Говоря о защите периметра, нельзя не упомянуть о проекте «HoneyNet» (http://project.honeyNet.org/papers), цель которого - изучение поведения нарушителей. «HoneyNet» - это сеть узлов, используемых в повседневной работе, но предназначенных для взлома. В процессе взлома информация фиксируется, а затем анализируется с целью изучения поведения нарушителей.
Назначение и особенности
Основная цепь «HoneyNet» - сбор данных о противнике, изучение его тактики. С её помощью можно решить следующие задачи:
o Получение сведений о рисках в области безопасности и уязвимостях. Поскольку HoneyNet состоит из систем и приложений, используемых в повседневной деятельности, риски и уязвимости, имеющиеся в HoneyNet, полностью отображают риски и уязвимости реальной сети организации.
o Отработка политики реагирования на инциденты.
o Отслеживание действий нарушителя в реальном времени (общение через IRC и т. д.).
Таким образом, с помощью «HoneyNet» можно контролировать любую деятельность, происходящую внутри. Анализ собранных данных дает информацию об использованных инструментах, тактике и мотивах нарушителей.
Типовая схема «HoneyNet»
Схема «HoneyNet» должна быть спроектирована таким образом, чтобы обеспечить:
o Возможность контроля ситуации
o Возможность фиксации как можно большего числа данных
Сеть «HoneyNet» должна работать вместе с корпоративной сетью и быть максимально независимой от нее. Она может быть подключена к Интернет по отдельному каналу или использовать основной маршрутизатор организации.
В предлагаемом варианте сети можно выделить три сегмента:
o Собственно сама сеть «HoneyNet»
o Административная сеть
o Интернет
Сегмент «HoneyNet» состоит из:
o Узлов-приманок. Они создают сетевую среду, моделирующую реальную сеть предприятия. На этих узлах ничего не эмулируется, ничего не сделано специально для ослабления защиты.
o Сервера регистрации. Он собирает данные с узлов-приманок, настроенных так, что все данные сохраняются локально и на сервере-регистрации. На него могут поступать данные и от системы обнаружения атак (через административный сегмент)
o Системы обнаружения атак, собирающей трафик сетевого сегмента «HoneyNet».
Административный сегмент служит для сбора и обработки данных, которые и являются результатом работы «HoneyNet». Источниками данных являются:
o Межсетевой экран
o Сервер регистрации
o Система обнаружения атак
o Системные журналы узлов сегмента «HoneyNet»
Межсетевой экран осуществляет фиксацию событий и контроль соединений, позволяя управлять ситуацией в сегменте «HoneyNet». Маршрутизатор защищает от атак сетевого уровня, исходящих из сегмента «HoneyNet», таких как IPSpoofmg, Ping of Death и т. п., a также ограничивает ICMP- трафик.
Итак, использование «HoneyNet» даёт возможность получить информацию о противнике, изучить аспекты его поведения и сделать соответствующие выводы, относящиеся уже к реальной сети предприятия.
Введение. Структура и классификация систем с очередями
Теория массового обслуживания (ТМО) – это раздел теории случайных процессов, в котором изучается формирование и динамика очередей. Система массового обслуживания (СМО) – это физическая система, предназначенная для выполнения однотипных операций, на которые имеется массовый спрос. Ресурсы реальных систем обычно ограничены, заявки на использования ресурса СМО конфликтуют между собой за обладание ресурсами системы, и этот конфликт разрешается в форме очереди. Основные области приложения современной ТМО – системы и сети связи, информационно – вычислительные системы, системы снабжения (водоснабжение, энергоснабжение и.т.п.), управление запасами.
Математический аппарат ТМО – теория вероятностей и теория случайных процессов. Прикладное назначение ТМО – выбор на основе анализа разумных способов организации СМО с тем, чтобы увеличить их пропускную способность и снизить затраты, происходящие по причине задержек в очередях.
Первые задачи ТМО были рассмотрены датским ученым А.К.Эрлангом (1978 – 1029), который получил свои знаменитые формулы для расчета систем с отказами в 1917-м году, решив задачу прогнозирования качества обслуживания абонентов копенгагенской телефонной сети, найдя зависимость от количества каналов связи.
