Krakowski ComArch przedstawił najnowszą propozycję w dziedzinie bezpieczeństwa -system wykrywania włamań w sieciach rozproszonych Protector IDS. To kompleksowe rozwiązanie, przeznaczone głównie dla dużych firm. Jego zadaniem jest śledzenie wszystkich zdarzeń w sieci pod kątem bezpieczeństwa, wykrywanie nieprawidłowości i ich raportowanie administratorom.

Nowy produkt był tworzony z założeniem, że klienci mają wiele różnych cząstkowych systemów bezpieczeństwa. "Klienci niejednokrotnie skarżyli się, że brak koordynacji w zarządzaniu bezpieczeństwem powoduje nawet kilkugodzinne opóźnienia w obiegu informacji na temat sieciowych incydentów. Protector IDS powstał właśnie z myślą o nich" - twierdzi Tomasz Kwiecień, dyrektor handlowy w ComArch SA w Krakowie. System został już wdrożony przez 3 klientów, w tym przez Netię Telekom SA.

Zobacz również:

• Usługa Threads będzie wkrótce dostępna w wersji webowej

Według producenta, czas wdrożenia rozwiązania jest szacowany na 3-6 miesięcy, natomiast jego cena wraz z usługami wdrożeniowymi dla ok. 1 tys. stanowisk może wynieść 100-200 tys. USD.

<b>Agenci są wszędzie</b>

Dane o zdarzeniach sieciowych są zbierane w czasie rzeczywistym przez oprogramowanie klienckie (agenty), działające na wszystkich komputerach i serwerach włączonych do sieci firmowej. Obecnie dostępne jest oprogramowanie klienckie na następujące platformy: Windows 98/NT4.0/2000, Solaris 2.6/7/8, HP-UX 11, Compaq Tru64 Unix 4/5, Linux Alpha/Intel. Mogą być monitorowane parametry systemu operacyjnego, np. pliki systemowe i konfiguracyjne usług, wpisy w rejestrze itp., ale również zachowanie aplikacji i poprawność protokołów wymiany danych.

Aby podwyższyć poziom bezpieczeństwa, wymiana danych pomiędzy agentami a serwerem systemu Protector IDS jest szyfrowana. Zastosowany protokół wymusza wzajemne uwierzytelnianie komponentów w ramach wbudowanej w system infrastruktury klucza publicznego.

Jeżeli agent wykryje nieprawidłowości, odpowiednia informacja pojawi się na konsoli administratora w ciągu maksymalnie 10 sekund. W standardowej konfiguracji, jeżeli administrator nie zareaguje w ciągu 3 minut, zostanie do niego wysłana wiadomość e-mail, a po kolejnych 5 minutach - wiadomość SMS. W treści alarmu podejrzane stanowisko komputerowe jest opisywane za pomocą trzech parametrów jednocześnie: adresu MAC karty sieciowej, adresu IP i nazwy w domenie.

System nie ogranicza się tylko do informowania uprawnionych osób. Posługując się sztuczną inteligencją i zbiorem zdefiniowanych reguł, Protector IDS potrafi samodzielnie podjąć działania zapobiegawcze, np. rozłączyć sesję TCP pomiędzy adresem włamywacza a systemem atakowanym. W tym celu ComArch opracował oparte na sieciach neuronowych oprogramowanie wnioskujące FireFly oraz towarzyszącą mu bazę wiedzy na temat potencjalnych zagrożeń. Sposób działania systemu, w tym reakcje na poszczególne zdarzenia lub ich sekwencje, można zaprogramować na konsoli administracyjnej za pomocą stworzonego przez producenta języka skryptowego.

<b>Analiza wszystkiego</b>

Protector IDS integruje się z systemami do zarządzania infrastrukturą: Tivoli i HP OpenView, co pozwala na natychmiastową identyfikację stanowiska włamywacza z dokładnością do gniazdka sieciowego. System analizuje pliki log czołowych produktów bazodanowych, serwerów WWW, serwerów pocztowych, firewalli, a także innych systemów typu Intrusion Detection System. Istnieje też możliwość integracji systemu z dowolnym innym źródłem danych, np. bazą logów systemu kontroli dostępu do pomieszczeń.

Dane napływające od agentów są rejestrowane i interpretowane przez moduł centralny systemu o nazwie Manager. System udostępnia także rozbudowane funkcje raportowania. Na potrzeby ewentualnego postępowania dowodowego rekordy z logami są chronione przed zmianami i w określonych odstępach czasu zapisywane na nośnikach jednokrotnego zapisu.

Manager zbudowano korzystając z bazy Oracle 8.1, pracującej na platformie Sun Solaris. W niedalekiej przyszłości na rynek trafi uproszczona, tańsza wersja systemu, działająca na platformie Windows NT/SQL Server, przeznaczona dla klientów średniej wielkości.