Wstęp (9)

• Docelowy krąg odbiorców (10)
  
• Przegląd treści (11)

Rozdział 1. Wykrywanie włamań - wprowadzenie (15)

• Znaczenie systemów wykrywania włamań (15)
  
• Poziomy systemu informatycznego (19)
  
• Tradycyjne środki bezpieczeństwa (20)
  
  • Wady tradycyjnych środków bezpieczeństwa (20)
  • Omijanie zapór sieciowych (22)
• Podsumowanie (34)

Rozdział 2. Anatomia ataku (35)

• Zdarzenia związane z bezpieczeństwem (35)
  
• Luki i podatność na włamanie (36)
  
  • Klasyfikacja luk (36)
• Ataki (41)
  
  • Nieformalny model ataku (43)
  • Model ataku tradycyjnego (44)
  • Model ataku rozproszonego (45)
  • Skutki ataku (54)
  • Etapy realizacji ataku (56)
  • Narzędzia realizacji ataku (66)
  • Klasyfikacja ataków (67)
  • Bazy danych luk i ataków (68)
• Incydenty (70)
  
• Włamywacze (71)
  
  • Cele włamywaczy (74)
• Podsumowanie (79)

Rozdział 3. Wprowadzenie do wykrywania włamań (81)

• Wspomaganie zapór sieciowych (84)
  
• Kontrola dostępu do plików (84)
  
• Kontrolowanie nierzetelnych pracowników i zapobieganie wyciekom informacji (85)
  
• Ochrona antywirusowa (85)
  
• Kontrolowanie poczynań administratorów (86)
  
• Kontrolowanie dostępu do internetu (87)
  
• Wykrywanie nieznanych urządzeń (88)
  
• Analiza efektywności konfiguracji zapory sieciowej (88)
  
• Analiza przepływu informacji (89)
  
• Analiza danych urządzeń sieciowych (89)
  
• Zbieranie dowodów i reagowanie na incydenty (89)
  
• Inwentaryzacja zasobów i tworzenie mapy sieci (90)
  
• Wykrywanie konfiguracji domyślnych (91)
  
• Kontrolowanie efektywności działu informatycznego (92)
  
• Systemy wykrywania włamań a inne narzędzia zabezpieczające (92)
  
• Podsumowanie (93)

Rozdział 4. Trzy podstawowe zasady wykrywania włamań (95)

• Przesłanki ataku (95)
  
  • Powtarzające się zdarzenia (96)
  • Monitorowanie liczby powtórzeń (97)
  • Monitorowanie odstępu czasowego pomiędzy zdarzeniami (98)
  • Niepoprawne polecenia (101)
  • Próby wykorzystywania luk (103)
  • Nieprawidłowe (nietypowe) parametry ruchu sieciowego (104)
  • Źródła informacji o atakach (125)
  • Technologie wykrywania włamań (130)
  • Wykrywanie włamań - dwa podejścia (132)
• Podsumowanie (140)

Rozdział 5. Wykrywanie śladów ataku (141)

• Kontrola spójności plików i katalogów (143)
  
  • Dane o ważnych plikach i katalogach (147)
  • Kontrola spójności plików i katalogów (149)
• Analiza plików dziennika (149)
  
• Analiza ruchu sieciowego (153)
  
• Analiza powiadomień (153)
  
• Analiza procesów, usług i portów (154)
  
• Wykrywanie nieautoryzowanej instalacji urządzeń (155)
  
  • Regularny przegląd urządzeń (155)
  • Monitorowanie modemów (156)
  • Kontrolowanie dostępu do zasobów fizycznych (157)
• Analiza zewnętrznych źródeł informacji i analiza zachowania systemu (157)
  
• Podsumowanie (158)

Rozdział 6. Klasyfikacja systemów wykrywania włamań (159)

• Systemy zapewniania bezpieczeństwa (161)
  
  • Systemy wyszukujące słabości projektu (162)
  • Systemy wykrywające wady fazy konfiguracji (167)
• Klasyczne systemy wykrywania włamań i programy analizujące pliki dzienników (176)
  
  • Rys historyczny (176)
  • Klasyfikacja systemów wykrywania włamań - wstęp (178)
  • Architektura systemu wykrywania włamań (181)
  • Stanowiskowe systemy wykrywania włamań (185)
  • Sieciowe systemy wykrywania włamań (190)
  • Narzędzia wykrywania ataków odmowy obsługi (199)
  • Systemy wykrywania włamań a zapory sieciowe (201)
  • Systemy zwodzące (wabiki) (202)
• Podsumowanie (210)

Rozdział 7. Uprzedzanie ataków czyli tworzenie infrastruktury wykrywania włamań (211)

• Szkolenie personelu (214)
  
• Ośrodki szkoleniowe (216)
  
  • Szkolenia on-line (217)
  • Seminaria on-line (217)
  • Seminaria i konferencje (217)
  • Gry symulacyjne (218)
  • Certyfikacja (219)
• Definiowanie procedur i zasad bezpieczeństwa (219)
  
• Wybór i stosowanie systemowych i sieciowych mechanizmów rejestrowania zdarzeń (223)
  
  • Rejestrowane informacje (224)
  • Użyteczność wbudowanych mechanizmów rejestrowania informacji o zdarzeniach (224)
  • Rejestrowanie zdarzeń (226)
  • Ochrona plików dzienników (226)
  • Plan zarządzania plikami dzienników (228)
• Generowanie informacji dla systemów kontroli spójności (230)
  
  • Mapa sieci (231)
  • Archiwizacja ważnych plików i katalogów (233)
• Podsumowanie (234)

Rozdział 8. Cykl życia i etapy wdrożenia systemu wykrywania włamań (235)

• Cykl życia projektu wdrożenia infrastruktury wykrywania włamań (236)
  
  • Planowanie (236)
  • Wybór producenta (237)
  • Testowanie (237)
  • Projekt pilotażowy (238)
  • Instalacja (238)
  • Obsługa i konserwacja (238)
• Uzasadnianie zakupu (238)
  
  • Łączny koszt posiadania (240)
  • Stopa zwrotu z inwestycji (243)
  • Uruchamianie systemu wykrywania włamań (247)

Rozdział 9. Wybór systemu wykrywania włamań (249)

• Analiza wstępna (250)
  
  • Co chronić? (250)
  • Przed czym chronić? (252)
  • Przed kim chronić? (252)
  • Jak chronić? (253)
  • Jakie narzędzia angażować do ochrony? (255)
• Nabywcy systemów wykrywania włamań (255)
  
  • Małe firmy (256)
  • Duże firmy z filiami (256)
  • Korporacje międzynarodowe (256)
  • Dostawcy usług internetowych (257)
  • Dostawcy usług informatycznych (258)
• Kryteria oceny systemów wykrywania włamań (258)
  
  • Miejsce instalowania (259)
  • Źródła informacji i metody analizy (260)
  • Tryby przetwarzania (260)
  • Architektura (260)
  • Obsługiwane platformy (262)
  • Wykrywanie włamań (262)
  • Liczba wykrywanych ataków (262)
  • Aktualizacje sygnatur (263)
  • Definiowanie własnych zdarzeń (267)
  • Reakcje na ataki (278)
  • Zarządzanie czujnikami (286)
  • Zarządzanie zdalne (286)
  • Zarządzanie hierarchiczne (288)
  • Zarządzanie zdarzeniami (289)
  • Wydajność systemu wykrywania włamań (309)
  • Instalacja i konfiguracja (310)
  • Dostępność interfejsów i zestawów programistycznych (311)
  • Wsparcie techniczne (311)
  • Cena (313)
  • Elastyczność (313)
  • Inne kryteria (313)
• Testowanie (314)
  
• Podsumowanie (318)

Rozdział 10. Umiejscowienie systemu wykrywania włamań (319)

• Rozmieszczenie czujników systemu wykrywania włamań (319)
  
  • Czujnik sieciowy pomiędzy zaporą sieciową a routerem (320)
  • Czujnik sieciowy w strefie zdemilitaryzowanej (321)
  • Czujnik za zaporą sieciową (322)
  • Czujniki w kluczowych segmentach chronionej sieci lokalnej (323)
  • Czujnik w pobliżu serwera dostępu zdalnego (323)
  • Czujnik w sieci szkieletowej (324)
  • Czujniki w oddziałach regionalnych (325)
  • Równoważenie obciążenia (325)
  • Przypadki szczególne (328)
• Czujniki systemu wykrywania włamań w sieciach przełączanych (331)
  
  • Wykorzystanie portu analizatora (333)
  • Podłączenie dodatkowego koncentratora sieciowego (336)
  • Zastosowanie rozdzielacza (337)
  • Zastosowanie urządzeń równoważących obciążenie (340)
  • Integrowanie systemów wykrywania włamań z przełącznikami sieciowymi (341)
• Umiejscowienie skanera bezpieczeństwa (342)
  
• Umiejscowienie systemów kontroli spójności (344)
  
  • Umiejscowienie systemów zwodzących (344)
• Umiejscowienie konsol sterujących (345)
  
• Czynniki wpływające na konfigurację systemu wykrywania włamań (346)
  
  • Obciążenie sieci i intensywność ruchu (347)
  • Rodzaj transmisji w kontrolowanym segmencie (347)
  • Średnie i szczytowe obciążenie procesora (348)
  • Średni rozmiar pakietu w chronionym segmencie (348)
  • Czas odpowiedzi (350)
  • Obecność sieci z segmentami przełączanymi (350)
  • Obecność routerów asymetrycznych (350)
  • Skalowalność i rozszerzalność systemu (351)
  • Zgodność z istniejących sprzętem i oprogramowaniem (351)
  • Szyfrowanie (351)
  • Odległość pomiędzy czujnikami a konsolą sterującą (351)
  • Zabezpieczenia na linii konsola-czujnik (352)
  • Dynamiczny przydział adresów w kontrolowanym segmencie sieci (DHCP) (352)
  • Współpraca z działem informatycznym (353)

Rozdział 11. Obsługa systemów wykrywania włamań (355)

• Wybór węzła dla systemu wykrywania włamań (356)
  
  • Wybór platformy (356)
  • Węzeł dedykowany systemowi obsługi włamań (359)
• Zakup systemu wykrywania włamań (360)
  
  • Zakup wymaganego sprzętu i oprogramowania (360)
  • Zakup dokumentacji i usług wsparcia technicznego (367)
• Instalacja i rozruch systemu wykrywania włamań (369)
  
• Wyznaczanie bazy wiedzy dla (klasycznych) systemów wykrywania włamań (375)
  
• Wyznaczanie bazy wiedzy dla (klasycznych) skanerów bezpieczeństwa (378)
  
  • Strategia skanowania (379)
  • Taktyki skanowania (381)
• Konfiguracja mechanizmu rejestrowania zdarzeń i mechanizmów ostrzegawczych (384)
  
  • Pliki dzienników (384)
  • Powiadamianie pocztą elektroniczną i za pomocą SNMP (387)
• Zabezpieczanie systemu wykrywania włamań (387)
  
  • Obwód rezerwowy (388)
  • Zabezpieczanie przed nieuprawnionym dostępem (389)
  • Ograniczanie liczby użytkowników systemu wykrywania włamań (389)
  • Kontrola dostępu do komponentów systemu wykrywania włamań (390)
  • Określenie zasad bezpieczeństwa (391)
  • Działanie w trybie utajonym (391)
  • Automatyzacja (392)
  • Możliwe problemy (394)
• Podsumowanie (396)

Rozdział 12. Problemy typowe dla systemów wykrywania włamań (397)

• Problemy natury ogólnej (398)
  
  • Aktualizacje bazy danych sygnatur (398)
  • Heterogeniczność sieci (398)
  • Ujednolicenie zarządzania bezpieczeństwem (399)
  • Podatność systemów operacyjnych (400)
  • Brak matematycznych podstaw technologii (401)
  • Fałszywe alarmy (401)
  • Fałszywe pominięcia (401)
  • Rozwój narzędzi automatyzujących włamania (402)
  • Trudności wykrywania włamań (405)
  • Ataki na systemy wykrywania włamań (406)
  • Brak współpracy pomiędzy producentami (407)
  • Nieustanny łańcuch przejęć i fuzji (407)
  • Aktywne reagowanie (413)
  • Przywrócenie systemu do stanu sprzed ataku (414)
  • Co robić w obliczu ataku? (415)
  • Testowanie systemów wykrywania włamań (416)
  • Kompresja semantyczna (417)
  • Brak mechanizmów gromadzenia dowodów sądowych (417)
• Ograniczenia sieciowych systemów wykrywania włamań (418)
  
  • Sieci przełączane (418)
  • Sieci z komunikacją szyfrowaną (418)
  • Modemy (419)
  • Niedostatek zasobów (419)
  • Prowokowanie awarii systemów wykrywania włamań (421)
  • Oszustwa proste (423)
  • Oszustwa wyrafinowane (425)
• Ograniczenia stanowiskowych systemów wykrywania włamań (426)
  
  • Rozmiar pliku dziennika (426)
  • Interwał archiwizacji dzienników (426)
  • Ograniczona wydajność (426)
  • Ochrona plików dzienników (427)
  • Rodzaj i poziom szczegółowości rejestrowanych informacji (427)
  • Brak jednolitego formatu zapisu danych (427)
• Podsumowanie (428)

Rozdział 13. Standaryzacja w dziedzinie wykrywania włamań (429)

• Adaptive Network Security Alliance (429)
  
• Projekt Lincoln Laboratory (430)
  
• Projekt OSEC (431)
  
• Intrusion Detection Systems Consortium (431)
  
• OPSEC (432)
  
• Common Content Inspection (432)
  
• Common Intrusion Detection Framework (432)
  
• Intrusion Detection Working Group (433)
  
• Baza danych CVE (433)
  
• Baza danych ICAT (434)
  
• Projekty agencji DARPA (435)

Rozdział 14. Reagowanie na incydenty (437)

• Nieuprawnione zmiany w systemie (441)
• Dokumentowanie wszystkich nieudanych ataków (442)
• Podsumowanie (442)

Dodatek A Porty okupowane przez konie trojańskie (443)

Dodatek B Najczęściej skanowane porty (469)

Dodatek C Zakresy adresów IP w internecie (473)

Dodatek D Domeny najwyższego poziomu (475)

Dodatek E Identyfikatory protokołów (IPv4) (483)

Dodatek F Bibliografia (487)

Skorowidz (497)