Ukryte ataki i fałszywe alarmy nowe wyzwania dla narzędzi IDS
- Józef Muszyński,
- 01.12.2002
Każdy alarm generowany przez Entercept Agent ma przypisany poziom ważności: wysoki, średni, niski lub informacyjny. Poziom ten określa akcję, jaką ma podjąć agent po podniesieniu alarmu. Obsługiwane są trzy akcje bezpośrednie:
Agent może być ustawiony do działania w jednym z trzech trybów:
ISS RealSecure 7.0
RealSecure 7.0 - sygnatury definiowane przez użytkownika
RealSecure 7.0 składa się z czterech podstawowych komponentów:
RealSecure Network Sensor pracuje na dedykowanych hostach, monitorując określony segment sieci, analizując przepływ ruchu i blokując włamania. Po wykryciu wtargnięcia może reagować na kilka sposobów:
Network Sensor 7.0 rozpoznaje ponad sześćdziesiąt protokołów poziomu aplikacji, takich jak HTTP, FTP, SMTP, SNMP, RCP, NetBIOS, jak również wiele protokołów komunikacyjnych stosowanych przez trojany. Z powodu niejednoznaczności standardów (różnice w interpretacji zapisów w dokumentach RFC) analiza protokołów nie opiera się na sprawdzaniu zgodności z tekstem RFC. Sensor skupia się na analizowaniu protokołów w układzie kontekstowym i stosowaniu odpowiednich wzorców porównawczych. Sensor wykonuje także pełną defragmentację pakietów IP, a także odtworzenie sesji TCP i HTTP. Przesłuchuje zarówno dane transmitowane, jak i odbierane, co pozwala mu przechwytywać odpowiedzi serwera na szereg ataków, takich jak incydenty związane z HTTP, FTP, RCP i DNS.
Network Sensor zawiera bazę ponad1200 sygnatur, powstałą w wyniku połączenia bibliotek sygnatur BlackICE i RealSecure. Poza własnym motorem analizy protokołów sensor ma możliwość importowania większości opublikowanych reguł Snort - za pośrednictwem modułu Trons, który jest podsystemem prawie całkowicie niezależnym od PAM (Protocol Analysis Module z RealSecure), co czyni cały system "podwójnym IDS".