Вторжения - обычная дело нормального функционирования любой современной сети. BlackICE Defender сообщает обо всем несанкционированном доступе к вашей системе. Однако не весь несанкционированный доступ составляет вторжение. Перед тем как провести расследование, прежде всего, необходимо определить, является ли расследуемое событие реальным нападением. При оценке события, необходимо учитывать следующее:
· Имеет ли данное событие степень серьезности 2 или меньше? События ниже этого уровня - главным образом связаны с исследованием системы и просмотром событий. Они не особенно опасны, но могут указывать на подготовительную фазу вторжения. Лучше все-таки следить за такими злоумышленниками и готовиться к более серьезному нападению.
· Отследил ли BlackICE всю информацию о событии в обратном порядке? Опытные злоумышленники будут целеустремленно маскировать DNS, NetBIOS и MAC-адреса источника. Поэтому, события с высоким приоритетом (более чем 59) без возможности получения обратной информации могут указывать на деятельность опытного злоумышленника.
· Проистекает ли данное событие от одной из ваших собственных систем? Некоторые сетевые службы выполняют стандартные просмотры сети, чтобы проверить доступность систем. Эти просмотры безопасны, но BlackICE обнаружит и сообщит о них.
· Проистекает ли данное событие от вашего Internet-провайдера? Многие Internet-провайдеры выполняют сканирование своих сетей. Эти события также безопасны.
Если Вы часто подвергаетесь вторжениям, то у Вас имеется несколько вариантов ответов на них.
· Некоторые злоумышленники выполняют повторные неопасные вторжения просто для того, чтобы постоянно раздражать Вас. BlackICE Defender блокирует злоумышленников только тогда, когда они непосредственно угрожают вашей системе. Для неопасных событий, подобных сканированию портов, BlackICE Defender не блокирует злоумышленника; он просто сообщает, о том, что событие имело место.
· Используйте локальную консоль BlackICE, чтобы вручную блокироватьIP-адрес любого злоумышленника. После этого злоумышленник больше не сможет осуществить нападение на вашу систему.
Внимание: ручные конфигурации, выполненные на одной из инсталляций BlackICE Defender, не затрагивают никакие другие инсталляции BlackICE Defender в вашей сети.
Если Вы испытываете многочисленные вторжения, то используйте уровни защиты BlackICE Defender, чтобы защитить ваши сетевые порты. Повышение уровня защиты может противоречить выполнению некоторых Internet-функций, особенно связанных с мультимедиа приложениями, но это может быть предпочтительнее чем выносить тысячи вторжений.
Определите местонахождение Internet-провайдера злоумышленника, и сообщите о действиях злоумышленника. Большинство Internet-провайдеров имеет ограничения в использовании доступа, которые строго запрещают действия взлома.
Вы можете также выбрать соответствующие события из вкладки Events, или сведения о злоумышленнике из вкладки Intruders, а затем скопировать и вставить эту информацию в электронное письмо. Кроме того, в данное уведомление Internet-провайдеру включите следующую информацию: ваше имя, ваше местонахождение, ваш часовой пояс, дату и время события, тип события, IP-адрес злоумышленника, DNS и MAC-адреса. Если возможно прикрепите *.log и *.enc файлы, соответствующие данному событию. Эти файлы расположены в каталоге, где Вы устанавливали BlackICE.
Почти все старые операционные системы содержат известные уязвимости в защите. Сохранение операционных систем на современном уровне гарантирует, что Вы имеете самую современную защиту от взлома.
Подобно операционным системам, сетевое оборудование также должно быть модернизировано периодически, чтобы исправлять известные уязвимости. Все основные изготовители выпускают корректные патчи к внутреннему программному обеспечению, выполняющемуся в маршрутизаторах и свитчах.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.