Tropienie z Kanem

Kane Security Monitor umożliwia scentralizowane śledzenie zdarzeń zachodzących w sieciach NetWare i Windows NT, lecz do pełnej ochrony sieci nie wystarcza.

Kane Security Monitor umożliwia scentralizowane śledzenie zdarzeń zachodzących w sieciach NetWare i Windows NT, lecz do pełnej ochrony sieci nie wystarcza.

Kane Security Monitor 3.2, opracowany przez firmę Security Dynamics, to pakiet mający z założenia umożliwiać ciągłe monitorowanie bezpieczeństwa w sieciach opartych na systemach Windows NT i NetWare. Pakiet ten jednak nie spełnia do końca powierzonych mu zadań i jest przykładem na poparcie tezy, że do pełnej ochrony sieci korporacyjnej konieczne jest stosowanie kilku alternatywnych rozwiązań.

KSM to oprogramowanie klient-serwer. Rolę klientów pełnią specjalni agenci monitorujący zdarzenia zachodzące na serwerach i stacjach roboczych Windows NT oraz na serwerach NetWare. Informacje o tych zdarzeniach są przesyłane do specjalnego komponentu Auditor stanowiącego repozytorium danych. Administrator za pośrednictwem centralnej konsoli może wykorzystywać dane zgromadzone przez moduł Auditor. Oprogramowanie pozwala śledzić wszystkie zdarzenia, które znajdują odzwierciedlenie w logach systemowych, m.in. zakończone niepowodzeniem próby logowania do sieci, zmiany polityki audytowej, modyfikacje parametrów użytkowników i grup itp.

KSM daje jednak coś więcej niż tylko analizowanie logów. Aplikacja umie kojarzyć zachodzące zdarzenia i przedstawiać wnioski administratorowi. Przykładowo, jeśli agent odnotuje kilka nieudanych prób zalogowania na konto danego użytkownika, to powiadomi administratora, że następuje próba włamania (hack attempt). Jeśli wkrótce po tych zdarzeniach uda się komuś zalogować na konto, to KSM zgłosi udane włamanie (hack succesful).

Atak bez alarmu

Niemniej wiele zdarzeń zachodzących w sieci umyka uwadze KSM; pakiet obserwuje wyłącznie logi stacji roboczych i serwerów, a nie monitoruje bezpośrednio zdarzeń zachodzących w sieci. Podczas testów oprogramowania wykonano serię ataków typu denial-of-service na serwery z agentami KSM. Program Security Dynamics nie wykrył ani jednego. Działo się tak dlatego że popularne ataki "zalewające" dużą liczbą pakietów porty UDP powodują natychmiastowe zawieszenie serwera Windows NT, a informacja o tym fakcie nie jest nawet zapisywana w systemowym logu. Jedynym sposobem monitorowania przerwania pracy serwera w taki sposób jest nakazanie konsoli KSM sygnalizowania przerwania pracy agenta zainstalowanego na obserwowanym serwerze.

Z tych samych powodów KSM nie wykrywa skanowania otwartych portów na serwerze bądź stacji roboczej, a jest to zazwyczaj wstępne działanie podejmowane przez hakerów przygotowujących się do włamania do systemu. Program nie odnotowuje także nawiązywania anonimowych sesji pozwalających na sprawdzenie listy grup i użytkowników danego serwera, a także udostępnionych katalogów.

Bogate raportowanie

Nową wersję KSM wyposażono w znacznie bogatszy moduł raportujący niż wcześniejsze edycje. Pakiet pozwala automatycznie tworzyć wykresy obrazujące zjawiska zachodzące w sieci oraz zaobserwowane na ich podstawie tendencje. Administrator może dowolnie formatować wyświetlane dane, tak by można je było łatwo porównać z informacjami archiwalnymi. Program dostarczany jest z wieloma predefiniowanymi raportami - praktycznie po jednym na każde monitorowane zdarzenie. Zawierają one wyczerpujące informacje o zarejestrowanych zdarzeniach, a jednocześnie format raportów jest bardzo przejrzysty.

Mimo pewnych ograniczeń, Kane Security Monitor 3.2 jest pakietem umożliwiającym scentralizowane monitorowanie wszystkich zdarzeń związanych z bezpieczeństwem sieci, odnotowywanych w logach systemowych serwerów Windows NT i NetWare. Pakiet jest przykładem tego, że jeden, nawet dobry program nie rozwiąże problemu bezpieczeństwa sieci komputerowej. Warto więc stosować różne wzajemnie uzupełniające się aplikacje, które umożliwią pełne monitorowanie sieci.

<hr size=1 noshade>Kane Security Monitor 3.2

Producent: Security Dynamics

http://www.securitydynamics.com

Dystrybucja: DCS

tel. (+22) 825 25 34

faks (+22) 825 88 95

http://www.dcs.pl

Cena: licencja na 10 monitorowanych stacji roboczych (Windows NT Workstation) i jedną konsolę - ok. 8600 zł. Licencja na 10 monitorowanych serwerów i jedną konsolę - ok. 42 000 zł.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200