Сетевые анализаторы

     В руках сетевого администратора анализатор протоколов является весьма полезным инструментом, который помогает ему  находить и устранять неисправности, избавляться от узких мест, снижающих  пропускную способность сети, и своевременно обнаруживать проникновение в нее  компьютерных взломщиков. А как уберечься от злоумышленников? Посоветовать можно следующее. Вообще, эти советы относятся не только к анализаторам, но и к мониторам. Во-первых, попытаться обзавестись сетевым адаптером, который принципиально не может функционировать в беспорядочном режиме. Такие адаптеры в природе существуют. Некоторые из них не поддерживают беспорядочный режим на аппаратном уровне (таких меньшинство), а остальные просто снабжаются спецдрайвером, который не допускает работу в беспорядочном режиме, хотя этот режим и реализован аппаратно. Чтобы отыскать адаптер, не имеющий беспорядочного режима, достаточно связаться со службой технической поддержки любой компании, торгующей анализаторами протоколов, и выяснить, с какими адаптерами их программные пакеты не работают. Во-вторых, учитывая, что спецификация РС99, подготовленная в недрах корпораций Microsoft и Intel, требует безусловного наличия в сетевой карте беспорядочного режима, приобрести современный сетевой интеллектуальный коммутатор, который буферизует передаваемое по сети сообщение в памяти и отправляет его по мере возможности точно по адресу. Тем самым надобность в "прослушивании" адаптером всего трафика для того, чтобы выуживать из него сообщения, адресатом которых является данный компьютер, отпадает. В-третьих, не допускать несанкционированного внедрения анализаторов протоколов на компьютеры сети. Здесь следует применять средства из арсенала, который используется для борьбы с программными закладками и в частности - с троянскими программами (установка брандмауэров) В-четвертых, шифровать весь трафик сети. Имеется широкий спектр программных пакетов, которые позволяют делать это достаточно эффективно и надежно. Например, возможность шифрования почтовых паролей предоставляется надстройкой над почтовым протоколом POP (Post Office Protocol) - протоколом APOP (Authentication POP). При работе с APOP по сети каждый раз передается новая шифрованная комбинация, которая не позволяет злоумышленнику извлечь какую-либо практическую пользу из информации, перехваченной с помощью анализатора протоколов. Проблема только в том, что сегодня не все почтовые серверы и клиенты поддерживают APOP.

     Другой  продукт под названием Secure Shell, или  сокращенно - SSL, был изначально разработан легендарной финской компанией SSH Communications Security (http://www.ssh.fi) и в настоящее время имеет множество реализаций, доступных бесплатно через Internet. SSL представляет собой защищенный протокол для осуществления безопасной передачи сообщений по компьютерной сети с помощью шифрования.

     Особую  известность приобрели программные  пакеты, предназначенные для защиты передаваемых по сети данных путем  шифрования и объединенные присутствием в их названии аббревиатуры PGP, что  означает Pretty Good Privacy.

     Примечательно, что в семействе протокольных анализаторов есть достойные отечественные  разработки. Яркий пример – многофункциональный  анализатор Observer (разработка компании “ProLAN”).

Рис. 5. Интерфейс русского анализатора Observer.  

      Но, как правило, большинство анализаторов имеют куда более простой интерфейс  и меньшее количество функций. Например, программа Ethereal.

Рис. 6. Интерфейс  зарубежного анализатора Ethereal.

ЗАКЛЮЧЕНИЕ 

      Сетевые мониторы, как и анализаторы протоколов, представляют собой мощное и эффективное  средство администрирования компьютерных сетей, так как позволяют с  большой точностью оценить многие параметры работы сети, такие как  скорости прохождения сигналов, участки  скопления коллизий и т.д. Однако главная их задача, с которой они успешно справляются – это выявление атак на компьютерные сети и оповещение администратора о них на основе анализа трафика. Вместе с тем, применение этих программных средств таит в себе потенциальную опасность, так как, ввиду того, что информация проходит через мониторы и анализаторы, может быть осуществлен несанкционированный съем этой информации. Системному администратору требуется уделять должное внимание защите своей сети и помнить о том, что комбинированная защита намного эффективнее. Следует внимательно относиться к выбору программного средства анализа трафика, исходя из реальной стоимости информации, которую предполагается охранять, вероятности вторжения, ценности информации для третьих лиц, наличие уже готовых защитных решений, возможности бюджета организации. Грамотный выбор решения будет способствовать уменьшению вероятности несанкционированного доступа и не будет слишком «тяжелым» в плане финансирования. Всегда следует помнить, что на сегодняшний день нет совершенного средства безопасности, и это относится, конечно же, к мониторам и анализаторам. Всегда следует помнить, что каким бы совершенным не был монитор, он окажется не готовым к новым видам угроз, распознавание которых в него не программировалось. Соответственно, следует не только грамотно спланировать защиту сетевой инфраструктуры предприятия, но и постоянно следить за обновлениями используемых программных продуктов.  
 
 
 

ЛИТЕРАТУРА

1. Атака на Интернет. И.Д. Медведковский, П.В. Семьянов, Д.Г. Леонов. – 3-е изд., стер. – М.: ДМК, 2000
2. Microsoft Windows 2000. Справочник администратора. Серия «IT Professional» (пер. с англ.). У.Р. Станек. – М.: Издательско-торговый дом «Русская Редакция», 2002.
3. Networking Essentials. Э. Титтел, К. Хадсон, Дж.М. Стюарт. Пер. с англ. – СПб.: Издательство «Питер», 1999
4. Информация о брешах в программных продуктах взята из базы данных сервера SecurityLab (www.securitylab.ru)
5. Вычислительные сети. Теория и практика. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1
6. Сетевой Анализ. Статья в 2-х частях. http://www.ru-board.com/new/article.php?sid=120
7. Электронный словарь телекоммуникационных терминов. http://europestar.ru/info/
8. Программно-аппаратные методы защиты от удаленных атак в сети Интернет. http://personal.primorye.ru/desperado/Xattack/7.2.htm
9. Безопасность в сетевом мониторе. Самоучитель по Windows XP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm
10. Документация на монитор RealSecure. Предоставлена производителем в электронном виде по запросу.
11. Безопасность компьютерных систем. Анализаторы протоколов. http://kiev-security.org.ua/box/12/130.shtml
12. Интернет-сервер российского разработчика анализаторов – компании “ProLAN” http://www.prolan.ru/