Системы обнаружения вторжения

Без сомнения, обнаружение попыток проникновения в систему — необходимая часть процесса обеспечения безопасности. После межсетевых экранов системы обнаружения вторжения (IDS) — самые популярные средства безопасности. Производители годами совершенствуют свои продукты, но, к сожалению, IDS пока не оправдывают многих ожиданий. При разработке правил экранирования руководствуйтесь той же схемой соединений. Опирайтесь на предположение о том, что все, что специально не разрешено, запрещено. При таком подходе, скорее всего, на ранних этапах программирования межсетевого экрана вы забудете написать какое-нибудь разрешающее правило. Но в процессе дальнейшей работы, изучая протоколы, вы увидите, какой трафик блокируется и, исходя из потребностей сайта, добавите или измените соответствующее правило. Без тонкой настройки в любом случае не обойтись, тем более что настройка — это часть тестирования перед вводом сайта в эксплуатацию. Системы IDS существуют не только в коммерческих версиях, но и в открытых исходных текстах, причем в последнем случае решения иногда даже превосходят свои коммерческие аналоги. Более того, продукты IDS вышли на рынок именно благодаря открытым системам вроде Snort!, Shadow или PortSentry. Многие бесплатные IDS имеют полную документацию, поддержку и набор дополнительных модулей, расширяющих базовую функциональность. Для примера, в сети можно найти целый ряд дополнений к системе Snort: интерфейсы управления, генераторы отчетов, наборы правил и т. п. Независимо от того, на чем вы остановите свой выбор, помните, что IDS — это Инструмент. Как антивирусная программа или межсетевой экран, IDS не может гарантировать абсолютную неуязвимость. IDS — один из компонентов, из которых состоит система безопасности сайта. Если использовать IDS грамотно, можно решить ряд проблем. Если пользоваться этим инструментом неумело, можно обрести ложное чувство безопасности. Последняя страница содержит замечательный список вопросов и ответов, составленных специалистами института SANS.