ManHunt w czasie rzeczywistym

Nowy system Symanteca do wykrywania zagrożeń sieciowych zintegrowano z IDS. Działa w sieciach o przepustowości 1-2 Gb/s.

Nowy system Symanteca do wykrywania zagrożeń sieciowych zintegrowano z IDS. Działa w sieciach o przepustowości 1-2 Gb/s.

Najnowsza oferta firmy na rynku polskim to produkt ManHunt, oryginalnie opracowany przez firmę Recourse Technologies, niedawno przejętą przez Symanteca. ManHunt jest systemem, który ma wykrywać zagrożenia sieciowe i im przeciwdziałać. Narzędzie to w wersji opracowanej przez nowych właścicieli - ManHunt 2.2 - zintegrowano z systemem wykrywania włamań Symantec Host Intrusion Detection 4.0. W odróżnieniu od Host Intrusion Detection, systemu IDS opartego przede wszystkim na analizie sygnatur, ManHunt umożliwia śledzenie w czasie rzeczywistym natężenia ruchu w sieci, anomalii i stanu protokołów. Dzięki temu stało się możliwe przeciwdziałanie atakom wykorzystującym mechanizmy jeszcze nie umieszczone w bazie sygnatur.

Podstawowe elementy ManHunt to: sondy zbierające dane z przełączników, routerów itp., oprogramowanie analizujące (Correlation Analysis Framework) i interfejs administratora. Oprogramowanie wymaga dedykowanego serwera wyposażonego w system Solaris, 512 MB pamięci na każdy procesor i tylu kart Fast lub Gigabit Ethernet, ile punktów sieci ma być monitorowanych. W podstawowej konfiguracji ManHunt monitoruje do 10 segmentów sieci. Dodatkowym elementem systemu może być ManTrap - pułapka typu HoneyPot.

Program ostrzega przed zagrożeniami i natychmiast reaguje na włamania i ataki typu DDoS, wykorzystując mechanizmy zakończenia sesji lub filtry QoS. ManHunt wyposażono w funkcję automatycznego zapisu informacji o ruchu w sieci w razie wykrycia podejrzanej aktywności, a także w mechanizm FlowChaser do śledzenia i wykrywania źródeł ataków. Wykorzystanie funkcji FlowChaser wymaga współpracy z routerami Cisco Systems obsługującymi technologię NetFlow.

ManHunt umożliwia zarówno statyczną kontrolę portów, jak i programowe przełączanie sond z analizy jednego portu na drugi, tzw. roaming. Mechanizm ten umożliwia zwiększenie liczby kontrolowanych elementów sieciowych bez konieczności instalowania dodatkowych kart Ethernet lub serwerów ManHunt. Administrator może określić priorytety dotyczące częstotliwości skanowania określonych portów.

Symantec zapowiada, że technologia ManHunt zostanie wkrótce zintegrowana również z innymi produktami firmy, jak Gateway Security i Symantec Client Security. Cena netto licencji na Symantec ManHunt zależy od przepustowości i wynosi ok. 55-560 tys. zł dla sieci o transmisjach 100 Mb/s-2 Gb/s.