09.09.2003 РешенияАнтон Александров, менеджер продуктов и решений компании "Элвис-Плюс" Ни для кого не секрет, что сегодня сотни организаций для обеспечения информационного обмена со своими удаленными филиалами, партнерами, мобильными пользователями и т. д. используют инфраструктуру глобальных внешних сетей (например, Интернета). Однако информационная среда внешних сетей этим организациям неподконтрольна, поэтому такие сети выступают как потенциальный источник сетевых атак, направленных на информационные узлы и ресурсы корпоративных информационных систем (КИС). Естественно, организации стремятся защитить свои информационные ресурсы. Часто первый уровень защиты КИС от воздействия сетевых атак представляет собой межсетевой экран (МЭ), установленный на стыке с глобальными сетями и фильтрующий потоки данных в соответствии с правилами, определенными политикой безопасности. Большинство современных МЭ позволяют предотвратить воздействие атак, но полной защиты от сетевых атак они не гарантируют. Известно, что некоторые атаки МЭ рассматривает как обычный сетевой поток данных. Например, обращение к Web-серверу для МЭ выглядит как обращение к определенному порту, и весь сетевой поток, предназначенный для данного порта, он обязан пропустить, иначе пользователи не получат доступ к страницам на сервере. Так что же делать, если атака все-таки прошла защитные механизмы МЭ? Выходом служит применение мер и средств, направленных на обнаружение атаки внутри КИС. Чтобы распознать атаку внутри сетевого ...
читать далее.