Wykrywanie ataków coraz skuteczniejsze

RealSecure 6.0

RealSecure jest hybrydowym systemem IDS umożliwiającym identyfikowanie i reagowanie w czasie rzeczywistym na ataki sieciowe. System, o architekturze rozproszonej klient-serwer, składa się z trzech podstawowych komponentów:

Network Sensor - moduł inspekcyjny (sensor) analizujący ruch sieciowy

OS Sensor - moduł inspekcyjny dokonujący analizy zdarzeń rejestrowanych w logach systemowych

ServerSensor - połączenie Network Sensor i OS Sensor przeznaczone do pracy na pojedynczym systemie

Workgroup Manager - konsola umożliwiająca scentralizowane zarządzanie sensorami.

Network Sensor jest uruchamiany na dedykowanych stacjach komputerowych, zlokalizowanych w newralgicznych segmentach sieci. Jego działanie polega na przechwytywaniu pakietów przesyłanych w sieci i analizowaniu ich zawartości pod kątem wykrywania znanych wzorców włamań.

OS Sensor stanowi uzupełnienie RealSecure Network Sensor w zakresie analizowania zdarzeń rejestrowanych w logach systemów komputerowych. RealSecure OS Sensor może wykrywać niedozwolone działania użytkowników, których identyfikacja w czasie rzeczywistym przez Network Sensor nie jest możliwa.

WorkGroup Manager służy do zarządzania i nadzorowania sensorów, rezydujących w oddalonych punktach sieci. RealSecure może integrować się z platformą zarządzania sieciami HPOpenView i Tivoli.

Po wykryciu zdarzenia, które zgodnie z przyjętą polityką bezpieczeństwa jest zabronione lub podejrzane, RealSecure może podjąć szereg działań, m.in.:

wysłać alarm do konsoli zarządzającej RealSecure

zarejestrować przebieg sesji sieciowej

zamknąć sesję sieciową (pakiet RESET)

wysłać komunikat do CheckPoint FireWall-1 w celu modyfikacji jego polityki bezpieczeństwa

zamknąć sesję użytkownika i zablokować jego konto na określony czas lub bezterminowo

przekazać informacje o zdarzeniu do administratora pocztą elektroniczną, w formie SMS lub na pager

wykonać inne działania zdefiniowane przez administratora.

Poczynając od wersji 6.0, moduły wchodzące w skład RealSecure są rozwijane i licencjonowane niezależnie. Wersja 6.0 obejmuje Workgroup Manager, Network Sensor i Server Sensor (OS Sensor jest w wersji 5.0).

RealSecure Workgroup Manager wersja 6.0. Główną zmianą (w stosunku do wersji wcześniejszych) jest wprowadzenie trójwarstwowej architektury przez dodanie warstwy pośredniej w postaci elementu Event Collector, którego zadaniem jest gromadzenie i przechowywanie informacji o zdarzeniach przekazywanych z konsoli. Rozwiązanie to umożliwia zwiększenie liczby sensorów obsługiwanych w pojedynczej instalacji.

Informacja niezbędna do nawiązania połączenia z sensorem przechowywana jest w bazie obiektów i nie musi być każdorazowo wpisywana osobno dla każdej konsoli odwołującej się do danego sensora.

RealSecure Server Sensor zapewnia zautomatyzowaną ochronę oraz możliwość implementacji dynamicznego blokowania ataków. Udoskonalono również klasyfikację zdarzeń. Nowe cechy sensora to m.in.:

udoskonalone filtrowanie fałszywych alarmów;

wyzwalane zdarzeniami, dynamiczne blokowanie całości ruchu ze wskazanego adresu źródłowego na określony czas (zapobieganie próbom ataków DoS);

obsługa platformy Solaris 8;

elastyczna instalacja umożliwiająca opcjonalne dołączanie komponentów jądra sensora;

obsługa Network Sensor i Server Sensor (bez monitorowania sieci, wyłącznie w trybie host) w jednym systemie.

RealSecure Network Sensor w nowej wersji zawiera powiększoną bazę sygnatur, możliwość instalowania w jednym systemie Network Sensor i Server Sensor, architekturę CSF (Common Sensor Framework) zapewniającą API umożliwiający dołączanie nowych sensorów.

Computerworld.pl

Wykrywanie ataków coraz skuteczniejsze

RealSecure 6.0

Tematy

Serwisy IDG

Zamów reklamę

(+48) 662 287 830

Computerworld.pl

Wykrywanie ataków coraz skuteczniejsze

RealSecure 6.0

Tematy

Serwisy IDG

Znajdź nas:

Zamów reklamę

(+48) 662 287 830