System Dragon 5 IDS opracowano we współpracy z partnerami firmy świadczącymi usługi zarządzania zabezpieczeniami. Oprogramowanie jest przeznaczone dla dużych przedsiębiorstw, umożliwiając kompleksowe monitorowanie bezpieczeństwa sieci korporacyjnych - zarówno przed zagrożeniami zewnętrznymi, jak i wewnętrznymi.

<b>Centralny serwer</b>

System Dragon 5 składa się z trzech produktów: Dragon Sensor, Squire i Server. Pierwszy z nich to sonda instalowana w sieci, której zadaniem jest monitorowanie pakietów przepływających siecią pod kątem niebezpiecznych działań hakerów lub pracowników firmy. Jej uzupełnieniem jest aplikacja Dragon Squire, instalowana na pojedynczych hostach (komputerach i serwerach), przeznaczona do monitorowania ich bezpieczeństwa i diagnozowania ewentualnych prób włamań. Squire pracuje na podstawie analizy logów dotyczących pracy aplikacji internetowych (czyli serwerów pocztowych oraz serwerów FTP i WWW) i systemu, a także monitoringu prób modyfikacji kluczowych plików systemowych. Aplikacja może także kontrolować zapory ogniowe, routery i systemy wykrywające włamania innych producentów, wykorzystując protokół SNMP i przekazywanie dzienników SYSLOG. Dragon Squire potrafi odczytywać dane generowane m.in. przez produkty Raptor, NetScreen oraz Checkpoint.

Zobacz również:

• Biały Dom obejmie sankcjami kolejną chińską firmę produkującą chipy
• Projektowanie zorientowane na użytkownika - Polska powyżej europejskiej średniej

Wszystkie zdarzenia wykrywane przez Dragon Sensor i Dragon Squire są przekazywane do programu Server, który umożliwia scentralizowane zarządzanie, analizę i raportowanie oraz koordynację działań zabezpieczających w całej sieci.

<b>Nie tylko znani</b>

Działanie systemu Dragon opiera się na trzech sposobach wykrywania podejrzanych działań. Pierwszy z nich to utrzymywana przez Enterasys Networks baza danych, w której gromadzone są informacje o znanych technikach stosowanych przez hakerów (np. typu denial of service czy buffer overflow).

Drugim sposobem jest wyszukiwanie przez sieciowe i lokalne agenty Dragon anomalii, które mogą być oznaką ataku. Według przedstawicieli firmy, choć technika ta jest mniej efektywna od pierwszego sposobu, to doskonale sprawdza się w przypadku np. skanowania portów czy też nowych form ataków denial of service czy buffer overflow. Wreszcie trzecia metoda to wykrywanie przypadków naruszenia polityki bezpieczeństwa - aplikacje Dragon wykrywają nie autoryzowane usługi sieciowe czy aplikacje pracujące na niestandardowych portach.

Dragon Sensor jest dostępny zarówno w formie oprogramowania, jak i dedykowanego rozwiązania sprzętowego. Oprogramowanie pracuje na platformach Linux, Solaris, FreeBSD i OpenBSD. Potrafi obsługiwać - według producenta - przechwytywanie pakietów w sieciach o przepustowości do 300 Mb/s. Cena jego licencji wynosi ok. 8100 USD.

Dragon Squire działa na platformach Windows NT/2000, Solaris, HP-UX, Linux, FreeBSD oraz OpenBSD. Kosztuje ok. 800 USD. Dragon Server jest dostępny dla Linuxa, Solarisa, FreeBSD i OpenBSD. Jego cena wynosi ok. 10 600 USD.