CC BY
11
УДК 004.056.53
Половинко Е. В., к. пед. н.
доцент
кафедра Систем управления и информационных технологий
Половинко С. О. студент магистратуры 3 курса Инженерный факультет Институт сервиса, туризма и дизайна ФГАОУ ВПО «Северо-Кавказский федеральный университет»
филиал в г. Пятигорске Россия, г. Пятигорск ПРОГРАММНО-АППАРАТНЫЙ МОНИТОРИНГ УСТРОЙСТВ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ КАК СРЕДСТВО ПРЕДОТВРАЩЕНИЯ НАРУШЕНИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Аннотация:
Статья посвящена анализу программных средств мониторинга . устройств локальной вычислительной сети в контексте информационной безопасности предприятия. В статье рассмотрены основные способы программного контроля нарушений безопасности локальной сети в рамках двух видов программного обеспечения: систем обнаружения вторжений и систем мониторинга IT-инфраструктуры.
Ключевые слова: информационная безопасность, сетевое оборудование, информационная безопасность локальной сети, мониторинг инфраструктуры.
Polovinko E. V., Candidate of Pedagogical Sciences Associate Professor Department of Management Systems and Information
Technologies
Institute of Service, Tourism and Design (branch) FSAEI of HPE «North
Caucasus Federal University» in Pyatigorsk Russian Federation, Pyatigorsk Polovinko S. O. Student
3rd course Engineering Faculty Institute of Service, Tourism and Design (branch) FSAEI of HPE «North
Caucasus Federal University» in Pyatigorsk Russian Federation, Pyatigorsk SOFTWARE AND HARDWARE MONITORING OF DEVICES OF THE LOCAL COMPUTER NETWORK AS A MEANS OF PREVENTION OF INFRINGEMENT INFORMATION SECURITY ENTERPRISES Annotation:
The article is devoted to the analysis of monitoring software. local area network devices in the context of enterprise information security. The article
discusses the main methods of software control of local network security violations within the framework of two types of software: intrusion detection systems and IT infrastructure monitoring systems.
Keywords: information security, network equipment, local area information security, infrastructure monitoring.
Постоянное развитие информационных технологий привело к тому, что 90% современных предприятий имеют локальную вычислительную сеть. Сложность и масштаб локальной вычислительной сети, как правило, зависят от размера предприятия. Если для микро- и малых предприятий под локальной сетью подразумевается небольшой маршрутизатор начального уровня и несколько компьютеров, то для средних и крупных предприятий количество компьютеров измеряется сотнями и тысячами, серверов -десятками, а сама сеть гетерогенна и построена по трехуровневой архитектуре. Безусловно, для обнаружения вторжений в маленькой локальной сети не нужно никаких специальных программных средств мониторинга. Однако в крупных сетях существует много потенциально уязвимых точек как извне, так и внутри сети. Политика безопасности локальной сети должна предусматривать не только защиту сети от угроз, но и способы своевременного обнаружения уже совершенных вторжений и методы противодействия им. Для вышеперечисленных целей могут быть использованы два класса систем:
- системы обнаружения вторжений для распознавания нарушения информационной безопасности злоумышленником извне;
- системы мониторинга устройств для отслеживания действий злоумышленников внутри.
Понимание сути систем обнаружения вторжений (далее СОВ) и выполняемых ими функций является ключевым в определении того, какой тип СОВ следует включать в политику безопасности. В этом разделе обсуждаются понятия, связанные с СОВ, функциональность СОВ каждого типа и появление гибридных систем, реализующих различные инструменты и приёмы обнаружения в одном пакете.
Некоторые СОВ основаны на знаниях и заранее предупреждают администраторов о вторжении, используя базу данных распространённых атак. СОВ, основанные на поведении, напротив, обнаруживают аномалии, которые часто являются признаком активности злоумышленников, отслеживая использование ресурсов. Некоторые СОВ — отдельные службы, работающие в фоновом режиме и анализирующие активность пассивно, регистрируя все подозрительные пакеты извне. Другие мощные средства выявления вторжений получаются в результате сочетания стандартных системных средств, изменённых конфигураций и подробного ведения журнала с интуицией и опытом администратора. Найти средство, подходящее для вашей организации, можно, познакомившись с различными приёмами обнаружения вторжения [1].
Наиболее распространёнными в сфере безопасности типами СОВ, являются так называемые локальные и сетевые системы СОВ. Вариант с локальной СОВ является более всеобъемлющим, так как система обнаружения устанавливается на каждом отдельном компьютере. Узел остаётся защищённым вне зависимости от своего сетевого окружения. Сетевые СОВ собирают пакеты через одно устройство и анализируют их, прежде чем пересылать заданным узлам. Сетевые СОВ обычно считаются более ограниченными, так как при большом количестве узлов в мобильной среде просто невозможно обеспечить надёжную фильтрацию пакетов и защиту сети [2].
Мониторинг оборудования является немаловажным фактором выявления несанкционированных действий. Безусловно, такой вид анализа дает только косвенные сведения, но их правильное использование временами дает даже большие плод, чем не всегда срабатывающий эвристический подход СОВ. Однако, следует помнить что процесс мониторинга представляет собой совокупность человеческих ресурсов, технических средств и организационных мер, направленных на решение именно тех задач, которые компания ставит перед мониторингом в процессе эксплуатации IT-инфраструктуры.
Из этого следует, что одних технических средств недостаточно. В процесс мониторинга должны быть вовлечены сотрудники, действия которых четко определены регламентами.
Большинство широко используемых систем мониторинга оборудования являются свободным программным обеспечением и распространяются бесплатно.
Сообщество Nagios, ведущее свою историю с 1999 года, является одним из лидеров отрасли в области решений для мониторинга ИТ-инфраструктуры любого масштаба — от малого до корпоративного уровня
[3].
Программное решение для мониторинга компьютерных систем и сетей Nagios способно осуществлять мониторинг практически любых компонентов, включая сетевые протоколы, операционные системы, системные показатели, приложения, службы, веб-сервера, веб-сайты, связующее программное обеспечение (Middleware) и т. д..
Базовая функциональность системы для мониторинга Nagios реализована на ядре Core 4, который обеспечивает высокий уровень производительности за счет меньшего потребления ресурсов сервера.
Основные возможности NagiOS:
- централизованное видение всей контролируемой ИТ-инфраструктуры;
- автоматический перезапуск приложений, осуществляемый обработчиком событий, если в работе этих приложений обнаружен сбой;
- многопользовательский доступ;
- ограниченный доступ позволяет управлять видимостью для пользователей только теми компонентами ИТ-инфраструктуры, которые напрямую связаны с их зоной ответственности;
- расширяемая архитектура.
Система мониторинга служб и состояний компьютерной сети Zabbix — это бесплатное программное обеспечение уровня предприятия, предназначенное для осуществления мониторинга всего: от производительности и доступности серверов и сетевого оборудования до веб-приложений и базы данных. Zabbix используется тысячами компаний по всему миру, включая DELL, Salesforce, ICANN, Orange и т. д.
Системная архитектура Zabbix опирается на использование центрального сервера (ядро системы, которое дистанционно контролирует сетевые сервисы, содержит все конфигурационные, статистические и оперативные данные, а также оповещает о проблемах с контролируемым оборудованием) и агентов (программная составляющая контроля локальных ресурсов и приложений на сетевых системах). В большинстве случаев Zabbix-агенты изначально должны быть запущены на клиентских системах, чтобы центральный сервер мог иметь доступ к таким данным, как информация о нагрузке процессора, использовании сети, дисковом пространстве и т. д. Zabbix-сервер и Zabbix-агент могут быть установлены на такие платформы, как Linux, AIX, Solaris, MacOS X, FreeBSD, OpenBSD, HP -UX и т. д. Кроме того, реализована поддержка агентов для установки на решения на базе операционных систем семейства Windows [3].
Кроме того, Zabbix поддерживает осуществление мониторинга через SNMP (Simple Network Management Protocol, Простой протокол сетевого управления) и предоставляет лучшую отчетность.
Основные возможности Zabbix:
- мониторинг Java-серверов приложений напрямую через технологию JMX (Java Management Extensions, Управленческие расширения Java);
- пользовательский интерфейс Zabbix на стороне клиента защищен от атак методом брутфорса;
- расширение функциональности за счет поддержки внешних скриптов, написанных на разных языках, таких как Ruby, Python, Perl, PHP, Java, а также сценариев командной строки (shell scripts);
- интеграция с другими программными инструментами для системного менеджмента, такими как Puppet, cfengine, Chef, bcfg2 и некоторыми другими.
Использование одной из рассмотренных систем позволит контролировать актуальное состояние всех компонентов IT-инфраструктуры.
Исходя из вышесказанного, наиболее сбалансированным решением для обеспечения информационной безопасности предприятия является сочетание систем обнаружения вторжений и систем мониторинга IT-инфраструктуры и оборудования.
Использованные источники:
1. Бирюков, А.А. Информационная безопасность. Защита и нападение / А.А. Бирюков - СПБ: ДМК Пресс, 2017 - 550 с
2. Мельников, В.П. Информационная безопасность / В.П. Мельников, А.И. Куприянов - М: КноРус, 2015 - 323 с.
3. Сетевой ресурс NetworkGur.ru [Электронный ресурс]: 5 лучших бесплатных систем мониторинга ИТ-инфраструктуры - Режим доступа:https://networkgum.m/5-besplatnykh-sistem-momtormga-it-infrastruktury/
