Wykrywanie ataków coraz skuteczniejsze
- Józef Muszyński,
- 01.03.2002
Dragon Sensor 5
Rozwiązania Dragon firmy Enterasys tworzą system hybrydowy, łączący w sobie możliwości NIDS i HIDS. Rodzina produktów Dragon zawiera następujące elementy:
Dragon Sensor 5 jest systemem typu NIDS. Wykrywa on ataki metodą monitorowania ruchu przechodzącego przez sieć. Ruch sieciowy analizowany jest na poziomach protokołów i aplikacyjnym w poszukiwaniu sygnatur identyfikujących podejrzane pakiety w sieci, próby DoS czy inne ataki. Dragon Sensor, podobnie jak większość NIDS, opiera się na sygnaturach ataku. Oznacza to, że może wykrywać jedynie takie działania, dla których istnieją sygnatury. Niektóre sygnatury są wpisane w sam system i są używane do analizowania danych sieciowych na poziomie protokołów. Pozostałe sygnatury tworzą bazę danych sygnatur i są instalowane na żądanie użytkownika.
Dragon Sensor zawiera mechanizm pomagający w redukowaniu fałszywych alarmów. Każde zdarzenie wykryte przez sensor może mieć przypisane unikatowe reguły filtrowania. Reguły te obejmują adresy IP, porty itp. Dragon Real-Time Console zawiera utility o nazwie AnalyzeEvent, które metodami statystycznymi identyfikuje najbardziej popularne pary źródła i przeznaczenia IP pojawiające się zarówno w ciągu doby, jak i tygodnia, oraz pary - porty źródłowy i docelowy. Taka analiza może pomóc w identyfikacji serwerów i aplikacji, z których pochodzą fałszywe alarmy.
Jedną z mocniejszych stron Dragon Sensor jest wykrywanie prób skanowania portów. Może on identyfikować zdarzenia, takie jak: dialog między hostami na więcej niż ustalonej liczby portów; host komunikujący się z "n" hostami w jednym porcie (omiatanie portu); host "rozmawiający" trzema lub więcej protokołami IP. Dragon Sensor zawiera także szereg mechanizmów pozwalających administratorowi na budowanie szeregu pułapek dla skanowania sieci i hakerów.
Pakiet może pracować na platformach: Linux, Solaris/Sparc, Solaris/Intel, HP-UX. Firma zapewnia bazę danych ponad 1300 sygnatur. Oprócz tego jest możliwe pisanie własnych sygnatur - w specjalnym języku sygnatur.
Intruder Alert 3.6
Intruder Alert firmy Symantec jest systemem typu HIDS, zbudowanym w architekturze trzywarstwowej, składającym się z następujących komponentów:
W wersji 3.6 system rozszerzono o następujące możliwości:
System zawiera ponad 400 sygnatur pogrupowanych według rodzajów podejrzanej aktywności, m.in.:
Mechanizm automatycznej reakcji wbudowany w system zapewnia możliwość konfigurowania automatycznych odpowiedzi na zdarzenie, w tym:
System zapewnia szereg raportów pozwalających na zorientowanie się o skali zagrożeń atakami hakerów, a także dokumentujący każdy atak. Raporty mogą być przedstawiane w postaci wykresów, umożliwiających obserwację pewnych trendów zagrożeń, oraz w postaci tablic pozwalających na szczegółową analizę incydentów.
Konsola Intruder Alert pozwala na integrację zdarzeń monitorowanych przez sieciowy IDS - NetProwler, co pozwala na kontrolę aktywności hakerów, opartą na metodzie hostowej i sieciowej z pojedynczej konsoli.