Systemy wykrywania włamań do sieci

Systemy wykrywania włamań do sieci

Cisco Secure IDS - Konsola alarmowa czasu rzeczywistego

<span class="sub3">Cisco Secure IDS v.2.5</span>

Cisco Secure IDS, znany wcześniej jako NetRanger, jest typem sieciowego sytemu wykrywania wtargnięć, co oznacza, że opiera się na ciągłym monitorowaniu całego ruchu w przydzielonej mu podsieci, porównując pakiety oraz konteksty pakietów z wzorcami ataków. Produkt ten ma jednak pewną cechę wyróżniającą go wśród innych pakietów: jest dostarczany jako dedykowane urządzenie sieciowe wyposażone w odpowiednie oprogramowanie.

Sensory IDS są dostarczane w trzech odmianach, pracujących na okrojonej wersji Sun Solaris ze zmodyfikowanymi sterownikami sieciowymi:

  • Cisco Secure IDS-4210 Sensor - dostosowany do monitorowania środowiska sieci 45 Mb/s, a także 10 Mb/s Ethernet. Jest wyposażony w dwa interefejsy Ethernetu - jeden do monitorowania, a drugi do zarządzania.

  • Cisco Secure IDS-4230 Sensor - przystosowany do monitorowania sieci 100 Mb/s.

  • Catalyst 6000 IDS Module - dołączany bezpośrednio do przełączników sieciowych.

    W sieci można rozmieszczać wiele sensorów i zarządzać nimi z konsoli centralnej, na której pracują bądź Cisco Secure Policy Manager w wersji 2.2 (aplikacja integrująca zarządzanie zaporami ogniowymi, VPN i systemami wykrywania włamań), bądź Cisco Secure Intrusion Detection Director (oprogramowanie oparte na Unixie, integrujące się z konsolą OpenView Network Node Manager Hewlett-Packarda, pracującą w środowisku HP-UX lub Sun Solaris). Program ten pozwala na konfigurowanie urządzeń Cisco Secure IDS.

    Instalacja i konfigurowanie. Instalacja pakietu jest maksymalnie uproszczona, jako że jest to urządzenie dostarczane w wersji "pod klucz". Cała operacja polega na podłączeniu do portu szeregowego PC urządzenia Cisco Secure IDS oraz ustawieniu daty, czasu i adresów IP dwóch interfejsów. Monitorowanie sieci startuje natychmiast po dołączeniu urządzenia do sieci (według reguł domyślnych, ustawionych fabrycznie). W celu zmiany reguł monitorowania niezbędne jest zainstalowanie Cisco Secure Policy Manager (CSPM).

    CSPM konfiguruje także zapory ogniowe Cisco i routery VPN. Program usprawnia zarządzanie skomplikowanymi parametrami ochrony sieci, takimi jak parametr kontroli dostępu czy translacja adresów sieciowych (NAT). W ramach konfigurowania IDS niezbędne jest określenie zakresu adresów sieci - na tej podstawie IDS może określać, czy atak pochodzi z wewnątrz sieci, czy jest to atak zewnętrzny. Dla każdego Sensora można określić: zestaw stosowanych reguł polityki ochrony, adresy, które mają być blokowane, oraz wzorce filtrowanych ataków, a także adresy IP, spod których pochodzą (dopuszcza się w ten sposób możliwość skanowania portów pochodzących z maszyn wewnętrznych, bez potrzeby wywoływania alarmów).

    Najnowsza wersja Cisco Secure IDS zawiera reasemblacje fragmentacji IP i obsługę wykrywania działań wymierzonych bezpośrednio przeciwko systemom antywłamaniowym.

    Każdy sensor ma domyślnie przydzielone wszystkie sygnatury typu ogólnego. Możliwa jest zmiana stopnia czujności (wysoki, średni, niski) i podejmowanych akcji (blokada, reset TCP i zapis do logu). Gdy zostanie odnotowany atak (zarówno w postaci pozycji w logu, jak i powiadomienia konsoli CSPM), Sensor może natychmiast przerwać sesję i dynamicznie uzupełnić listę kontroli dostępu routerów Cisco - zabezpiecza to przed kolejnymi atakami z tego źródła. Mechanizm ten może być tymczasowy lub ustawiony na stałe. Pozostała część ruchu sieciowego funkcjonuje normalnie - blokowany jest jedynie nieautoryzowany ruch użytkowników wewnętrznych lub napastników zewnętrznych.

    W uzupełnieniu sygnatur typu ogólnego administrator ma możliwość definiowania sygnatur dodatkowych, opartych na cechach połączeń lub ciągach wyrażeń znakowych. Sygnatury oparte na szczegółach połączeń zapewniają kontrolę dowolnych połączeń TCP lub UDP do dowolnego portu, umożliwiając administratorowi monitorowanie nieautoryzowanego użycia np. Telnet. Z kolei sygnatury oparte na ciągach znaków pozwalają administratorowi tworzyć wzorce identyfikujące specyficzne frazy lub ciągi znaków, kierowane do lub ze specyficznych portów, np. szybko i łatwo zastawiać pułapki na wirusy typu ILOVEYOU, poszukując takiego łańcucha w pakietach dostarczanych do portu 25.

    Raporty i analiza. Ostatnia wersja Cisco Secure IDS, podobnie jak jej poprzednik, jest kompletnie pozbawiona jakiejkolwiek formy raportowania i analizy alarmów. Ma ona bardzo dobre środki monitorowania w czasie rzeczywistym na konsoli i podstawowy podgląd logu, umożliwiający przeglądanie plików logu, i... nic więcej. W tym zakresie firma zdaje się na dostawców niezależnych (np. netForensitic.com).


  • TOP 200