В статье описываются практические аспекты проектирования и эксплуатации инфраструктуры систем обнаружения вторжений, возможности использования результатов анализа трафика IP-сетей для управления информационными системами. Акцентировано внимание на инспектировании пакетов полностью, включая информацию всех уровней модели OSI, рассматриваются подходы к мониторингу сетевых сенсоров и распределению результатов анализа между подразделениями компании на основании практического опыта.
Введение
Одним из показателей работы инфраструктуры организации является сетевой трафик, вырабатываемый пользователями и серверами, а также служебный трафик активного сетевого оборудования. В крупных организациях общий объем передаваемых по сети данных настолько велик, что для проведения его анализа и использования результатов, в зависимости от целей, необходимы также мощные анализаторы, системы определения сетевых аномалий, системы обнаружения и предотвращения вторжений и другие типы сетевых сенсоров.
Постановка задачи
Цель работы — предложить оптимальные подходы для проектирования, внедрения и эксплуатации инфраструктуры систем обнаружения вторжений.
На этапе проектирования необходимо правильно рассчитать пропускную способность интерфейсов коммутаторов, на которые «зеркалируется» трафик, для принятия решения об использовании на каждом участке сети сенсора определенной мощности и, соответственно, стоимости.
На стадии внедрения определяется соответствие заявленных поставщиками характеристик сетевых сенсоров с учетом специфики данной корпоративной сети. Кроме того, может возникнуть необходимость реорганизации инфраструктуры в связи с ошибками проектирования.
На этапе эксплуатации необходим анализ трафика для получения информации о текущем состоянии корпоративной сети, возможных авариях либо произведенных без согласования реорганизациях инфраструктуры, а также для принятия решения о методах исправления вероятных ошибок проектирования.
< ... >
