Лекция: Сетевой монитор RealSecure
Наконец, последний и самый быстроразвивающийся продукт — сетевой монитор
безопасности RealSecure 3.0 (рис. 9.10). Первоначально он мог только
Обнаруживать и по факту обнаружения останавливать удаленные атаки. В
Последних версиях, благодаря возможности управления межсетевым экраном и
Маршрутизатором, он может также и предотвращать их,
Динамически меняя правила фильтрации на межсетевом экране или списке
Контроля доступа (ACL) маршрутизатора. Монитор ориентирован на защиту как
Целого сегмента сети, так и конкретного узла. Для обнаружения атак oil
Использует так называемые сигнатуры, чем еще раз подтверждается сходство
Подобных продуктов с антивирусными сканерами. В базе данных RealSecure
есть следующие классы сигнатур удаленных атак (рис. 9.11):
_ отказ в обслуживании (типа Land, Smurf, 00В — см. главу 4);
_ попытки несанкционированного доступа (например, все тот же «debug» в
SMTP, «site exec» в ftp, доступ к ASP-файлам, различные переполнения
Буфера с возможностью исполнения кода);
_ подготовка к атакам (различные способы сканирования портов, команда
«ехрп» в SMTP II др.);
_ подозрительная активность (в том числе ЛКР-запросы, удаленный доступ к
Реестру);
Рис. 9. 1 1. Детализация события в RealSecure
* подозрительные команды на уровне протоколов (передача паролей в разных