Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Wykrywanie ataków coraz skuteczniejsze

Wykrywanie ataków coraz skuteczniejsze

Dragon Sensor 5

Wykrywanie ataków coraz skuteczniejsze

<b>Dragon Sensor</b> - przydzielanie sygnatur dla sensorów

Rozwiązania Dragon firmy Enterasys tworzą system hybrydowy, łączący w sobie możliwości NIDS i HIDS. Rodzina produktów Dragon zawiera następujące elementy:

  • Dragon Sensor - sieciowy IDS w postaci urządzenia

  • Dragon Squire - hostowy IDS

  • Dragon Server - narzędzia webowe do raportowania i zarządzania, analiz i korelacji zdarzeń w obszarze działania sensorów.

    Dragon Sensor 5 jest systemem typu NIDS. Wykrywa on ataki metodą monitorowania ruchu przechodzącego przez sieć. Ruch sieciowy analizowany jest na poziomach protokołów i aplikacyjnym w poszukiwaniu sygnatur identyfikujących podejrzane pakiety w sieci, próby DoS czy inne ataki. Dragon Sensor, podobnie jak większość NIDS, opiera się na sygnaturach ataku. Oznacza to, że może wykrywać jedynie takie działania, dla których istnieją sygnatury. Niektóre sygnatury są wpisane w sam system i są używane do analizowania danych sieciowych na poziomie protokołów. Pozostałe sygnatury tworzą bazę danych sygnatur i są instalowane na żądanie użytkownika.

    Dragon Sensor zawiera mechanizm pomagający w redukowaniu fałszywych alarmów. Każde zdarzenie wykryte przez sensor może mieć przypisane unikatowe reguły filtrowania. Reguły te obejmują adresy IP, porty itp. Dragon Real-Time Console zawiera utility o nazwie AnalyzeEvent, które metodami statystycznymi identyfikuje najbardziej popularne pary źródła i przeznaczenia IP pojawiające się zarówno w ciągu doby, jak i tygodnia, oraz pary - porty źródłowy i docelowy. Taka analiza może pomóc w identyfikacji serwerów i aplikacji, z których pochodzą fałszywe alarmy.

    Jedną z mocniejszych stron Dragon Sensor jest wykrywanie prób skanowania portów. Może on identyfikować zdarzenia, takie jak: dialog między hostami na więcej niż ustalonej liczby portów; host komunikujący się z "n" hostami w jednym porcie (omiatanie portu); host "rozmawiający" trzema lub więcej protokołami IP. Dragon Sensor zawiera także szereg mechanizmów pozwalających administratorowi na budowanie szeregu pułapek dla skanowania sieci i hakerów.

    Pakiet może pracować na platformach: Linux, Solaris/Sparc, Solaris/Intel, HP-UX. Firma zapewnia bazę danych ponad 1300 sygnatur. Oprócz tego jest możliwe pisanie własnych sygnatur - w specjalnym języku sygnatur.

    Intruder Alert 3.6

    Wykrywanie ataków coraz skuteczniejsze

    <b>Intruder Alert Event Viewer</b> jest oddzielnym narzędziem graficznym do przeglądania informacji o zdarzeniach zarejestrowanych przez moduły agentów

    Intruder Alert firmy Symantec jest systemem typu HIDS, zbudowanym w architekturze trzywarstwowej, składającym się z następujących komponentów:

  • Agent - moduły sensorów pracujące na krytycznych serwerach i desktopach w sieci, monitorujące aktywność użytkowników oraz przekazujące do Menedżera informacje o podejrzanych zdarzeniach oraz zachowaniach.

  • Menedżer - moduły pośredniczące, rezydujące na serwerach w całej sieci, gromadzące informacje o zdarzeniach i aktywności w sieci pochodzące od agentów i przekazujące je w formie raportów do modułu Alert Event Viewer (każdy z modułów Menedżera może obsługiwać praktycznie do stu agentów).

  • Konsola administratora - pracująca na indywidualnych desktopach lub w centrum zarządzania siecią i zapewniająca scentralizowane zarządzanie systemem w całej sieci.

    W wersji 3.6 system rozszerzono o następujące możliwości:

  • Monitorowanie rejestrów Windows - nowa funkcja pozwalająca na ścisłe monitorowanie rejestrów Windows (Windows Registry) bez konieczności dodatkowego konfigurowania systemu; zapewnia szczegółowe śledzenie nadzwyczajnych zmian w ustawieniach rejestrów i prób zapisywania niedozwolonych wartości w rejestrach.

  • Integracja z usługą LiveUpdate - pozwalająca na uaktualnianie przez Internet kluczowych komponentów systemu - modułów agentów i menedżerów oraz sygnatur.

  • Poszerzony zakres obsługiwanych platform - w tym: Windows 2000 (Agent, Menedżer i Konsola administratora); Solaris 8 (32 i 64-bitowy); RedHat Linux 7.1 i HP-UX 11 (64-bity).

    System zawiera ponad 400 sygnatur pogrupowanych według rodzajów podejrzanej aktywności, m.in.:

  • nieautoryzowane zmiany w konfiguracji systemu

  • nieautoryzowane zmiany lub nadużywanie uprawnień administratora

  • logowania z niepoprawnym hasłem

  • nieautoryzowany dostęp lub zmiany w krytycznych plikach systemu.

    Mechanizm automatycznej reakcji wbudowany w system zapewnia możliwość konfigurowania automatycznych odpowiedzi na zdarzenie, w tym:

  • wysłanie powiadomienia na konsolę

  • wysłanie wiadomości pocztą elektroniczną pod określony adres

  • wysłanie powiadomienia na pager

  • zamknięcie sesji użytkownika

  • zablokowanie konta użytkownika

  • wykonanie określonego skryptu

  • zarejestrowanie zdarzenia w logu

  • wyprowadzenie na konsolę czasowego wykresu podejrzanej aktywności.

    System zapewnia szereg raportów pozwalających na zorientowanie się o skali zagrożeń atakami hakerów, a także dokumentujący każdy atak. Raporty mogą być przedstawiane w postaci wykresów, umożliwiających obserwację pewnych trendów zagrożeń, oraz w postaci tablic pozwalających na szczegółową analizę incydentów.

    Konsola Intruder Alert pozwala na integrację zdarzeń monitorowanych przez sieciowy IDS - NetProwler, co pozwala na kontrolę aktywności hakerów, opartą na metodzie hostowej i sieciowej z pojedynczej konsoli.

    •

    TOP 200

    Computerworld

    Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

    Tematy

    Serwisy IDG

    Znajdź nas:   

    W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    Zamów reklamę

    (+48) 662 287 830
    Napisz do nas