Стивен Норткат, Джуди Новак, «Обнаружение нарушений безопасности в сетях».
В последние годы с ростом числа компьютерных преступлений и связанных с ними материальных потерь повышенное внимание уделяется защите информации. Со случаями нарушения безопасности сталкивается большинство организаций, а увеличение сложности атак требует высокой квалификации администраторов для принятия адекватных мер.
И за рубежом, и в России появляется немало книг и учебников по вопросам информационной безопасности. Они охватывают проблемы организации защиты при использовании конкретных программных продуктов (ПО Microsoft либо Oracle) или оборудования (в основном аппаратных межсетевых экранов), рассказывают о методологии создания систем безопасности глобальных сетей, антивирусной безопасности и о различных решениях защиты. Быстрое развитие данного рынка определяет высокий спрос на подобную литературу у специалистов разного профиля — от руководителей до сетевых администраторов и разработчиков. Однако особенно велика потребность в литературе, где излагался бы системный взгляд на проблему и комплексные методы защиты.
В книге Стивена Нортката и Джуди Новак, выдержавшей уже три издания, описываются современные аппаратные и программные средства противодействия атакам хакеров, представлены методы применения этих средств. Простое и наглядное изложение материала, поясняемое на реальных примерах, позволяет администраторам квалифицированно подойти к организации защиты своей локальной сети.
Подобно другим работам данной тематики, книга «Обнаружение нарушений безопасности в сетях» призвана повысить уровень знаний специалистов в области анализа таких нарушений, однако, в отличие от многих аналогичных изданий, в ней описывается полная последовательность действий при возникновении нестандартных ситуаций. Закрепляя материал на практике, читатели могут значительно повысить свою квалификацию в выявлении признаков несанкционированного доступа, результативно бороться со злоумышленниками и принимать верные решения, избегая опасных ошибок. Наряду с доступной формой изложения книгу отличает системный подход к решению задач защиты информации, удачный подбор и компоновка материалов.
Как и во многих специальных изданиях, сначала читателю предлагается ознакомиться с разделом, где раскрываются технические подробности работы стека протоколов TCP/IP. Те, кому приходилось когда-либо объяснять принципы работы IP другому человеку, несомненно, оценят практический подход авторов к изложению материала, а сомневающиеся в полноте своих знаний почерпнут здесь много полезных сведений и получат хорошую теоретическую базу для изучения следующих глав, подробнее раскрывающих многие из затронутых тем. В частности, в главе, посвященной анализу трафика, рассматривается содержание полей заголовков протокола IP и протоколов более высоких уровней. Эта информация абсолютно необходима для выявления типовых нарушений безопасности. Авторы поясняют значение каждого поля, рассказывают о том, какую информацию об отправителе и адресате передаваемых данных они содержат.
Тема расследования компьютерных преступлений крайне актуальна и в России, где еще не разработаны механизмы их выявления и доказательства. Написанное нарушителями ПО, как правило, оставляет характерные признаки — в результате получения созданного хакером вредоносного пакета. В разделе, рассказывающем о фильтрах и правилах контроля сетевого трафика, поясняется, как с помощью анализаторов пакетов TCPdump и Snort исследовать каждое поле в пакете и определять, что является нормальным поведением, а что несет угрозу.
В части под названием «Технологии взлома» подробно поясняются стандартные методы обнаружения типовых нарушений безопасности в сетях. В частности, в ней рассматриваются вопросы выбора места для установки средств обнаружения атаки, ответные действия при атаке хакера и т. п. Раздел позволяет узнать о преимуществах систем предотвращения несанкционированного доступа в коммерческой организации и особенностях их реализации. Кроме того, авторы детально анализируют известные атаки (атаку Митника, атаки Smurf, Tribe Flood Network, WinFreeze и др.), обсуждают вопросы архитектуры систем, описывают бизнес-план обнаружения взлома, дают некоторые прогнозы развития средств защиты.
Последние страницы основного раздела книги знакомят с реальными примерами выявления необычного трафика (TCP, UDP и ICMP), а в завершающих издание приложениях, посвященных атакам и выявлению разведывательных действий, описаны стандартные признаки деятельности хакеров на примерах атак типа DoS и других известных видов атак, а также методы сканирования систем для определения возможности подобных атак.
Книга рассчитана на системных администраторов, аналитиков сетевого трафика и всех, кто хотел бы разобраться в принципах безопасной работы в сети.
Книга (Стивен Норткат, Джуди Новак, «Обнаружение нарушений безопасности в сетях». — «Диалектика-Вильямс», 2003 г. — 448 стр.) скоро появится в магазинах.