструктуры информационной безопасности, должна быть защищена от различных внешних воздействий и нарушения взаимодействия между сенсорами и консолью управления. И хотя в последнем случае сенсоры по-прежнему продолжают функционировать, необходимо, чтобы система обнаружения атак имела механизмы защиты от такого рода нарушений или их обнаружения.

В высококритичных приложениях, для которых необходимо обеспечивать высокую доступность (high availability) и отказоустойчивость (fault tolerance), могут быть применены системы обнаружения, обладающие механизмами резервирования, работы в кластере и т. п. При этом резервированию подлежат как сенсоры системы обнаружения атак, так и консоли управления.

Stealth-режим делает систему обнаружения атак невидимой в сети. Реализуется это путем установки в компьютер с сетевым сенсором двух сетевых плат, одна из которых будет работать в смешанном режиме, с НЕ установленной поддержкой TCP/IP-стека; таким образом, она, с одной стороны, не будет иметь IP-адреса, а с другой - будет "видеть" весь сетевой трафик в контролируемом сегменте. Эта карта подключается к коммутатору, концентратору, сплиттеру и т. п. Второй сетевой адаптер, который должен быть привязан к TCP/IP-стеку, используется для обратной связи с консолью управления, посылки уведомлений по электронной почте, управляющих SNMP-последовательностей и реализации других вариантов реагирования. Невидимость системы обнаружения атак позволяет повысить уровень защищенности сетевого сегмента, где она установлена, защищает ее от атак со стороны злоумышленников и не позволяет им скомпрометировать ее.

В территориально-распределенной сети, в которой сенсоры системы обнаружения атак установлены на большом расстоянии от консоли управления, необходимо иметь возможность контроля их активности. Выход из строя того или иного сенсора, нарушение взаимодействия с ними должны немедленно обнаруживаться, и об этом должен оповещаться оператор системы обнаружения атак.

Если вам необходимо управлять своей системой обнаружения атак дистанционно, например в удаленном офисе, то следует использовать строгую аутентификацию и "сильное" шифрование, чтобы предотвратить компрометацию компонентов системы обнаружения атак. Для аутентификации нужно использовать одноразовые пароли или криптографические протоколы, более надежные, чем простой запрос идентификатора и пароля, зачастую передаваемые в открытом виде. Все передаваемые между консолью и сенсорами данные (включая обновления баз данных уязвимостей и сигнатур атак) необходимо не только шифровать, но также контролировать их целостность. Это позволит предотвратить их несанкционированное прочтение и изменение.

Как уже говорилось выше, многие системы обнаружения атак расширяют свою функциональность за счет добавления новых возможностей. Поэтому функции обнаружения интернет-червей, контроля содержимого трафика или доступа сотрудников к интернет-узлам могут рассматриваться как дополнительные доводы в пользу того или иного средства.

Для обнаружения атак необходимо одно из двух - или понимать, каким должно быть нормальное поведение контролируемого объекта системы, или знать все возможные типы атак и их модификации. В первом случае используется технология обнаружения аномального поведения (anomaly detection), а во втором - технология обнаружения злоумышленного поведения или злоупотреблений (misuse detection).

Визуализация данных - достаточно сложная область, в которой трудно определять какие-либо критерии оценки. Визуализация - это представление данных, получаемых от сенсоров системы обнаружения атак, и каждый пользователь должен сам определять предпочтительный ее способ. Отметим только, что средство визуализации данных - необходимый компонент современных систем обнаружения атак, особенно в территориально-распределенных сетях.

Мало обнаружить атаку, следует еще соответствующим образом на нее отреагировать. Именно варианты этого реагирования во многом определяют эффективность системы обнаружения атак. На сегодняшний день предложения практически всех систем обнаружения атак схожи между собой:

уведомление на консоль (включая резервную) системы обнаружения атак или на консоль интегрированной системы (например, межсетевого экрана);

звуковое оповещение об атаке;

генерация управляющих последовательностей SNMP для систем сетевого управления;

генерация сообщения об атаке по электронной почте;

дополнительные варианты уведомления на пейджер или факс. Очень интересная, хотя и редко применяемая возможность реализована в системе RealSecure Server Sensor - оповещение об обнаружении несанкционированной деятельности посылается не администратору, а злоумышленнику. По мнению разработчиков системы RealSecure, давая понять нарушителю, что его обнаружили, логично вынудить его прекратить свои действия;

о регистрации обнаруживаемых событий нет необходимости много писать, так как это обязательное условие для любой системы обнаружения атак. Пожалуй, стоит отметить два аспекта: куда и в каком объеме записываются события. В качестве журнала регистрации может выступать текстовый файл, системный журнал (например, в системе Cisco Secure Integrated Software), текстовый файл специального формата (в системе Snort), локальная база данных MS Access, SQL-база данных (в системе RealSecure). Учтите, что объемы регистрируемой информации требуют, как правило, SQL-базу - MS SQL или Oracle;

иногда администратору безопасности необходимо проследить за всеми действиями, злоумышленника и всеми командами, вводимыми им. По журналам регистрации и созданным по ним отчетам сделать это бывает трудно. Поэтому в некоторых системах обнаружения атак реализован механизм трассировки событий (event trace), который позволяет записать их в той последовательности и с той скоростью, как их реализовывал злоумышленник. Затем администратор в любое заданное время может прокрутить (replay или playback) необходимую последовательность событий с заданной скоростью (в режиме реального времени, с ускорением или замедлением), чтобы проанализировать деятельность злоумышленника. Это позволит понять его квалификацию, используемые средства атаки и т. д.;

завершение соединения используется для прерывания действий атакующего. Этот механизм может быть реализован двояко. В системе обнаружения атак, функционирующей на уровне сети, этот механизм реализуется путем перехвата соединения (session hijacking) и посылки пакета с установленным флагом RST обоим участникам сетевого соединения от имени каждого из них. В системе обнаружения атак на уровне узла данный вариант реагирования реализуется путем блокировки учетной записи пользователя, осуществляющего атаку. Такая блокировка может быть установлена либо на заданный промежуток времени, либо до тех пор, пока учетная запись не будет разблокирована администратором. В зависимости от привилегий, с которыми запущена система обнаружения атак, блокировка может действовать как в пределах самого компьютера, подвергшегося атаке, так и в пределах всего домена сети;

еще одним вариантом активного реагирования является реконфигурация сетевого оборудования или межсетевых экранов (в терминах компании Cisco Systems это понятие называется shunning). В случае обнаружения атаки на маршрутизатор или межсетевой экран посылается команда на изменение списка контроля доступа. Впоследствии все попытки соединения с атакующего узла будут отвергаться. Как и блокировка учетной записи злоумышленника, изменение списка контроля доступа может быть осуществлено или на заданный интервал времени или до того момента, как оно будет отменено администратором реконфигурируемого сетевого оборудования;

некоторые системы обнаружения атак (например, RealSecure Server Sensor) в дополнение к имеющимся вариантам активного реагирования добавляют еще один -- блокирование сетевого трафика, как в межсетевых экранах. Этот вариант позволяет ограничить трафик, а также адресатов, которые могут получить доступ к ресурсам защищаемого компьютера, позволяя выполнять функции, доступные в персональных межсетевых экранах.

При выборе сетевой системы обнаружения атак обязательна возможность обработки фрагментированного трафика. В противном случае приобретенная система будет пропускать многие атаки, основанные на фрагментации, а также сможет сама стать привлекательной мишенью для хакеров.

Обязательным условием при выборе сетевой системы обнаружения атак является возможность обработки фрагментированного трафика. В противном случае приобретенная система будет пропускать многие атаки, основанные на фрагментации, а также сможет сама стать привлекательной мишенью для хакеров.

Производительность системы обнаружения атак - критерий, который довольно трудно описать. Система не должна существенно снижать производительности контролируемой системы. С этим тезисом никто не спорит. При выборе и тестировании системы обнаружения атак необходимо смоделировать максимальную нагрузку на контролируемую систему, чтобы посмотреть, как будет себя вести в таких условиях то или иное средство. Если вы планируете контролировать гигабитный трафик, то ваш выбор ограничивается только двумя системами - BlackICE Sentry и Dragon Sensor.

Алексей Лукацкий, заместитель директора по маркетингу научно-инженерного предприятия "Информзащита"
Сетевой Online

	Библиотека Интернет Индустрии I2R.ru	Малобюджетные сайты... Продвижение веб-сайта... Контент и авторское право...
Забобрить! Блог		Поиск:	Рассылки для занятых...»

Библиотека Интернет Индустрии I2R.ru

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

На страже корпоративных рубежей