• Wybierz i skonfiguruj odpowiedni system detekcji włamań
• Dowiedz się, w jaki sposób hakerzy mogą zaatakować Twój system
• Zareaguj na atak hakera

Wykrywanie włamań to stosunkowo nowa dziedzina, którą zainteresowało się już wielu specjalistów od zabezpieczeń systemów komputerowych. Wokół niej, podobnie jak wokół innych rozwijających się dziedzin, krąży wiele mitów. Książki poświęcone ochronie przed włamaniami przedstawiają ten temat z innej perspektywy. Trudno jest również znaleźć zestawienie i porównanie narzędzi do detekcji włamań oraz omówienie procedury instalacji i skonfigurowania takiego narzędzia.

Głównym założeniem książki "Wykrywanie włamań i aktywna ochrona danych" jest wypełnienie tej luki. Książka przedstawia systemy detekcji włamań i sposoby korzystania z nich. Pokazuje również rodzaje i techniki ataków hakerskich oraz metody reagowania na włamania i próby włamań.

• Anatomia ataku
• Zasady wykrywania włamań do sieci
• Wykrywanie śladów ataku
• Źródła informacji o atakach
• Czynniki warunkujące bezpieczeństwo systemu
• Narzędzia do wykrywania ataków
• Instalacja i konfiguracja systemu detekcji włamań oraz administrowanie nim
• Bezpieczeństwo systemu wykrywania ataków
• Reagowanie na zdarzenia zachodzące w sieci

Osoby które kupowały "Wykrywanie włamań i aktywna ochrona danych", wybierały także:

• Profesjonalne testy penetracyjne. Zbuduj własne środowisko do testów 67,42 zł, (20,90 zł -69%)
• Windows Server 2003. Bezpieczeństwo sieci 74,69 zł, (23,90 zł -68%)
• Spring Security. Kurs video. Metody zabezpieczania aplikacji webowych 69,00 zł, (31,05 zł -55%)
• Bezpieczeństwo systemów informatycznych. Zasady i praktyka. Wydanie IV. Tom 2 99,00 zł, (49,50 zł -50%)
• Hartowanie Linuksa we wrogich środowiskach sieciowych. Ochrona serwera od TLS po Tor 59,00 zł, (29,50 zł -50%)

Spis treści

Wykrywanie włamań i aktywna ochrona danych -- spis treści

Wstęp (9)

• Docelowy krąg odbiorców (10)
  
• Przegląd treści (11)

Rozdział 1. Wykrywanie włamań - wprowadzenie (15)

• Znaczenie systemów wykrywania włamań (15)
  
• Poziomy systemu informatycznego (19)
  
• Tradycyjne środki bezpieczeństwa (20)
  
  • Wady tradycyjnych środków bezpieczeństwa (20)
  • Omijanie zapór sieciowych (22)
• Podsumowanie (34)

Rozdział 2. Anatomia ataku (35)

• Zdarzenia związane z bezpieczeństwem (35)
  
• Luki i podatność na włamanie (36)
  
  • Klasyfikacja luk (36)
• Ataki (41)
  
  • Nieformalny model ataku (43)
  • Model ataku tradycyjnego (44)
  • Model ataku rozproszonego (45)
  • Skutki ataku (54)
  • Etapy realizacji ataku (56)
  • Narzędzia realizacji ataku (66)
  • Klasyfikacja ataków (67)
  • Bazy danych luk i ataków (68)
• Incydenty (70)
  
• Włamywacze (71)
  
  • Cele włamywaczy (74)
• Podsumowanie (79)

Rozdział 3. Wprowadzenie do wykrywania włamań (81)

• Wspomaganie zapór sieciowych (84)
  
• Kontrola dostępu do plików (84)
  
• Kontrolowanie nierzetelnych pracowników i zapobieganie wyciekom informacji (85)
  
• Ochrona antywirusowa (85)
  
• Kontrolowanie poczynań administratorów (86)
  
• Kontrolowanie dostępu do internetu (87)
  
• Wykrywanie nieznanych urządzeń (88)
  
• Analiza efektywności konfiguracji zapory sieciowej (88)
  
• Analiza przepływu informacji (89)
  
• Analiza danych urządzeń sieciowych (89)
  
• Zbieranie dowodów i reagowanie na incydenty (89)
  
• Inwentaryzacja zasobów i tworzenie mapy sieci (90)
  
• Wykrywanie konfiguracji domyślnych (91)
  
• Kontrolowanie efektywności działu informatycznego (92)
  
• Systemy wykrywania włamań a inne narzędzia zabezpieczające (92)
  
• Podsumowanie (93)

Rozdział 4. Trzy podstawowe zasady wykrywania włamań (95)

• Przesłanki ataku (95)
  
  • Powtarzające się zdarzenia (96)
  • Monitorowanie liczby powtórzeń (97)
  • Monitorowanie odstępu czasowego pomiędzy zdarzeniami (98)
  • Niepoprawne polecenia (101)
  • Próby wykorzystywania luk (103)
  • Nieprawidłowe (nietypowe) parametry ruchu sieciowego (104)
  • Źródła informacji o atakach (125)
  • Technologie wykrywania włamań (130)
  • Wykrywanie włamań - dwa podejścia (132)
• Podsumowanie (140)

Rozdział 5. Wykrywanie śladów ataku (141)

• Kontrola spójności plików i katalogów (143)
  
  • Dane o ważnych plikach i katalogach (147)
  • Kontrola spójności plików i katalogów (149)
• Analiza plików dziennika (149)
  
• Analiza ruchu sieciowego (153)
  
• Analiza powiadomień (153)
  
• Analiza procesów, usług i portów (154)
  
• Wykrywanie nieautoryzowanej instalacji urządzeń (155)
  
  • Regularny przegląd urządzeń (155)
  • Monitorowanie modemów (156)
  • Kontrolowanie dostępu do zasobów fizycznych (157)
• Analiza zewnętrznych źródeł informacji i analiza zachowania systemu (157)
  
• Podsumowanie (158)

Rozdział 6. Klasyfikacja systemów wykrywania włamań (159)

• Systemy zapewniania bezpieczeństwa (161)
  
  • Systemy wyszukujące słabości projektu (162)
  • Systemy wykrywające wady fazy konfiguracji (167)
• Klasyczne systemy wykrywania włamań i programy analizujące pliki dzienników (176)
  
  • Rys historyczny (176)
  • Klasyfikacja systemów wykrywania włamań - wstęp (178)
  • Architektura systemu wykrywania włamań (181)
  • Stanowiskowe systemy wykrywania włamań (185)
  • Sieciowe systemy wykrywania włamań (190)
  • Narzędzia wykrywania ataków odmowy obsługi (199)
  • Systemy wykrywania włamań a zapory sieciowe (201)
  • Systemy zwodzące (wabiki) (202)
• Podsumowanie (210)

Rozdział 7. Uprzedzanie ataków czyli tworzenie infrastruktury wykrywania włamań (211)

• Szkolenie personelu (214)
  
• Ośrodki szkoleniowe (216)
  
  • Szkolenia on-line (217)
  • Seminaria on-line (217)
  • Seminaria i konferencje (217)
  • Gry symulacyjne (218)
  • Certyfikacja (219)
• Definiowanie procedur i zasad bezpieczeństwa (219)
  
• Wybór i stosowanie systemowych i sieciowych mechanizmów rejestrowania zdarzeń (223)
  
  • Rejestrowane informacje (224)
  • Użyteczność wbudowanych mechanizmów rejestrowania informacji o zdarzeniach (224)
  • Rejestrowanie zdarzeń (226)
  • Ochrona plików dzienników (226)
  • Plan zarządzania plikami dzienników (228)
• Generowanie informacji dla systemów kontroli spójności (230)
  
  • Mapa sieci (231)
  • Archiwizacja ważnych plików i katalogów (233)
• Podsumowanie (234)

Rozdział 8. Cykl życia i etapy wdrożenia systemu wykrywania włamań (235)

• Cykl życia projektu wdrożenia infrastruktury wykrywania włamań (236)
  
  • Planowanie (236)
  • Wybór producenta (237)
  • Testowanie (237)
  • Projekt pilotażowy (238)
  • Instalacja (238)
  • Obsługa i konserwacja (238)
• Uzasadnianie zakupu (238)
  
  • Łączny koszt posiadania (240)
  • Stopa zwrotu z inwestycji (243)
  • Uruchamianie systemu wykrywania włamań (247)

Rozdział 9. Wybór systemu wykrywania włamań (249)

• Analiza wstępna (250)
  
  • Co chronić? (250)
  • Przed czym chronić? (252)
  • Przed kim chronić? (252)
  • Jak chronić? (253)
  • Jakie narzędzia angażować do ochrony? (255)
• Nabywcy systemów wykrywania włamań (255)
  
  • Małe firmy (256)
  • Duże firmy z filiami (256)
  • Korporacje międzynarodowe (256)
  • Dostawcy usług internetowych (257)
  • Dostawcy usług informatycznych (258)
• Kryteria oceny systemów wykrywania włamań (258)
  
  • Miejsce instalowania (259)
  • Źródła informacji i metody analizy (260)
  • Tryby przetwarzania (260)
  • Architektura (260)
  • Obsługiwane platformy (262)
  • Wykrywanie włamań (262)
  • Liczba wykrywanych ataków (262)
  • Aktualizacje sygnatur (263)
  • Definiowanie własnych zdarzeń (267)
  • Reakcje na ataki (278)
  • Zarządzanie czujnikami (286)
  • Zarządzanie zdalne (286)
  • Zarządzanie hierarchiczne (288)
  • Zarządzanie zdarzeniami (289)
  • Wydajność systemu wykrywania włamań (309)
  • Instalacja i konfiguracja (310)
  • Dostępność interfejsów i zestawów programistycznych (311)
  • Wsparcie techniczne (311)
  • Cena (313)
  • Elastyczność (313)
  • Inne kryteria (313)
• Testowanie (314)
  
• Podsumowanie (318)

Rozdział 10. Umiejscowienie systemu wykrywania włamań (319)

• Rozmieszczenie czujników systemu wykrywania włamań (319)
  
  • Czujnik sieciowy pomiędzy zaporą sieciową a routerem (320)
  • Czujnik sieciowy w strefie zdemilitaryzowanej (321)
  • Czujnik za zaporą sieciową (322)
  • Czujniki w kluczowych segmentach chronionej sieci lokalnej (323)
  • Czujnik w pobliżu serwera dostępu zdalnego (323)
  • Czujnik w sieci szkieletowej (324)
  • Czujniki w oddziałach regionalnych (325)
  • Równoważenie obciążenia (325)
  • Przypadki szczególne (328)
• Czujniki systemu wykrywania włamań w sieciach przełączanych (331)
  
  • Wykorzystanie portu analizatora (333)
  • Podłączenie dodatkowego koncentratora sieciowego (336)
  • Zastosowanie rozdzielacza (337)
  • Zastosowanie urządzeń równoważących obciążenie (340)
  • Integrowanie systemów wykrywania włamań z przełącznikami sieciowymi (341)
• Umiejscowienie skanera bezpieczeństwa (342)
  
• Umiejscowienie systemów kontroli spójności (344)
  
  • Umiejscowienie systemów zwodzących (344)
• Umiejscowienie konsol sterujących (345)
  
• Czynniki wpływające na konfigurację systemu wykrywania włamań (346)
  
  • Obciążenie sieci i intensywność ruchu (347)
  • Rodzaj transmisji w kontrolowanym segmencie (347)
  • Średnie i szczytowe obciążenie procesora (348)
  • Średni rozmiar pakietu w chronionym segmencie (348)
  • Czas odpowiedzi (350)
  • Obecność sieci z segmentami przełączanymi (350)
  • Obecność routerów asymetrycznych (350)
  • Skalowalność i rozszerzalność systemu (351)
  • Zgodność z istniejących sprzętem i oprogramowaniem (351)
  • Szyfrowanie (351)
  • Odległość pomiędzy czujnikami a konsolą sterującą (351)
  • Zabezpieczenia na linii konsola-czujnik (352)
  • Dynamiczny przydział adresów w kontrolowanym segmencie sieci (DHCP) (352)
  • Współpraca z działem informatycznym (353)

Rozdział 11. Obsługa systemów wykrywania włamań (355)

• Wybór węzła dla systemu wykrywania włamań (356)
  
  • Wybór platformy (356)
  • Węzeł dedykowany systemowi obsługi włamań (359)
• Zakup systemu wykrywania włamań (360)
  
  • Zakup wymaganego sprzętu i oprogramowania (360)
  • Zakup dokumentacji i usług wsparcia technicznego (367)
• Instalacja i rozruch systemu wykrywania włamań (369)
  
• Wyznaczanie bazy wiedzy dla (klasycznych) systemów wykrywania włamań (375)
  
• Wyznaczanie bazy wiedzy dla (klasycznych) skanerów bezpieczeństwa (378)
  
  • Strategia skanowania (379)
  • Taktyki skanowania (381)
• Konfiguracja mechanizmu rejestrowania zdarzeń i mechanizmów ostrzegawczych (384)
  
  • Pliki dzienników (384)
  • Powiadamianie pocztą elektroniczną i za pomocą SNMP (387)
• Zabezpieczanie systemu wykrywania włamań (387)
  
  • Obwód rezerwowy (388)
  • Zabezpieczanie przed nieuprawnionym dostępem (389)
  • Ograniczanie liczby użytkowników systemu wykrywania włamań (389)
  • Kontrola dostępu do komponentów systemu wykrywania włamań (390)
  • Określenie zasad bezpieczeństwa (391)
  • Działanie w trybie utajonym (391)
  • Automatyzacja (392)
  • Możliwe problemy (394)
• Podsumowanie (396)

Rozdział 12. Problemy typowe dla systemów wykrywania włamań (397)

• Problemy natury ogólnej (398)
  
  • Aktualizacje bazy danych sygnatur (398)
  • Heterogeniczność sieci (398)
  • Ujednolicenie zarządzania bezpieczeństwem (399)
  • Podatność systemów operacyjnych (400)
  • Brak matematycznych podstaw technologii (401)
  • Fałszywe alarmy (401)
  • Fałszywe pominięcia (401)
  • Rozwój narzędzi automatyzujących włamania (402)
  • Trudności wykrywania włamań (405)
  • Ataki na systemy wykrywania włamań (406)
  • Brak współpracy pomiędzy producentami (407)
  • Nieustanny łańcuch przejęć i fuzji (407)
  • Aktywne reagowanie (413)
  • Przywrócenie systemu do stanu sprzed ataku (414)
  • Co robić w obliczu ataku? (415)
  • Testowanie systemów wykrywania włamań (416)
  • Kompresja semantyczna (417)
  • Brak mechanizmów gromadzenia dowodów sądowych (417)
• Ograniczenia sieciowych systemów wykrywania włamań (418)
  
  • Sieci przełączane (418)
  • Sieci z komunikacją szyfrowaną (418)
  • Modemy (419)
  • Niedostatek zasobów (419)
  • Prowokowanie awarii systemów wykrywania włamań (421)
  • Oszustwa proste (423)
  • Oszustwa wyrafinowane (425)
• Ograniczenia stanowiskowych systemów wykrywania włamań (426)
  
  • Rozmiar pliku dziennika (426)
  • Interwał archiwizacji dzienników (426)
  • Ograniczona wydajność (426)
  • Ochrona plików dzienników (427)
  • Rodzaj i poziom szczegółowości rejestrowanych informacji (427)
  • Brak jednolitego formatu zapisu danych (427)
• Podsumowanie (428)

Rozdział 13. Standaryzacja w dziedzinie wykrywania włamań (429)

• Adaptive Network Security Alliance (429)
  
• Projekt Lincoln Laboratory (430)
  
• Projekt OSEC (431)
  
• Intrusion Detection Systems Consortium (431)
  
• OPSEC (432)
  
• Common Content Inspection (432)
  
• Common Intrusion Detection Framework (432)
  
• Intrusion Detection Working Group (433)
  
• Baza danych CVE (433)
  
• Baza danych ICAT (434)
  
• Projekty agencji DARPA (435)

Rozdział 14. Reagowanie na incydenty (437)

• Nieuprawnione zmiany w systemie (441)
• Dokumentowanie wszystkich nieudanych ataków (442)
• Podsumowanie (442)

Dodatek A Porty okupowane przez konie trojańskie (443)

Dodatek B Najczęściej skanowane porty (469)

Dodatek C Zakresy adresów IP w internecie (473)

Dodatek D Domeny najwyższego poziomu (475)

Dodatek E Identyfikatory protokołów (IPv4) (483)

Dodatek F Bibliografia (487)

Skorowidz (497)