Анализ защищенности и мониторинг компьютерных сетей. Методы и средства

В.В. Бондарев

Анализ защищенности 
и мониторинг компьютерных сетей 

Методы и средства

Учебное пособие

УДК 681.326
ББК 32.973
 
Б81

Издание доступно в электронном виде на портале ebooks.bmstu.ru
по адресу: http://ebooks.bmstu.ru/catalog/117/book1712.html

Факультет «Информатика и системы управления»
Кафедра «Информационная безопасность»

Рекомендовано Редакционно-издательским советом  
МГТУ им. Н.Э. Баумана в качестве учебного пособия 

Бондарев, В. В.
Б81 
 
Анализ защищенности и мониторинг компьютерных сетей. Методы и 
средства : учебное пособие / В. В. Бондарев. — Москва : Издательство МГТУ 
им. Н. Э. Баумана, 2017. — 225, [3] с. : ил. 

ISBN 978-5-7038-4757-2

Изложены теоретические вопросы, связанные с архитектурой и принципами 
работы систем обнаружения и предотвращения атак в компьютерных сетях. Приведены 
методы, приемы и инструменты, применяемые при защите компьютерных 
систем и сетей от атак. Содержание учебного пособия соответствует программе 
и курсу лекций, читаемых автором в МГТУ им. Н.Э. Баумана. 
Для студентов, обучающихся по направлению подготовки «Информационная 
безопасность автоматизированных систем», а также слушателей факультета повы-
шения квалификации. Может представлять интерес для специалистов в области 
использования современных средств и методов обеспечения информационной безопасности.


УДК 681.326
ББК 32.973

ISBN 978-5-7038-4757-2

© МГТУ им. Н.Э. Баумана, 2017
© Оформление. Издательство  
 
МГТУ им. Н.Э. Баумана, 2017

Предисловие

В настоящее время деятельность многих организаций зависит от состояния 
их информационных систем. При этом инфраструктура информационных 
систем часто содержит узлы и системы, нарушение безопасности которых 
может привести к нанесению значительного ущерба для ведения бизнеса 
в организации.
Для предотвращения таких случаев, как правило, после соответствующего 
анализа формируется перечень актуальных угроз и разрабатывается комплекс 
мер по их нейтрализации. В конечном итоге строится система управления 
информационной безопасностью, которая включает в себя различные 
средства защиты, реализующие необходимые защитные механизмы. В состав 
данной системы может входить подсистема управления уязвимостями, представляющая 
собой комплекс организационно-технических мероприятий, направленных 
на предотвращение использования известных уязвимостей, по-
тенциально существующих в защищаемой системе или в сети. В частности, в 
рамках управления уязвимостями проводятся такие мероприятия, как перио-
дический мониторинг защищенности информационных систем и устранение 
обнаруженных уязвимостей.
В последнее время большое внимание уделяется новому направлению 
в области защиты информации — адаптивной безопасности компьютерной 
сети. Это направление включает в себя две основные технологии: анализ за-
щищенности (Security Assessment) и обнаружение атак (Intrusion Detection).
Целью данного учебного пособия является ознакомление студентов с  
теоретическими вопроcами, связанными с архитектурой и принципами рабо-
ты систем обнаружения атак злоумышленников, а также приемами и инстру-
ментами, применяемыми при защите компьютерных систем и сетей от атак.
Пособие предназначено для студентов, обучающихся по направлению 
подготовки «Информационная безопасность» (комплексное обеспечение ин-
формационной безопасности автоматизированных систем — КОИБАС, орга-
низация и технология защиты информации и т. д.), и слушателей факульте-
та повышения квалификации по этому направлению. Может представлять 
интерес для студентов и аспирантов других специальностей, занимающихся 
вопросами использования современных средств и методов обеспечения ин-
формационной безопасности компьютерных систем.
В рамках данного учебного пособия рассматриваются следующие темы:
• необходимость и актуальность разработки и внедрения технологий об-
наружения и предотвращения атак (IDS/IPS);

• понятийный аппарат в области мониторинга информационной безо-
пасности в части обнаружения и предотвращения вторжений;
• архитектура системы IDS/IPS (источники данных, признаки атак, 
методы обнаружения атак, механизмы реагирования);
• специализированные технологии IDS/IPS;
• централизованное управление сетевыми и хостовыми технологиями 
IDS/IPS разных производителей и их взаимодействие с другими механиз-
мами защиты;
• обзор и направления развития перспективных IDS/IPS.
Предлагаемый материал может быть использован при изучении следую-
щих дисциплин: методы и средства обеспечения информационной безопас-
ности, технология защиты компьютерных систем, программно-аппаратные 
средства защиты информации, аудит информационной безопасности, мони-
торинг информационных систем и т. д.
Усвоение материала, приведенного в учебном пособии, позволит студен-
там применять полученные знания в области мониторинга и управления ин-
формационной безопасностью и технологий обнаружения атак, распознавать 
признаки атак, оперировать источниками данных для IDS/IPS, использовать 
методы обнаружения атак, методы сбора информации о сети, механизмы 
реагирования и специализированные системы для обнаружения и предотвра-
щения атак на компьютерные системы управления и методы их восстановле-
ния, а также иметь навыки идентификации сетевых объектов, определения 
топологии сети, идентификации статуса порта, сервисов и приложений, опе-
рационных систем, централизованного управления уязвимостями, централи-
зованного управления технологиями IDS/IPS и организации их взаимодей-
ствия с другими механизмами защиты информационных сетей.

Обозначения, используемые в книге

В книге используются следующие пиктограммы для обозначения сете-
вых устройств различных типов:

Гл а в а  1. ПОСТАНОВКА ЗАДАЧИ АНАЛИЗА 
ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНОЙ СИСТЕМЫ 

1.1. Корпоративная сеть как объект защиты

Главная задача корпоративной сети — централизованное управление 
предприятием или объединением предприятий. Сеть обеспечивает передачу 
информации между различными приложениями, используемыми в данной 
организации. Взаимодействующие приложения могут быть расположены 
в разных филиалах организации, территориально удаленных один от другого 
и соединенных между собой выделенными каналами связи. Обмен информацией 
осуществляется посредством глобальной сети Интернет.
Типичная конфигурация корпоративной сети представлена на рис. 1.1.
Для защиты компьютерных систем от неправомерного вмешательства 
в процессы их функционирования и несанкционированного доступа (НСД) 
к информации используются различные защитные механизмы, например:

Рис. 1.1. Типичная конфигурация корпоративной сети (МЭ — межсетевой экран)

• идентификация и аутентификация;
• разграничение доступа (и изоляция);
• регистрация событий и аудит;
• контроль целостности;
• шифрование данных и электронная подпись (ЭП);
• резервирование и резервное копирование;
• затирание остаточной информации;
• обнаружение и обезвреживание вирусов;
• фильтрация трафика и трансляция адресов;
• выявление и устранение уязвимостей;
• обнаружение вторжений (атак);
• маскировка и создание ложных объектов;
• страхование рисков.
Приведенные механизмы защиты применяются в конкретных технических 
средствах и системах защиты в различных комбинациях и вариациях. 
Наибольший эффект достигается при их системном использовании в комплексе 
с другими видами мер защиты.
Часто для простоты эти механизмы подразделяют на следующие группы.
Превентивные — направлены на предотвращение нарушений безопасности, 
например, к этой категории можно отнести разграничение доступа.
Цели применения превентивных механизмов защиты: упреждающее выявление 
и предотвращение проблемных ситуаций, создание барьеров на пути 
реализации угроз, резервирование, разделение ролей, использование средств 
разграничения доступа, контроль доступа в помещения и т. д.
Детективные — позволяют своевременно обнаруживать факт нарушения, 
например, к ним относятся такие механизмы, как регистрация событий 
и обнаружение атак.
Цели применения детективных механизмов защиты: выявление проблемных 
ситуаций и нарушений безопасности во время или после их появления, 
мониторинг событий безопасности, обнаружение сетевых атак, антивирусное 
сканирование, проверка контрольных сумм файлов, процедуры внутреннего 
аудита и т. д.
Коррективные — позволяют за приемлемый срок разрешить проблемные 
ситуации, выявленные с помощью детектирующих механизмов контроля.
Цели применения корректирующих механизмов защиты: восстановление 
системы в случае атаки, страхование рисков информационной безопасности, 
реагирование на нарушения безопасности, ликвидация последствий осуществления 
угроз и минимизация ущерба, разработка, внедрение и реализация 
плана восстановления после аварии (план обеспечения непрерывной работы 
и восстановления), резервное копирование и восстановление данных и т. д.
Теоретически превентивный подход к обеспечению информационной 
безопасности представляется идеальным, так как позволяет предотвратить 
реализацию угроз, поскольку самый лучший закон — тот, который невозможно 
нарушить. Но на практике все не так очевидно. В некоторых случаях 

затраты на построение системы обеспечения безопасности, основанной на 
превентивных мерах, могут оказаться чересчур высокими, что будет противоречить 
одному из базовых принципов информационной безопасности — 
принципу разумной достаточности защиты информации.
Контроль состояния защищенности как раз и относится к категории превентивных 
защитных механизмов. Его главное назначение — своевременно 
«заметить» слабость (уязвимость) в защищаемой системе и тем самым помочь 
предотвратить возможные атаки с ее использованием.
Работу приведенных трех групп защитных механизмов можно рассмотреть 
на простом примере (рис. 1.2). Допустим, нарушитель, воспользовавшись 
уязвимостью, позволяющей просматривать содержимое файлов на 
web-сервере, выполнил в отношении него успешную атаку и, получив к нему 
доступ, модифицировал имеющуюся там информацию.

Рис. 1.2. Атака (штриховая линия) на корпоративный web-сервер

Роль защитных механизмов в этом случае могла бы быть следующей:
• функции превентивных механизмов защиты заключаются в анализе 
защищенности web-сервера перед вводом его в эксплуатацию, что позволяет 
выявить уязвимость и сделать невозможной атаку с ее использованием;
• детективные механизмы защиты позволяют обнаружить факт атаки 
с помощью системы обнаружения атак, установленной, например, непосредственно 
на сервере;
• функции коррективных механизмов защиты сводятся к восстановлению 
содержимого модифицированных файлов и, возможно, устранению уязвимости, 
явившейся причиной атаки.
Из приведенного примера следует, что в некоторых случаях наиболее 
эффективны именно превентивные меры защиты, позволяющие своевременно 
выявить уязвимость и сделать невозможным ее использование нарушителем. 

1.2. Событие безопасности

Во время функционирования узлов сети происходят различные события, 
изменяющие их состояние. Событие безопасности — минимальная единица, 
которой оперируют современные средства защиты. Примерами событий безопасности 
могут быть: доступ к файлу, перезагрузка системы, вход в систему 
и т. д. Другое определение события информационной безопасности — идентифицированное 
возникновение состояния системы, услуги или сети, указывающее 
на возможное нарушение политики информационной безопасности, 
отказ защитных мер, а также возникновение ранее не известной ситуации, 
которая может быть связана с безопасностью.
Инцидент информационной безопасности — любое непредвиденное или 
нежелательное событие, которое может нарушить деятельность или инфор-
мационную безопасность. Примерами инцидентов информационной безопас-
ности могут быть:
• утрата услуг, оборудования или устройств;
• системные сбои или перегрузки;
• ошибки пользователей;
• несоблюдение политик или рекомендаций;
• нарушение физических мер защиты;
• неконтролируемые изменения систем;
• сбои программного обеспечения (ПО) и отказы технических средств;
• нарушение правил доступа.
Активы ( ресурсы) — вся информация, имеющая ценность для органи-
зации и вследствие этого подлежащая защите. Среди значительного числа 
примеров классификации активов можно выделить следующие: 
• материальные (физические) активы;
• информация (данные, контракты, документация);
• ПО;
• способность производить продукт или предоставлять услугу;
• служащие и их квалификация;
• нематериальные ресурсы (престиж фирмы, репутация).

1.3. Понятие уязвимости

Понятие «уязвимость» нельзя рассматривать отдельно от таких понятий, 
как «угроза» и «атака». Рассмотрим эти три понятия с системных позиций.
Уязвимость (Vulnerability) — некоторая характеристика (свойство) 
чего-либо (узла сети, службы, протокола), которая может быть использована 
нарушителем при проведении атаки и привести к реализации угрозы.
Угроза (Threat) — потенциально возможное событие, явление или про-
цесс, которое посредством воздействия на компоненты информационной си-
стемы может привести к нанесению ущерба.

Атака (Attack) — любое действие нарушителя, которое приводит к реа-
лизации угрозы путем использования уязвимостей информационной системы.
Взаимосвязь этих трех понятий иллюстрирует рис. 1.3.

Рис. 1.3. Взаимосвязь угрозы, уязвимости и атаки

Обнаружение вторжений (атак) (Intrusion detection) — процесс мони-
торинга событий, происходящих в компьютерной системе или сети с целью 
поиска признаков возможных инцидентов. 
При этом инциденты могут иметь самую разную природу, например, по-
пытки неавторизованного доступа к ресурсам корпоративной сети или по-
пытки повышения привилегий и т. д.
Система обнаружения атак IDS (Intrusion Detection System) — про-
граммное (или программно-аппаратное) обеспечение, автоматизирующее 
процесс обнаружения атак.
В принципе обнаружение атак может выполняться вручную. Например, 
в результате анализа журнала аудита ОС могут быть выявлены попытки под-
бора пароля. Та же самая процедура может быть выполнена и с помощью 
программного средства, предназначенного для анализа журналов.
Расположение узла в демилитаризованной зоне (Demilitarized Zone, 
DMZ) (в данном случае — web-сервера) обусловливает угрозу наруше-
ния целостности (например, в результате модификации) данных внешним 
нарушителем. Уязвимость, приводящая к реализации угрозы, — возможность 
просмотра содержимого файлов на сервере. Атака, использующая уязви-
мость, — получение нарушителем доступа к критичной информации, которая 
позволила ему впоследствии получить доступ к узлу.
В принципе безопасность — это защищенность от возможного ущерба, 
наносимого при реализации «опасностей» (угроз). Конечной целью обеспе-