Entercept 2.5

Opracowany przez firmę Entercept Security Technologies (dawniej ClickNet) pakiet Entercept jest hostowym IDS, jednak również o cechach IPS (Intrusion Prevention System).

Entercept monitoruje zdarzenia na poziomie systemu operacyjnego lub serwera webowego. Rejestruje te same zdarzenia, które mogą być używane przez OS do tworzenia pozycji logu, ale sprawdza je, zanim zostaną przetworzone przez system operacyjny czy serwer webowy, i w ten sposób może zapobiec szkodom, jakie może przynieść przetworzenie niektórych z nich przez system.

Ponieważ Entercept nie radzi sobie z atakami sieciowymi, to można go uznać za system komplementarny dla rozwiązań odpierających ataki, takich jak zapory ogniowe i NIDS.

Entercept składa się z pewnej liczby modułów agentów hostowych kontrolowanych przez centralną konsolę. Dostępne są moduły agentów na platformy: Windows NT 4.0 Server, 2000 Professional i Server oraz Solaris 2.6/7/8. Poza tym dostępne są też specjalne moduły agentów Web Server Agent dla Microsoft IIS 4.0/5.0, Apache 1.3.6 do 1.3.24 (SPARC Solaris), Netscape Enterprise Server 3.6 (SPARC Solaris) i iPlanet Web Server 4.0/4.1 (SPARC Solaris).

Agent jest stroną nadrzędną w odniesieniu do konsoli, co oznacza, że inicjuje on połączenia z konsolą, eliminując potrzebę utrzymywania w nasłuchu otwartych portów na hostach, gdzie rezydują agenci. Agent kontaktuje się z konsolą w regularnych interwałach czasowych.

Entercept jest technologią ochrony na poziomie jądra, aczkolwiek nie modyfikuje jądra OS. Agent instaluje się obok jądra systemu w miejscu, gdzie może przechwytywać wywołania systemowe i API, rozpoznawać parametry i kontekst wywołań, oceniać je w czasie rzeczywistym pod kątem szkodliwych zachowań i na tej podstawie decydować, czy mają być przetwarzane przez system operacyjny czy odrzucone.

Entercept zapewnia pięć poziomów zabezpieczeń:

Sygnatury indywidualne: identyfikujące specyficzne formy ataków. Każdy znany atak ma dedykowaną sygnaturę, która jest bardzo dokładna i w zasadzie wyklucza generowanie fałszywych alarmów.

Sygnatury ogólne: identyfikujące metodologię ataków. Pozwalają na identyfikację całej klasy ataków bez konieczności stosowanie sygnatur indywidualnych.

Ochrona zasobów: sygnatury chroniące przed modyfikacją specyficzne zasoby systemowe, takie jak pliki systemowe, klucze rejestrów itp.

Ochrona HTTP: motor sprawdzający wchodzący strumień HTTP i określający, czy zlecenia w nim zawarte nie mają na celu wykorzystywanie słabych punktów serwera webowego.

Osłona: technologia ochrony zapobiegająca manipulowaniu przy zasobach aplikacji (modyfikacja plików konfiguracyjnych, wstrzymywanie usług itp.), a także nadużywaniu aplikacji do wykonywania funkcji, które nie powinny być dozwolone.

Wszystkie powyższe poziomy zabezpieczeń zapewnia Web Server Agent, natomiast Server Agent pomija ochronę HTTP i osłonę dla hostów, na których nie jest zainstalowany serwer webowy.

Koncepcja "osłony" dotyczy głównie aplikacji webowych i zapewnia integralność serwera webowego, jego aplikacji i plików.

Napastnicy często wykorzystują słabe punkty w serwerach webowych i aplikacjach w celu poszerzenia swoich uprawnień, wykonania szkodliwych komend lub uzyskania dostępu do danych. Ponieważ normy zachowań w obszarze serwera webowego są dobrze zdefiniowane, to większość odchyleń od nich może być zidentyfikowana i unieszkodliwiona.