|
Итак,
предположим, что атака увенчалась успехом. Это определенное
событие, причем неприятное. Чтобы обеспечить безопасность
вашей сети, надо тщательно продумать ответ на атаку и
процедуру существования в процессе этой атаки. Политика
поведения должна быть продумана и четко определена, начиная
с шагов по определению уровня тяжести атаки. Давайте
посмотрим на попытки вторжения в две сети: одну - с хорошо
продуманной политикой действий в случае атаки и другую - без
такой политики.
Вообразим себе компанию безо всякой политики обеспечения
безопасности. После того как компания построила свою сеть,
основное внимание уделяется покрытию, скорости доступа и
доступности. По мере развития сети и появления в ней
беспроводного доступа ничего не было сделано в плане
создания документации - о ней просто не подумали. После
появления беспроводного доступа о безопасности также не
думали, не было проведено никаких конкретных разработок, как
вести себя в случае проникновения хакера в сеть. Через
несколько недель после развертывания беспроводной сети в
компании сетевые администраторы начали получать жалобы на ее
плохую работу. Они начали исследовать ситуацию, проверяя то,
что было наиболее важным с их точки зрения. В конце концов,
они пришли к выводу, что скорее всего не работает одна из
точек доступа, которую было решено заменить. Еще через
несколько недель компанию посетили несколько представителей
правоохранительных органов, поскольку по их утверждению
целый ряд атак отказа в предоставлении услуг был проведен из
сети компании. Не имея формальной политики безопасности и
стратегии действий в случае проникновения в сеть, компания
не могла предоставить пришедшим никаких аргументов в свою
защиту. А без этих доказательств те никак не могли
локализовать причину атак. Компания не только никак не могла
помочь правоохранительным органам в расследовании причин
атак - ее руководство не имело ни малейшего представления о
том, что она была атакована и какие информационные ресурсы
пострадали от этой атаки. Пришлось тратить гораздо больше
часов работы на то, чтобы перестроить свою сеть и сервера,
чем если бы с самого начала было потрачено время на создание
продуманной политики безопасности и работы в условиях атаки.
А теперь поговорим о более разумной компании, которая с
самого начала соблюдала разумный баланс в обеспечении
функционирования сети и ее безопасности и сумела обнаружить
некоторую подозрительную активность в своей сети. При помощи
рутинного мониторинга администраторы обнаружили в сети
необычный трафик. После того как IDS посылает сигнал
тревоги, администраторы готовы к действию. В их политике
безопасности четко прописаны все необходимые действия,
которые следует предпринять в случае атаки. Приготовлены все
необходимые формы и проверочные листы, поэтому они готовы
действовать. Следуя всем предписаниям политики, они могут
определить, что вредоносный трафик исходит от одной из их
ТД. Это странно, поскольку все ТД сконфигурированы с WEP.
Более тщательный анализ ситуации показывает, что именно эта
ТД ошибочно была сконфигурирована так, чтобы допускать
передачу незашифрованного трафика. В этом случае, имея в
своих руках хорошую политику поведения, администраторы
быстро смогли установить источник проблем и их причину. И в
дальнейшем они всегда могли выявлять проблемные ТД и менять
их конфигурацию. Иметь политику отклика на вторжение - это
хорошо, но дополнительная сложность из-за беспроводной
природы сети приводит к определенным проблемам со сбором
необходимой информации. |
