Функціональні можливості мережного монітора безпеки IP Alert-1:

- Контроль за відповідністю IP- і Ethernet-адрес у пакетах, переданих
хостами, що знаходяться усередині контрольованого сегмента мережі.

На хості IP Alert-1 адміністратор безпеки створює статичну ARP-таблицю, куди заносить зведення про відповідний IP- і Ethernet-адресах хостів, що знаходяться усередині контрольованого сегмента мережі. Дана функція дозволяє знайти несанкціоновану зміну IP-адреси чи її підміну (IP Spoofing).

- Контроль за коректним використанням механізму вилученого ARP-
пошуку.

Ця функція дозволяє, використовуючи статичну ARP-таблицю, визначити вилучену атаку "Помилковий ARP-сервер".

- Контроль за коректним використанням механізму вилученого DNS-пошуку.

Ця функція дозволяє визначити всі можливі види вилучених атак на службу DNS.

- Контроль на наявність ІСМР Redirect повідомлення.

Дана функція оповіщає про виявлення ІСМР Redirect повідомлення і відповідної вилученої атаки.

- Контроль за коректністю спроб вилученого підключення шляхом аналізу переданих запитів.

Ця функція дозволяє знайти, по-перше, спробу дослідження закону зміни початкового значення ідентифікатора TCP-з'єднання - ISN, по-друге, вилучену атаку "відмовлення в обслуговуванні", здійснювану шляхом переповнення черги запитів на підключення, і, по-третє, спрямований "шторм" помилкових запитів н; підключення (як TCP, так і UDP), що приводить також до відмовлення в обслуговуванні.

Таким чином, мережний монітор безпеки IP Alert-1 дозволяє знайти, сповістити і запротоколювати усі види вилучених атак. При цьому дана програм ніяким образом не є конкурентом системам Firewall. IP Alert-1, використовуючи систематизовані особливості вилучених атак на мережу Internet, служить необхідним доповненням - до речі, незрівнянно більш дешевим, - до систем Firewall. Без монітора безпеки більшість спроб здійснення вилучених атак на ва сегмент мережі залишиться приховано від ваших очей. Жоден з відомих FireWare не займається подібним інтелектуальним аналізом минаючих по мережі повідомлень на предмет виявлення різного роду вилучених атак, обмежуючи, у кращому випадку, веденням журналу, у який заносяться зведення про спроби підбора паролів для TELNET і FTP, про сканування портів і про сканування мережі з використанням знаменитої програми вилученого пошуку відомих уразливостей мережних ОС - SATAN. Тому, якщо адміністратор IP-мережі не бажає залишатися байдужим і задовольнятися роллю простого статиста при вилучених атаках на його мережу, то йому бажано використовувати мережний монітор безпеки IP Alert-1. До речі, Цутому Шимомура зміг запротоколювати атаку Кевіна Митника, багато в чому, видимо, завдяки програмі tcpdump - найпростішому аналізатору ІР-трафіка.

3.6 Засоби автоматизованого контролю безпеки

Ми вже говорили про корисність засобу автоматизованого контролю безпеки окремого комп'ютера, а також усієї подмережі, за якої він відповідає, для системного адміністратора. Природно, що такі засоби вже з'являлися, і частіше інших зустрічаються назви ISS (Internet Security Scaner), COPS (Computer Oracle and Password System) і, звичайно, SATAN (Security Administrator Tool for Analizyng Networks). На жаль, їм звичайно властиві наступні недоліки:

- системозалежність - звичайно вони розраховані на цілком конкретну ОС чи навіть її версію;

- ненадійність і неадекватність - якщо ці програми повідомляють, ще всі
"О'кеу", це зовсім не виходить, що так насправді і є; і навпаки - деяка
"уразливість" , з їхнього погляду, може виявитися спеціальним варіантом
конфігурації системи;

- малий час життя - тому що з моменту виявлення уразливості до її
викорінювання проходить не дуже великий час (порядку року), програма
швидко застаріває;

- не актуальність - більш того, з моменту виходу програми у світ всі нові
(тому самі небезпечні) уразливості виявляються невідомими для неї, і її
цінність швидко зводиться до нуля. Цей недолік є самим серйозним;

- нарешті, це можливість їхнього використання з прямо протилежними

- нарешті, це можливість їхнього використання з прямо протилежними
цілями - для пошуку вад у вашій системі.

Можна помітити явну аналогію цих програм з антивірусними сканерами першого покоління - ті знали лише строго визначений набір вірусів, нозі віруси додавалися тільки в наступному випуску програми. Якщо подивитися ка можливості сучасних антивірусних програм - це й оперативне лікування вірусів автоматизоване поповнення бази вірусів самим користувачем, і пошук невідомі вірусів, - то можна побажати, щоб гарний сканер Інтернету зміг запозичити деякі з них. У першу чергу - це можливість поповнення бази новими уразливостями. Причому в наші дні це нескладно зробити - коштує лише переписувати інформацію з джерел, що займаються саме збором таких зведень, типу CERT чи СІАС.

3.7 Програма SATAN

SATAN вважається самою небезпечною програмою з абиколи написаних, починаючи від своєї лиховісної назви до можливості влізти чи ледве не в самий захищений комп'ютер. А що стосується влізання в комп'ютер - якщо подібна програма і мається в зломщиків чи спецслужб, то вона ніколи не стала