Отже, мабуть, що повсюдне застосування цих захищених протоколів обміну, особливо SSL (звичайно, з довжиною ключа більш 40 біт), поставить надійний бар'єр на шляху усіляких вилучених атак і серйозно ускладнить життя зловмисників усього світу. Однак весь трагізм сьогоднішньої ситуації з забезпеченням безпеки в Internet полягає в тому, що поки жоден з існуючих криптопротоколів (а їх уже чимало) не оформився як єдиний стандарт захисту з'єднання, що підтримувався б усіма виробниками мережних ОС. Протокол SSL, з наявних на сьогодні, підходить на цю роль щонайкраще. Якби його підтримували всі мережні ОС, то не треба було б створення спеціальних прикладних SSL-сумісних серверів (DNS, FTP, TELNET, WWW і ін.). Якщо не домовитися про прийняття єдиного стандарту на захищений протокол сеансового рівня, то тоді буде потрібно прийняття багатьох стандартів на захист кожної окремої прикладної служби. Наприклад, уже розроблений експериментальний, ніким не підтримуваний протокол Secure DNS.

Також існують експериментальні SSL-сумісні Secure FTP- і TELNET-сервери. Але все це без прийняття єдиного підтримуваного усіма виробниками стандарту на захищений протокол не має абсолютно ніякого змісту. А на сьогоднішній день виробники мережних ОС не можуть домовитися про єдину позицію на цю тему і, тим самим, перекладають рішення цих проблем безпосередньо на користувачів Internet і пропонують їм вирішувати свої проблеми з інформаційною безпекою самим.

3.5 Мережний монітор безпеки ALERT-1

У мережі Internet, як і в інших мережах (наприклад, Novell NetWare, Windows NT), відчувається серйозна недостача програмного засобу захисту, що здійснює комплексний контроль (моніторинг) на канальному рівні за всім потоком переданої по мережі інформації з метою виявлення всіх типів вилучених впливів. Дослідження ринку програмного забезпечення мережних засобів захисту для Internet виявило той факт, що подібних комплексних засобів виявлення вилучених впливів не існує, а ті, що маються, призначені для виявлення впливів одного конкретного типу (наприклад, ІСМР Redirect). Тому і була почата розробка засобу контролю сегмента IP-мережі, призначеного для використання в мережі Internet, що одержала: назву мережного монітору безпеки IP Alert-1. Основна задача цього засобу, що програмно аналізує мережний трафік у каналі передачі, складається не у відображенні здійснюваних по каналі зв'язку вилучених атак, а в їхньому виявленні, протоколюванні (веденні файлу аудита з протоколюванням у зручній для наступного візуального аналізу формі всіх подій, зв'язаних з вилученими атаками на даний сегмент мережі) і негайним сигналізовуванні адміністратору безпеки у випадку виявлення вилученої атаки. Основною задачею мережного монітора безпеки IP Alert-1 є здійснення контролю за безпекою відповідного сегмента мережі Internet. Мережний монітор безпеки IP Alert-1 володіє наступними функціональними можливостями і дозволяє, шляхом мережного аналізу, знайти наступні вилучені атаки на контрольований їм сегмент мережі Internet.

Функціональні можливості мережного монітора безпеки IP Alert-1:*

Контроль за відповідністю IP- і Ethernet-адрес у пакетах, переданих
хостами, що знаходяться усередині контрольованого сегмента мережі.

На хості IP Alert-1 адміністратор безпеки створює статичну ARP-таблицю, куди заносить зведення про відповідний IP- і Ethernet-адресах хостів, що знаходяться усередині контрольованого сегмента мережі. Дана функція дозволяє знайти несанкціоновану зміну IP-адреси чи її підміну (IP Spoofing).*

Контроль за коректним використанням механізму вилученого ARP-
пошуку.

Ця функція дозволяє, використовуючи статичну ARP-таблицю, визначити вилучену атаку "Помилковий ARP-сервер".*

Контроль за коректним використанням механізму вилученого DNS-пошуку.

Ця функція дозволяє визначити всі можливі види вилучених атак на службу DNS.*

Контроль на наявність ІСМР Redirect повідомлення.

Дана функція оповіщає про виявлення ІСМР Redirect повідомлення і відповідної вилученої атаки.*

Контроль за коректністю спроб вилученого підключення шляхом аналізу переданих запитів.

Ця функція дозволяє знайти, по-перше, спробу дослідження закону зміни початкового значення ідентифікатора TCP-з'єднання - ISN, по-друге, вилучену атаку "відмовлення в обслуговуванні", здійснювану шляхом переповнення черги запитів на підключення, і, по-третє, спрямований "шторм" помилкових запитів н; підключення (як TCP, так і UDP), що приводить також до відмовлення в обслуговуванні.

Таким чином, мережний монітор безпеки IP Alert-1 дозволяє знайти, сповістити і запротоколювати усі види вилучених атак. При цьому дана програм ніяким образом не є конкурентом системам Firewall. IP Alert-1, використовуючи систематизовані особливості вилучених атак на мережу Internet, служить необхідним доповненням - до речі, незрівнянно більш дешевим, - до систем Firewall. Без монітора безпеки більшість спроб здійснення вилучених атак на ва сегмент мережі залишиться приховано від ваших очей. Жоден з відомих FireWare не займається подібним інтелектуальним аналізом минаючих по мережі повідомлень на предмет виявлення різного роду вилучених атак, обмежуючи, у кращому випадку, веденням журналу, у який заносяться зведення про спроби підбора паролів для TELNET і FTP, про сканування портів і про сканування мережі з використанням знаменитої програми вилученого пошуку відомих уразливостей мережних ОС - SATAN. Тому, якщо адміністратор IP-мережі не бажає залишатися байдужим і задовольнятися роллю простого статиста при вилучених атаках на його мережу, то йому бажано використовувати мережний монітор безпеки IP Alert-1. До речі, Цутому Шимомура зміг запротоколювати атаку Кевіна Митника, багато в чому, видимо, завдяки програмі tcpdump - найпростішому аналізатору ІР-трафіка.

3.6