На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 3 май–июнь 2010 г.
Тема номера:
РЕШЕНИЯ В ОБЛАСТИ ИБ НА БАЗЕ LINUX

Linux и системы обнаружения вторжений

А. О. Дугин, администратор систем обнаружения вторжений
МТС-Украина


Предыдущая статьяСледующая статья

Развитие сервисов безопасности Linux

В условиях дефицита бюджета вопрос стоимости того или иного решения зачастую приобретает главенствующую роль. Мерой, способной изначально сократить расходы на программные продукты до минимума, может стать использование программных средств с открытым исходным кодом (Open Source). Рассмотрим преимущества и недостатки использования бесплатного ПО и коммерческих программно-аппаратных комплексов.

Оплачивая стоимость коммерческого решения, потребитель получает гарантии производителя, возможность обновления программных компонентов, а также, в зависимости от условий договора с поставщиком, определенный уровень технического сопровождения, ответственности и гарантированное время реагирования производителя либо интегратора в случае сбоя в работе системы. Содержания собственного штата разработчиков ПО — безусловно, достаточно затратное удовольствие, поэтому отсутствие подобной необходимости является преимуществом с финансовой точки зрения. Вместе с тем, коммерческие решения не всегда в полной мере адаптируются под нужды заказчика, либо же полное удовлетворение всех требований увеличивает стоимость решения.

Еще одной проблемой может стать потребность в смене поставщика, вызванная либо отсутствием возможности для расширения текущего решения согласно темпам развития инфраструктуры заказчика, либо другими причинами. В случае необходимости расширения участка инфраструктуры, основанного на оборудовании и программном обеспечении одного производителя, посредством добавления нового участка, следует предусмотреть наличие стандартных открытых интерфейсов взаимодействия. Если требуется перенос данных, возникает необходимость их конвертации из формата одного поставщика в формат другого, что также влечет за собой затраты времени и денег.

Описаны преимущества и недостатки использования программного обеспечения с открытым исходным кодом. Несмотря на низкую стоимость, в случае его внедрения в инфраструктуру предприятия затраты на оборудование не исчезают, поскольку ПО используется на аппаратных платформах. Однако таким образом заказчик избавляется от привязки к оборудованию определенного производителя, получая полную свободу выбора. Высокая гибкость и полная адаптация под бизнес-требования выполняется разработчиками и инженерами, на содержание которых также необходимы ресурсы. Все гарантии, ответственность и скорость реакции распределяются внутри компании между подразделениями. В случае отсутствия специалистов, ответственных за поддержание работоспособности решения, необходимо принять риск отсутствия гарантии работы программного обеспечения.

Подводя итоги сказанному выше, можно констатировать следующее:

l установка и использование сертифицированных коммерческих решений в корпоративной инфраструктуре является предпочтительным вариантом в случае, если от качества работы таковых зависит бизнес организации либо компания предоставляет услуги на базе данного оборудования;

l программное обеспечение с открытым исходным кодом рациональнее использовать для вспомогательных, не критичных для бизнеса компании систем в случае отсутствия штата разработчиков ПО, приняв при этом риски возможного сбоя в работе оборудования и отсутствия ответственности разработчика за подобные последствия.

Вполне логично, что в случае использования коммерческих систем обнаружения вторжений системы управления разрабатываются производителем специально для мониторинга событий, которые отрабатываются сетевыми сенсорами, при этом обеспечивая гарантированную доставку пакетов и шифруя передаваемые данные. Однако, несмотря на подобный функционал, большинство сетевых сенсоров и систем управления ими не в состоянии определить такие показатели функционирования агентов IDS, как корректность работы SPAN-сессии и наличие отклонений от нормы трафика, а также оповестить об этом без необходимости просмотра системы мониторинга. Для определения резких изменений сетевой активности, признаков несогласованной реорганизации участка сети, расформирования SPAN-сессий и т. п., как правило, необходимо вмешательство человека, поскольку ни системы обнаружения вторжений, ни системы управления ими не могут в автоматическом режиме однозначно оповещать администратора о подобных происшествиях.

Основные системы управления сетевыми сенсорами IDS должны обеспечивать гарантированное соединение и сбор информации по защищенным криптографическими средствами протоколам. Примером целесообразности внедрения приложений с открытым исходным кодом может служить использование дополнительных систем мониторинга некоторых параметров серверов и сетевого оборудования, таких как загрузка процессоров, памяти, сетевых интерфейсов, использования дискового пространства, температуры и т. п.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2021 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100