Wydajność IDS

Sieciowe IDS, pracujące na platformie konwencjonalnych systemów operacyjnych, często nie uzyskują dostatecznej puli zasobów systemowych do wykonania analizy ruchu z szybkością nadążną za szybkością połączenia. W rezultacie w sieci powstają wąskie gardła.

Dostawcy IDS rozwiązują ten problem na różne sposoby. Jednym z nich jest lokalizowanie funkcji IDS na poziomie przełączników sieciowych (Cisco Catalyst 6000), co znacznie poprawia efektywność ich działania. Nie jest to jednak wystarczające dla bardzo szybkich sieci, dlatego też poszukuje się nowych rozwiązań w postaci bardzo szybkich urządzeń opartych na technologii układów ASIC do przełamania bariery szybkości 100 Mb/s. dzisiejszych IDS. Jedną z dróg jest optymalizacja kodu firmware i powiększenie pamięci RAM urządzeń.

Opracowuje się też szybsze motory i architektury reguł, a także dedykowane rozwiązania sprzętowe, które są zazwyczaj szybsze od sieciowych IDS.

Przykłady rozwiązań IDS

Jeszcze nie tak dawno produkty IDS były trudne w instalacji i zarządzaniu, a także cechowała je nie najlepsza wydajność. Na przestrzeni ubiegłego roku sytuacja ta uległa znacznej poprawie. IDS przeszły dość znaczną ewolucję w kierunku nowych mechanizmów, bogatszych aplikacji zarządzania i znacznie lepszych osiągów.

W dalszej części artykułu podaję przykłady produktów tej kategorii: Secure IDS 2.21 firmy Cisco, eTrust Intrusion Detection 1.5 firmy Computer Associates, Dragon Sensor 5.0 firmy Enterasys, Real Secure 6 firmy ISS oraz trochę nietypowy LANguard S.E.L.M. firmy GFI Software.

Produkty Cisco i Enterasys są wyposażone w odpowiednie oprogramowanie, produkty CA i ISS to pakiety programowe. Pakietem programowym jest też LANguard S. E. L. M., z tym że jest to wyłącznie analizator logów systemowych - jego zaletą jest niewysoka cena.

Sieciowe IDS składają się w zasadzie z oddzielnych sensorów i funkcji zarządzania. Sensory te monitorują ruch sieciowy i wykrywają w nim pakiety noszące znamiona ataku. Funkcje zarządzające, które obejmują zarządzanie zdarzeniami i raportowanie, zawarte są w oddzielnej konsoli. Sensory mogą pracować na różnego rodzaju platformach: Windows, Unix, Linux, Solaris. W większości przypadków do zarządzania używane są serwery zarządzające oparte na Windows, jak również odpowiednie oprogramowanie klienckie. Stosowane są też webowe techniki zarządzania oparte na przeglądarce (Enterasys).

Zarządzanie rozległą siecią sensorów realizowane jest na ogół w trzech warstwach: centralna konsola zarządzania, sensory i kolektor zdarzeń, odciążający konsolę centralną w funkcjach wstępnego przetwarzania zdarzeń. Taki kolektor grupuje do kilkudziesięciu sensorów, a konsola centralna obsługuje cały szereg kolektorów zdarzeń. Model ten jest stosowany w większości produktów (z wyjątkiem rozwiązania Computer Associates, gdzie sensory są połączone bezpośrednio z konsolą).

Cisco Secure Policy Manager (CSPM) pracuje na platformie Windows NT/98/2000 i dysponuje przejrzystym i intuicyjnym interfejsem graficznym z szerokimi możliwościami konfigurowania. Zawiera on mechanizmy raportowania i statystyki, wykorzystujące łatwe w użyciu wzorce generowanych raportów oraz zapewnia zintegrowane zarządzanie zaporami ogniowymi Cisco, ruterami IPsec VPN i sensorami IDS. Poza tą konsolą Cisco oferuje również możliwość zarządzania opartą na platformach Uniksa i HP OpenView w postaci konektorów programowych Cisco Secure Director.

ISS Real Secure Manager rezyduje na platformach Windows NT/2000 i Solaris, obsługując zarządzanie zdarzeniami, raportowanie i integrację różnych aplikacji IDS.

CA eTrust Intrusion Detection Manager pracuje na platformach Windows 98/ME/NT/2000 i zapewnia wyjątkowo dobre raporty. Wymaga on jednak integrowania kilku różnych aplikacji, m.in. oddzielnych aplikacji dla statystyk czasu rzeczywistego i szczegółowego monitorowania.

Enterasys Dragon Policy Manager, oparty na przeglądarce, zawiera funkcje statystyczne i raportujące oraz narzędzia pomocne w efektywnym określaniu i analizowaniu ataków. Udostępniony jest też interfejs komend Uniksa.

LANguard S.E.L.M. jest sterowany przez konektor programowy do standardowej konsoli zarządzania Microsoft Management Console.