Заметки курса

Наблюдай и властвуй

Отправлено 17 окт. 2011 г., 13:17 пользователем Serg Sevryukov   [ обновлено 12 июн. 2016 г., 2:45 ]

Аудит или наблюдение является обязательным и важным процессом при построении защищенной системы. Для того, чтобы лучше понять, что и когда лучше использовать, предлагаю обратить внимание на следующие ресурсы.
I am watching you



Базовой составляющей наблюдения за системой является системный аудит. Подробнее, о его настройке можно прочитать здесь:
Несколько дополнительных материалов:
Результатом работы системного аудита является набор журналов (логов), содержащих подробную информацию о событиях. Для работы с журналами можно использовать штатное средство анализа? такое как средство настройки и просмотра журналов Windows, или дополнительные инструменты:

На следующем уровне процесса наблюдения используются различные системы мониторинга. Одним из штатных средств системы мониторинга для Windows является Системный монитор и Счётчики производительности. Подробнее об этих средствах рекомендую прочитать здесь:
Порой, за той же производительностью можно наблюдать и с помощью более подручного средства - окна Диспетчера задач. Хорошей заменой привычному диспетчеру задач, позволяющей более глубоко мониторить и анализировать происходящее с процессами, является утилита Process Explorer.

С целью хранения и проведения централизованной аналитики событий, необходимо решить задачу консолидации событий или логов. Существуют штатные средства для работы с журналами Windows:
так и средства, которые могут работать не только для Windows:
Для обработки данных логов с целью их последующего анализа, рекомендуется использовать специализированные средства. Одно из основных для платформы Windows является LogParser:
Наконец, если говорить о специализированных системах мониторинга, то предложил бы вашему вниманию начать с информации простых wiki статей:
или воспользоваться подборкой (обзором) инструментария: Более 60 инструментов для мониторинга Windows

В качестве итога, замечу, что наша жизнь (как и жизнь любых систем) имеет множество закономерностей, наблюдая за которыми появляется возможность предугадать и оказаться в нужное время в нужном месте. Так что наблюдайте с пользой и удовольствием.

Общие понятия - опасность и безопасность

Отправлено 30 сент. 2011 г., 0:57 пользователем Serg Sevryukov

Общие понятия безопасности
На последней встрече обсуждались общие понятия информационной безопасности и процесса построения защищенной системы. Данный вопрос требует глубокой проработки и понимания, поэтому к нему придется возвращаться не раз.
Для более глубокого погружения в тему. предлагаю изучить материалы презентации "Общие понятия безопасности", просмотреть ресурсы, рекомендуемые в конце презентации и просмотреть статью и комментарии к ней (особенно комментарии) на "Хабре". Статья в сочетании с большим количеством комментариев объёмна, но советую прочитать все мнения хотя бы за несколько подходов. Цель прочтения статьи - познакомится с противоречивостью определений и методов в зависимости от выбранного контекста.

Для закрепления материала и ориентирования в общих понятиях, для классификации факторов риска, угроз и средств обеспечения защиты от них, предлагаю самостоятельно (или в компании с коллегами) заполнить несколько таблиц:

По следам маски

Отправлено 25 сент. 2011 г., 3:44 пользователем Serg Sevryukov   [ обновлено 12 окт. 2011 г., 8:47 ]

На последней встрече нами бурно обсуждались вопросы IP адресации, разновидностей IP адресаций и маски.
Особенно много вопросов возникло вокруг такого понятия как маска подсети. На эту тему было сказано много слов и задано много вопросов. Один из главных: зачем же указывается маска на конечном узле и на что это может повлиять?
Однозначно ответить нельзя, т.к. необходимо знать дополнительные характеристики сети - настройки маршрутизаторов, операционных систем и даже, возможно, программных систем. Поэтому ответ будет носить предположительный характер: операционная система может использовать информацию о маске для того, чтобы принимать решение о направлении пакетов - на узел или на шлюз.
В большинстве же случаев маска используется в таблицах маршрутизации.
Я порекомендую несколько ресурсов, которые помогут более глубоко освоить понятие маски подсети и её предназначение:

1-3 of 3