Безопасность сетей

    0f1a9e67   

Техническая безопасность - часть 5


Отслеживание

Отслеживание (мониторинг) сетей на предмет наличия подозрительной активности стал необходимым и обязательным действием. Это действие включает как аудит, так и мониторинг сети и системы в реальном времени. Как правило, оно разделяется на аудит и обнаружение вторжений.

Аудит

Аудит - это механизм, записывающий действия, происходящие на компьютере. Журнал содержит информацию о произошедших событиях (вход в систему, выход из системы, доступ к файлам и т. д.), о том, кто выполнил то или иное действие, когда выполнено действие, было ли это действие успешным. Журнал аудита - это материал для исследовательских действий, выполняемых после какого-либо происшествия. Журнал содержит информацию о том, каким образом осуществлено проникновение в компьютерную систему, какая информация считана или изменена. Должна вестись запись следующих событий.

  • Вход/выход пользователей.
  • Неудачные попытки входа.
  • Попытки сетевого подключения.
  • Попытки удаленного подключения по телефонной линии.
  • Вход супервизора/администратора/основателя.
  • Функции, привилегии на выполнение которых имеются у супервизора/администратора/основателя.
  • Доступ к секретным файлам.

В идеальном случае эти события записываются в файл, расположенный на защищенной системе - злоумышленник не сможет удалить следы своих действий.

Журналы аудита полезны в том случае, если они регулярно просматриваются. К сожалению, журналы аудита - это одни из наиболее сложных файлов для просмотра вручную. Человеку очень трудно искать в огромном файле журнала несколько записей, которые могут означать некоторое интересуемое событие. Следовательно, в организациях следует использовать автоматизированные средства просмотра журналов аудита. Эти средства представляют собой сценарии, просматривающие файлы журналов на предмет поиска определенных строк текста. Рекомендуется осуществлять еженедельный просмотр журналов аудита.

Совет

Процесс воссоздания часто затрудняется тем, что временные метки в различных журналах не соответствуют друг другу. Чтобы упростить процесс просмотра журнала, рекомендуется синхронизировать часы на всех системах при помощи централизованной системы синхронизации времени, такой как NTP.




Содержание  Назад  Вперед