Введем ряд определений. 2 страница

• технологические пульты управления;

• линии связи между аппаратными средствами системы;

• побочные электромагнитные излучения от аппаратуры, ли­ний связи, сетей электропитания и заземления и др.

Из всего разнообразия способов и приемов НСД остановим­ся на следующих распространенных и связанных между собой нарушениях:

• перехват паролей;

• «маскарад»;

• незаконное использование привилегий.

Перехват паролей осуществляется специально разработанны­ми программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выво­дится сообщение об ошибке и управление возвращается ОС.

Пользователь предполагает, что допустил ошибку при вводе паро­ля. Он повторяет ввод и получает доступ в систему. Владелец про­граммы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях. Суще­ствуют и другие способы перехвата паролей.

«Маскарад» - это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего соответствующими полномочиями. Целью «маскарада» является приписывание каких-либо действий другому пользователю либо присвоение полномочий и привилегий другого пользователя. Примерами реализации «маскарада» являются:

• вход в систему под именем и паролем другого пользователя (этому «маскараду» предшествует перехват пароля);

• передача сообщений в сети от имени другого пользователя.

«Маскарад» особенно опасен в банковских системах элек­тронных платежей, где неправильная идентификация клиента из-за «маскарада» злоумышленника может привести к большим убыткам законного клиента банка.

Незаконное использование привилегий. Большинство систем за­щиты устанавливают определенные наборы привилегий для вы­полнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи – минимальный, администраторы – максимальный. Несанкционированный за­хват привилегий, например посредством «маскарада», приводит к возможности выполнения нарушителем определенных действий в обход системы защиты. Следует отметить, что незаконный за­хват привилегий возможен либо при наличии ошибок в системе защиты, либо из-за халатности администратора при управлении системой и назначении привилегий.

В соответствии с существующими подхода­ми считают, что информационная безопасность системы обеспечена в случае, если для информационных ресурсов в системе поддер­живаются определенные уровни:

• конфиденциальности (невозможности несанкционирован­ного получения какой-либо информации);

• целостности (невозможности несанкционированной или случайной ее модификации);

• доступности (возможности за разумное время получить требуемую информацию).

Для современных ИТ подсистемы защиты являются неотъ­емлемой частью системы обработки информации. Атакующая сторона должна преодолеть эту подсистему защиты, чтобы нарушить, на­пример, конфиденциальность системы. Однако нужно сознавать, что не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодоление. Исходя из данных условий, рассмотрим следующую модель: защита ин­формационной системы считается преодоленной, если в ходе исследования этой системы определены все ее уязвимости.

Преодоление защиты также представляет собой угрозу, по­этому для защищенных систем можно рассматривать еще один вид угрозы – угрозу раскрытия параметров системы, включающей в себя подсистему защиты. На практике любое проводимое меро­приятие предваряется этапом разведки, в ходе которого опреде­ляются основные параметры системы, ее характеристики и т. п. Результатом этого этапа является уточнение поставленной зада­чи, а также выбор наиболее оптимального технического средства.

Угрозу раскрытия параметров системы можно считать опосредо­ванной угрозой. Последствия ее реализации не причиняют ка­кой-либо ущерб обрабатываемой информации, но дают возмож­ность реализовать первичные или непосредственные угрозы, пе­речисленные выше.

При рассмотрении вопросов защиты системы целесообразно ис­пользовать четырехуровневую градацию доступа к хранимой, об­рабатываемой и защищаемой системой информации. Такая градация доступа поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т. е. поможет систе­матизировать весь спектр методов обеспечения защиты, относя­щихся к информационной безопасности. Это следующие уровни доступа:

• уровень носителей информации;

• уровень средств взаимодействия с носителем;

• уровень представления информации;

• уровень содержания информации.

Введение этих уровней обусловлено следующими соображе­ниями.

Во-первых, информация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе.

Во-вторых, если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в дос­тупный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудован­ный дисководом соответствующего типа.

В-третьих, как уже было отмечено, информация может быть охарактеризована способом своего представления: языком симво­лов, языком жестов и т. п.

В-четвертых, человеку должен быть доступен смысл пред­ставленной информации, ее семантика.

К основным направлениям реализации злоумышленником информационных угроз относятся:

• непосредственное обращение к объектам доступа;

• создание программных и технических средств, выполняю­щих обращение к объектам доступа в обход средств защиты;

• модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;

• внедрение в технические средства системы программных или технических механизмов, нарушающих предполагаемую структуру и функции системы.

Для достижения требуемого уровня информационной безо­пасности системы необходимо обеспечить противодействие различ­ным техническим угрозам и минимизировать возможное влия­ние «человеческого фактора».

Основные методы реализации угроз информационной безопасности

Анализ угроз сетевой безопасности

Рост популярности Интернет-технологий сопровождается ростом серьезных угроз разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т. д. Хакеры и другие злоумышленники подвергают угро­зам сетевые информационные ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Эти атаки становятся все более изощренными по воздействию и несложными в исполне­нии. Этому способствуют два основных фактора.

Во-первых, это повсеместное проникновение Интернета. К этой сети подключены миллионы компьютеров. В ближайшем будущем их число во много раз возрастет, поэтому вероятность доступа хакеров к уязвимым компьютерам и компьютерным се­тям также постоянно возрастает. Кроме того, широкое распро­странение Интернета позволяет хакерам обмениваться информа­цией в глобальном масштабе.

Во-вторых, это всеобщее распространение простых в исполь­зовании ОС и сред разработки. Этот фактор резко снижает тре­бования к уровню знаний злоумышленника. Раньше от хакера требовались хорошие знания и навыки программирования, что­бы создавать и распространять вредоносные программы. Теперь, для того чтобы получить доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.

Проблемы обеспечения информационной безопасности в корпоративных компьютерных сетях обусловлены угрозами безопасности для локальных рабочих станций, локальных сетей и атаками на корпоративные сети, имеющими выход в общедос­тупные сети передачи данных.

Сетевые атаки столь же разнообразны, как и системы, про­тив которых они направлены. Одни атаки отличаются большой сложностью, другие может осуществить обычный оператор, даже не предполагающий, какие последствия будет иметь его деятель­ность.

Распределенные системы подвержены прежде всего удален­ным атакам, поскольку компоненты распределенных систем обычно используют открытые каналы передачи данных, и нару­шитель может не только проводить пассивное прослушивание пе­редаваемой информации, но и модифицировать передаваемый трафик (активное воздействие). И если активное воздействие на трафик может быть зафиксировано, то пассивное воздействие практически не поддается обнаружению. Но поскольку в ходе функционирования распределенных систем обмен служебной ин­формацией между компонентами системы осуществляется тоже по открытым каналам передачи данных, то служебная информа­ция становится таким же объектом атаки, как и данные пользова­теля.

Трудность выявления факта проведения удаленной атаки вы­водит этот вид неправомерных действий на первое место по сте­пени опасности и препятствует своевременному реагированию на осуществленную угрозу, в результате чего у нарушителя уве­личиваются шансы успешной реализации атаки.

Безопасность локальной сети отличается от безопасности межсетевого взаимодействия тем, что на первое по значимости место выходят нарушения зарегистрированных пользователей, по­скольку в этом случае каналы передачи данных локальной сети находятся на контролируемой территории и защита от несанк­ционированного подключения к которым реализуется административными методами.

На практике IP-сети уязвимы для многих способов несанкционированного вторжения в процесс обмена данными. По мере развития компьютерных и сетевых технологий (например с появ­лением мобильных Java-приложений и элементов ActiveX) список возможных типов сетевых атак на IP-сети постоянно расширяет­ся.

Наиболее распространены следующие атаки.

Подслушивание (sniffing). В основном данные по компьютер­ным сетям передаются в незащищенном формате (открытым тек­стом), что позволяет злоумышленнику, получившему доступ к линиям передачи данных в сети подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную про­грамму, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.

В настоящее время снифферы работают в сетях на вполне за­конном основании. Они используются для диагностики неис­правностей и анализа трафика. Однако ввиду того, что некото­рые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т. д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания, которую называют password sniffing. Пере­хват имен и паролей создает большую опасность, так как поль­зователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложени­ям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом тексто­вом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внеш­ним ресурсам.

Предотвратить угрозу сниффинга пакетов можно с помощью применения для аутентификации однократных паролей, установ­ки аппаратных или программных средств, распознающих сниф­феры, применения криптографической защиты каналов связи.

Изменение данных. Злоумышленник, получивший возмож­ность прочитать ваши данные, сможет сделать и следующий шаг – изменить их. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе. Даже если вы не нуждаетесь в строгой конфиденци­альности всех передаваемых данных, то наверняка не захотите, чтобы они были изменены по пути.

Анализ сетевого трафика. Целью атак подобного типа являет­ся прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитекту­ры построения системы, получения критической пользователь­ской информации (например, паролей пользователей или номе­ров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользова­теля передаются в рамках этих протоколов в открытом виде.

Подмена доверенного субъекта. Большая часть сетей и ОС ис­пользуют IP-адрес компьютера, для того чтобы определять, тот ли это адресат, который нужен. В некоторых случаях возможно некорректное присвоение IP-адреса (подмена IP-адреса отпра­вителя другим адресом). Такой способ атаки называют фальси­фикацией адреса (IP-spoofing).

IP-спуфинг имеет место, когда злоумышленник, находящий­ся внутри корпорации или вне ее, выдает себя за законного поль­зователя. Он может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или автори­зованным внешним адресом, которому разрешается доступ к оп­ределенным сетевым ресурсам. Злоумышленник может также ис­пользовать специальные программы, формирующие IР-пакеты таким образом, чтобы они выглядели как исходящие с разрешен­ных внутренних адресов корпоративной сети.

Атаки IP-спуфинга часто становятся отправной точкой для других атак. Классическим примером является атака типа «отказ в обслуживании» (DoS), которая начинается с чужого адреса, скрывающего истинную личность хакера.

Следует иметь в виду, что IP-спуфинг может быть осуществ­лен при условии, что аутентификация пользователей произво­дится на базе IP-адресов, поэтому атаки IP-спуфинга можно предотвратить путем введения дополнительных методов аутенти­фикации пользователей (на основе одноразовых паролей или других методов криптографии).

Посредничество. Эта атака подразумевает активное подслу­шивание, перехват и управление передаваемыми данными неви­димым промежуточным узлом. Когда компьютеры взаимодейст­вуют на низких сетевых уровнях, они не всегда могут опреде­лить, с кем именно они обмениваются данными.

Посредничество в обмене незашифрованными ключами (атака man-in-the-middle). Для проведения атаки man-in-the-middle (человек-в-середине) злоумышленнику нужен доступ к пакетам, пе­редаваемым по сети. Такой доступ ко всем пакетам, передавае­мым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.

Атаки man-in-the-middle проводятся с целью кражи инфор­мации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информа­ции о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Эффективно бороться с атаками типа man-in-the-middle можно только с помощью криптографии. Для противодействия атакам этого типа используется инфраструктура управления от­крытыми ключами - PKI (Public Key Infrastructure).

Перехват сеанса (session hijacking). По окончании начальной процедуры аутентификации соединение, установленное закон­ным пользователем, например с почтовым сервером, переключа­ется злоумышленником на новый хост, а исходному серверу вы­дается команда разорвать соединение. В результате «собеседник» законного пользователя оказывается незаметно подмененным.

После получения доступа к сети атакующий злоумышленник может:

• посылать некорректные данные приложениям и сетевым службам, что приводит к их аварийному завершению или неправильному функционированию;

• наводнить компьютер или всю сеть трафиком, пока не произойдет останов системы в результате перегрузки;

• блокировать трафик, что приведет к потере доступа автори­зованных пользователей к сетевым ресурсам.

Отказ в обслуживании (Denial of Service, DoS). Эта атака от­личается от атак других типов: она не нацелена на получение доступа к сети или на получение из этой сети какой-либо ин­формации. Атака DoS делает сеть организации недоступной для обычного использования за счет превышения допустимых пре­делов функционирования сети, ОС или приложения. По сущест­ву, она лишает обычных пользователей доступа к ресурсам или компьютерам сети организации.

Большинство атак DoS опирается на общие слабости систем­ной архитектуры. В случае использования некоторых серверных приложений (таких как web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступ­ные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).

Атаки DoS трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназна­ченный для переполнения сети, не остановить у провайдера, то на входе в сеть это сделать уже нельзя, потому что вся полоса пропускания будет занята.

Если атака этого типа проводится одновременно через мно­жество устройств, то говорят о распределенной атаке отказа в обслуживании DDoS (distributed DoS). Простота реализации атак DoS и огромный вред, причиняемый ими организациям и поль­зователям, привлекают к ним пристальное внимание админист­раторов сетевой безопасности.

Парольные атаки. Их цель – завладение паролем и логином законного пользователя. Злоумышленники могут проводить па­рольные атаки, используя такие методы, как:

• подмена IP-адреса (IР-спуфинг);

• подслушивание (сниффинг);

• простой перебор.

IP-спуфинг и сниффинг пакетов были рассмотрены выше. Эти методы позволяют завладеть паролем и логином пользовате­ля, если они передаются открытым текстом по незащищенному каналу.

Часто хакеры пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой метод носит название атака полного перебора (brute force attack). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного поль­зователя.

Парольных атак можно избежать, если не пользоваться паро­лями в текстовой форме. Использование одноразовых паролей и криптографической аутентификации может практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные методы аутентификации.

При использовании обычных паролей необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее 8 символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, $, &, % и т. д.).

Угадывание ключа. Криптографический ключ представляет собой код или число, необходимое для расшифровки защищен­ной информации. Хотя узнать ключ доступа не просто и требует больших затрат ресурсов, тем не менее это возможно. В частно­сти, для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называется скомпрометированным. Атакующий использует скомпрометирован­ный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает воз­можность расшифровывать и изменять данные.

Атаки на уровне приложений могут проводиться несколькими способами.

Самый распространенный из них состоит в использовании известных слабостей серверного ПО (FTP, HTTP, web-cepeepa).

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен про­ход через межсетевой экран. Сведения об атаках на уровне при­ложений широко публикуются, чтобы дать возможность админи­страторам исправить проблему с помощью коррекционных моду­лей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.

Невозможно полностью исключить атаки на уровне прило­жений. Хакеры постоянно открывают и публикуют на своих сай­тах в Интернете все новые уязвимые места прикладных про­грамм.

Здесь важно осуществлять хорошее системное администри­рование. Чтобы снизить уязвимость от атак этого типа, можно предпринять следующие меры:

• анализировать log-файлы ОС и сетевые log-файлы с помо­щью специальных аналитических приложений;

• отслеживать данные CERT о слабых местах прикладных программ;

• пользоваться самыми свежими версиями ОС и приложений и самыми последними коррекционными модулями (патчами);

• использовать системы распознавания атак IDS (Intrusion Detection Systems).

Сетевая разведка – это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.

Сетевая разведка проводится в форме запросов DNS, эхо-тес­тирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие ад­реса этому домену присвоены. Эхо-тестирование адресов, рас­крытых с помощью DNS, позволяет увидеть, какие хосты реаль­но работают в данной среде. Получив список хостов, хакер ис­пользует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате до­бывается информация, которую можно использовать для взлома.

Системы IDS на уровне сети и хостов обычно хорошо справ­ляются с задачей уведомления администратора о ведущейся се­тевой разведке, что позволяет лучше подготовиться к предстоя­щей атаке и оповестить провайдера (ISP), в сети которого уста­новлена система, проявляющая чрезмерное любопытство.

Злоупотребление доверием. Данный тип действий не является атакой в полном смысле этого слова. Он представляет собой злонамеренное использование отношений доверия, существую­щих в сети. Типичный пример такого злоупотребления - ситуа­ция в периферийной части корпоративной сети. В этом сегменте обычно располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети.

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Сис­темы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со сто­роны систем, защищенных межсетевым экраном. Отношения доверия должны ограничиваться определенными протоколами и аутентифицироваться не только по 1Р-адресам, но и по другим параметрам.

Компьютерные вирусы, сетевые «черви», программа «троянский конь». Вирусы представляют собой вредоносные программы, ко­торые внедряются в другие программы для выполнения опреде­ленной нежелательной функции на рабочей станции конечного пользователя. Вирус обычно разрабатывается злоумышленника­ми таким образом, чтобы как можно дольше оставаться необна­руженным в компьютерной системе. Начальный период «дремо­ты» вирусов является механизмом их выживания. Вирус прояв­ляется в полной мере в конкретный момент времени, когда происходит некоторое событие вызова, например пятница 13-е, известная дата и т. п.

Разновидностью программы-вируса является сетевой «червь», который распространяется по глобальной сети и не оставляет своей копии на магнитном носителе. Этот термин используется для именования программ, которые подобно ленточным червям перемещаются по компьютерной сети от одной системы к дру­гой. «Червь» использует механизмы поддержки сети для опреде­ления узла, который может быть поражен. Затем с помощью этих же механизмов передает свое тело в этот узел и либо активизиру­ется, либо ждет подходящих условий для активизации. Сетевые «черви» являются опасным видом вредоносных программ, так как объектом их атаки может стать любой из миллионов компью­теров, подключенных к глобальной сети Internet. Для защиты от «червя» необходимо принять меры предосторожности против не­санкционированного доступа к внутренней сети.

К компьютерным вирусам примыкают так называемые «тро­янские кони» (троянские программы). «Троянский конь» - это программа, которая имеет вид полезного приложения, а на деле выполняет вредные функции (разрушение ПО, копирование и пересылка злоумышленнику файлов с конфиденциальными дан­ными и т. п.). Термин «троянский конь» был впервые использо­ван хакером Даном Эдварсом, позднее ставшим сотрудником Агентства национальной безопасности США. Опасность «троян­ского коня» заключается в дополнительном блоке команд, встав­ленном в исходную безвредную программу, которая затем пре­доставляется пользователям системы. Этот блок команд может сраба­тывать при наступлении какого-либо условия (даты, состояния системы) либо по команде извне. Пользователь, запустивший та­кую программу, подвергает опасности как свои файлы, так и всю систему в целом. Рабочие станции конечных пользователей очень уяз­вимы для вирусов, сетевых «червей» и «троянских коней».

Для защиты от указанных вредоносных программ необхо­димо:

• исключение несанкционированного доступа к исполняе­мым файлам;

• тестирование приобретаемых программных средств;

• контроль целостности исполняемых файлов и системных областей;

• создание замкнутой среды исполнения программ.

Борьба с вирусами, «червями» и «троянскими конями» ве­дется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, воз­можно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов, «червей» и «троянских коней» и пресека­ют их распространение. Получение самой свежей информации о вирусах помогает эффективнее бороться с ними. По мере появ­ления новых вирусов, «червей» и «троянских коней» нужно об­новлять базы данных антивирусных средств и приложений.

Перечисленные атаки на IP-сети возможны в результате:

• использования общедоступных каналов передачи данных. Важнейшие данные, передаются по сети в незашифрован­ном виде;

• уязвимости в процедурах идентификации, реализованных в стеке TCP/IP. Идентифицирующая информация на уровне IP передается в открытом виде;

• отсутствия в базовой версии стека протоколов TCP/IP механизмов, обеспечивающих конфиденциальность и целост­ность передаваемых сообщений;

• аутентификации отправителя по его IP-адресу. Процедура аутентификации выполняется только на стадии установле­ния соединения, а в дальнейшем подлинность принимае­мых пакетов не проверяется;

• отсутствия контроля за маршрутом прохождения сообще­ний в сети Internet, что делает удаленные сетевые атаки практически безнаказанными,

Первые средства защиты передаваемых данных появились практически сразу после того, как уязвимость IP-сетей дала о себе знать на практике. Характерными примерами разработок в этой области могут служить: PGP/Web-of-Trust для шифрования сообщений электронной почты, Secure Sockets Layer (SSL) для защиты Web-трафика, Secure SHell (SSH) для защиты сеансов Telnet и процедур передачи файлов.

Общим недостатком подобных широко распространенных ре­шений является их «привязанность» к определенному типу при­ложений, а значит, неспособность удовлетворять тем разнообраз­ным требованиям к системам сетевой защиты, которые предъяв­ляют крупные корпорации или Internet-провайдеры.

Самый радикальный способ преодоления указанного ограни­чения сводится к построению системы защиты не для отдельных классов приложений (пусть и весьма популярных), а для сети в целом.