Как правильно сгруппировать рабочие системы и как разместить эти группы в сегментах? Проще всего выполнить такую задачу, создав профили для всех систем. Этот профиль должен сопоставлять потенциальные риски (и степени риска) с общими критериями системы, такими как пользовательские группы, важность обрабатываемой информации, используемые в работе приложения и т. п. Основываясь на выбранных характеристиках, необходимо выяснить, какие системы будут защищаться (в первую очередь) внешним межсетевым экраном, какие — зависеть от локальных механизмов разграничения доступа, а для каких систем требуется установить дополнительные средства защиты.
Начните с составления примерной схемы, отображающей службы (и использующиеся порты) и сетевые соединения (взаимосвязи) этих служб с прочими системами и пользователями. Учитывайте особенности установки сеанса соединения (о чем говорилось ранее). В результате вы получите схему, на основе которой можно начать разработку правил экранирования и конкретных настроек для систем IDS и механизмов протоколирования. Все это необходимо для контроля над риском, определения и прогнозирования уровня потенциальной угрозы. Системы обнаружения вторжения — это категория информационных средств, разработанных для наблюдения за «подозрительными» событиями, возникающими в системах или сетях. При возникновении «подозрительного» события IDS выполняет ряд действий, среди которых: протоколирование, сигнализация, блокирование трафика или останов процесса, оперативная настройка правил экранирования и т. п. Сетевые IDS предназначены для слежения за трафиком и выявления «подозрительных» фрагментов. Таким образом, IDS представляет собой датчик, показания которого проверяются на соответствие шаблонам из базы данных. Локальные системы IDS предназначены для слежения за событиями операционной системы. При возникновении того или иного события IDS сравнивает параметры этого события с шаблонами из своей базы данных и, если соответствие найдено, предпринимает действия, установленные администратором.
Эффективность IDS прежде всего зависит от местоположения ее сенсоров (датчиков). Обычно датчики размещаются за внешним экраном в DMZ или на особо чувствительных к атаке сегментах защищенной сети. Датчик, расположенный за экраном, контролирует его, улавливая «тревожные» пакеты, которые не были отфильтрованы запрещающими правилами. Кроме того, появляется возможность слежения за трафиком DMZ-сегмента, что немаловажно при выявлении злоумышленников, пользующихся компьютерами компании.
