X


[ Pobierz całość w formacie PDF ]

cyjnych działania administratorów obejmują także obowiązek przeglądania tych zda-
rzeń w poszukiwaniu działań, które w jakiś sposób naruszają zasady bezpieczeństwa.
Kiedy już ta konieczność została określona, wróćmy na chwil� do rzeczywistości.
Niemal niemożliwe jest r�czne przeglądanie tak wielkiej ilości danych. Po pierwsze
dlatego, że zapisy zdarzeń są strasznie nudne i monotonne, a po drugie dlatego, że
wszystkie urządzenia sieciowe mogą dostarczyć ogromną ilość informacji  tak wiel-
ką, że niemożliwą do ogarni�cia i przeczytania przez zwykłego człowieka (szczególnie
jeśli mamy do czynienia z ośrodkiem o dużym nat�żeniu ruchu). Czy jest na to rada?
Istnieje oczywiście specjalne oprogramowanie, którego głównym zadaniem jest po-
szukiwanie przypadków, które mogą oznaczać naruszenie zasad bezpieczeństwa. Aplika-
cje zwracają uwag� na przykład na kilkukrotne nieudane próby logowania si� do sys-
temu (może to oznaczać próby odgadywania hasła) lub połączenia sekwencyjne, tj.
dokonywane z pewną stałą cz�stotliwością, co może oznaczać, że ktoś dokonuje tzw.
omiatania systemu (ang. sweeping), próbując ustalić jego topologi�.
Z pewnością zauważyłeś, że ważne jest zachowanie równowagi pomi�dzy pożądaną
ilością informacji o użytkownikach zalogowanych, wielkością danych, które chcesz
Rozdział 2. f& Tworzenie bezpiecznej infrastruktury sieciowej 53
przechowywać, i niezb�dną wydajnością pracy systemu. Zbieranie informacji o użyt-
kownikach zabiera cykle pracy procesora (czy jednostki centralnej w systemach wie-
loprocesorowych) i wpływa na czas dost�pu do dysku. Z tego też powodu aplikacje
bazujące na serwerach zwykle zbierają minimalną ilość tego typu informacji. Inny
sprz�t sieciowy taki jak rutery i przełączniki wymagają specjalnego urządzenia zbie-
rającego dane pochodzące z ich dzienników (np. serwer syslog), gdzie wysyłane są
dane o użytkownikach logujących si� do sieci.
Ponieważ obecność takiego serwera nie jest niezb�dna do pracy pozostałych urządzeń
sieciowych, wiele firm nigdy ich nie instaluje. Dla tych, którzy si� zdecydowali na
umieszczenie go w sieci, połączone informacje dotyczące logowania mogą być zbyt
obszerne i troch� tajemnicze. Zapora sieciowa, którą skonfigurowano tak, by zapisy-
wała za dużo informacji dotyczących zalogowanych użytkowników, może stracić na
wydajności do tego stopnia, że nie poradzi sobie z ruchem o średnim nat�żeniu. Wy-
magania dotyczące konieczności zapisu informacji o użytkownikach zależą od usta-
leń, które znalazły si� w zdefiniowanej polityce bezpieczeństwa ustalonej w danej
firmie. Jeżeli w polityce znajdą si� stwierdzenia mówiące o konieczności zapisu in-
formacji o wszystkich zewn�trznych i wewn�trznych połączeniach i przechowywaniu
tych danych przez 6 miesi�cy, to takich założeń b�dziesz musiał si� trzymać i starać
si� je wypełnić. Takie założenia b�dą oczywiście niosły ze sobą specjalne wymagania
co do wyboru sprz�tu i jego oprogramowania podczas fazy planowania struktury sieci
i mogą być usprawiedliwieniem dla zakupu jakiegoś niezwykle wydajnego analizato-
ra składniowego, który zajmował si� b�dzie tylko dziennikami zdarzeń systemowych.
Jeżeli b�dą tego wymagały założenia polityki, być może trzeba b�dzie dokonać spe-
cjalnych analiz możliwości i wydajności systemów raportowania.
Za podstawową zasad� uznaje si� konieczność tworzenia raportów dotyczących zda-
rzeń takich, jak odmowa połączenia, nieudane logowania i próby nieautoryzowanego
dost�pu do plików. Udaną penetracj� sieci zawsze poprzedza kilka nieudanych prób
 i to one mogą wskazać napastnika.
Systemy wykrywania włamań (IDS)
Przeglądanie dzienników zdarzeń systemowych jest przydatne, ale ma swoje wady.
Przede wszystkim przegląd dotyczy zdarzeń, które już si� dokonały  wi�c o przy-
padku jakiegoś nadużycia w twojej sieci dowiesz si� już po fakcie. Po drugie, na proces
analizy dzienników zużywa si� cz�ści mocy obliczeniowej, na której strat� czasami
nie możesz sobie pozwolić. I wreszcie po trzecie, w sieci znajduje si� tak wiele urzą-
dzeń, że przeglądanie dziennika każdego z nich nie zawsze jest wykonalne, a w nie-
których przypadkach niemożliwe jest wykorzystanie analizatora składniowego auto-
matycznie dokonującego analizy (gdyż takiego po prostu nie ma). Pierwszy powód [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • domowewypieki.keep.pl

    • Drogi uĚźytkowniku!

    W trosce o komfort korzystania z naszego serwisu chcemy dostarczać Ci coraz lepsze usługi. By móc to robić prosimy, abyś wyraził zgodę na dopasowanie treści marketingowych do Twoich zachowań w serwisie. Zgoda ta pozwoli nam częściowo finansować rozwój świadczonych usług.

    Pamiętaj, że dbamy o Twoją prywatność. Nie zwiększamy zakresu naszych uprawnień bez Twojej zgody. Zadbamy również o bezpieczeństwo Twoich danych. Wyrażoną zgodę możesz cofnąć w każdej chwili.

     Tak, zgadzam się na nadanie mi "cookie" i korzystanie z danych przez Administratora Serwisu i jego partnerĂłw w celu dopasowania treści do moich potrzeb. Przeczytałem(am) Politykę prywatności. Rozumiem ją i akceptuję.

     Tak, zgadzam się na przetwarzanie moich danych osobowych przez Administratora Serwisu i jego partnerĂłw w celu personalizowania wyświetlanych mi reklam i dostosowania do mnie prezentowanych treści marketingowych. Przeczytałem(am) Politykę prywatności. Rozumiem ją i akceptuję.

    Wyrażenie powyższych zgód jest dobrowolne i możesz je w dowolnym momencie wycofać poprzez opcję: "Twoje zgody", dostępnej w prawym, dolnym rogu strony lub poprzez usunięcie "cookies" w swojej przeglądarce dla powyżej strony, z tym, że wycofanie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania na podstawie zgody, przed jej wycofaniem.