Rozproszona ściana ogniowa

Network ICE chroni całą sieć korporacyjną.

Network ICE chroni całą sieć korporacyjną.

Network ICE, firma oferująca rozwiązanie BlackICE Defender, pozwalające na wykrywanie prób włamań do pojedynczych komputerów, proponuje również pakiet ICEpac Security Suite, umożliwiający zabezpieczanie sieci korporacyjnych. Jej produkty tym różnią się od klasycznych serwerów firewall i rozwiązań monitorujących, że umożliwiają zabezpieczanie pojedynczych stacji roboczych i serwerów, a nie tylko krytycznych punktów sieci. Jednocześnie centralna konsola zapewnia szybką wymianę informacji o włamaniach pomiędzy wszystkimi agentami pracującymi w sieci - w tym na komputerach przenośnych zdalnie podłączonych do sieci korporacyjnej.

Analiza ataków

Rozwiązanie BlackICE Defender nie działa jak klasyczny osobisty firewall, który porównuje nadsyłane pakiety z zapisanymi w swojej bazie wzorcami ataków. Producenci aplikacji wyszli bowiem z założenia, że większość nowych rodzajów ataków to w rzeczywistości kombinacja kilku podstawowych typów ataków. Toteż BlackICE Defender poszukuje dowolnej kombinacji tych typów, co umożliwia mu wykrycie nawet tych ataków, które nie są opisane jeszcze w bazach wzorców innych firewalli osobistych.

Pakiet może analizować dane na wszystkich poziomach modelu sieciowego OSI, dzięki czemu wykrywa nawet te ataki, które są rozczłonkowane na kilka niezależnych pakietów sieciowych. Inne firewalle najczęściej przechwytują i analizują pojedyncze pakiety bez ich wzajemnej korelacji.

Zabezpieczanie firm

Korporacyjną wersją pakietu Defender jest BlackICE Agent, który również działa na stacjach roboczych i serwerach, ale dodatkowo jest wzbogacony o możliwość zdalnej instalacji i konfiguracji oraz komunikacji z konsolą ICEcap Manager. Jest on dostępny w wersjach dla systemów Windows 9x, NT 4.0 i 2000, Solaris oraz Linux. Po wykryciu próby nie autoryzowanej ingerencji (np. skanowania portów) automatycznie zawiadamia centralną konsolę ICEcap Manager, która - może korelować informacje nadsyłane przez wszystkich agentów - ocenia czy potencjalny atak jest nim naprawdę i czy jest groźny. Jeśli okaże się np. że kilka stacji zgłosiło fakt skanowania portów spod tego samego numeru IP, to konsola rozsyła do wszystkich agentów działających w sieci ostrzeżenie, że prawdopodobnie pod rozpoznanym numerem IP znajduje się włamywacz. Od tej pory agenty pracujące na innych stacjach przestają odpowiadać na zapytania spod wskazanego numeru IP.

Zarządzanie pracą konsoli odbywa się za pośrednictwem przeglądarki WWW. Dzięki niej oraz modułowi InstallPac administrator może również wstępnie konfigurować agentów, decydować czy indywidualni użytkownicy będą mogli modyfikować ich ustawienia i zdalnie instalować na stacjach roboczych.

Uzupełnieniem agentów jest pakiet BlackICE Sentry, który umożliwia analizę w czasie rzeczywistym danych przesyłanych siecią pracującą z szybkością do 100 Mb/s. Oprogramowanie to pozwala dzięki bezpośredniemu monitoringowi sieci chronić te urządzenia, które nie są wyposażone w agentów (np. serwery NetWare, routery i przełączniki). Rozwiązanie to ma jednak bardzo duże wymagania sprzętowe. Do pracy potrzebuje dedykowanej stacji roboczej z procesorem minimum Pentium III 800 MHz i 2 GB pamięci RAM. Tylko taka konfiguracja gwarantuje, że pakiet będzie zdolny przechwycić i przeanalizować wszystkie ramki przesyłane siecią Fast Ethernet (nie będą one gubione).

Plany

Jeszcze w pierwszej połowie br. na rynek powinna trafić nowa wersja monitora sieciowego BlackICE Sentry Gigabit, mogąca analizować ruch w sieciach Gigabit Ethernet i Fast Ethernet działających w trybie full duplex.

Nowością ma być również urządzenie BlackICE Guard, pierwsze sprzętowe zabezpieczenie sieci opracowywane przez Network ICE. Wyposażone w dwa interfejsy sieciowe będzie mogło być włączone pomiędzy router łączący firmę z Internetem a sieć firmową, fizycznie pośrednicząc w przesyłaniu wszystkich pakietów. Podobnie jak agenty będzie się ono komunikowało z konsolą ICEcap Manager.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200