Варианты установки системы обнаружения атак

Существует три основных участка, где может быть установлен агент системы обнаружения атак.

• 1. В «демилитаризованной зоне». Основная цель такой установки — предотвращение атак на серверы и устройства, установленные внутри DMZ. Это особенно важно для межсетевого экрана, как точки поступления внешних данных во внутреннюю сеть. При размещении агента системы обнаружения атак в DMZ дополнительно защищается внешний периметр корпоративной сети от потенциальных атак.
• 2. За межсетевым экраном (снаружи). Основная цель указанной установки — обнаружение изменений настроек межсетевого экрана и контроль трафика, проходящего через него. Модуль слежения, установленный до межсетевого экрана, гарантирует:
  • • что межсетевой экран функционирует должным образом; он не скомпрометирован и его настройки несанкционированно не изменялись;
  • • что не используются обходные пути через межсетевой экран для атаки на внутреннюю сеть.

Также можно использовать эту конфигурацию совместно с предыдущей для проверки эффективности вашего межсетевого экрана. Например, путем сравнения числа атак, обнаруженных до и после межсетевого экрана.

3. На ключевых сегментах корпоративной сети (внутри). Большинство атак на узлы сети реализуется изнутри и многие организации принимают меры по уменьшению ущерба от таких атак путем установки системы обнаружения атак на критичных сегментах сети.

К другим вероятным местам размещения модулей слежения системы обнаружения атак можно отнести:

• • размещение на главной сетевой магистрали для контроля межсегментного трафика;
• • размещение сразу после модемной стойки для защиты от НСД к сети по коммутируемым каналам и т. п.