Wykrywanie ataków coraz skuteczniejsze
- Józef Muszyński,
- 01.03.2002
RealSecure 6.0
RealSecure jest hybrydowym systemem IDS umożliwiającym identyfikowanie i reagowanie w czasie rzeczywistym na ataki sieciowe. System, o architekturze rozproszonej klient-serwer, składa się z trzech podstawowych komponentów:
Network Sensor jest uruchamiany na dedykowanych stacjach komputerowych, zlokalizowanych w newralgicznych segmentach sieci. Jego działanie polega na przechwytywaniu pakietów przesyłanych w sieci i analizowaniu ich zawartości pod kątem wykrywania znanych wzorców włamań.
OS Sensor stanowi uzupełnienie RealSecure Network Sensor w zakresie analizowania zdarzeń rejestrowanych w logach systemów komputerowych. RealSecure OS Sensor może wykrywać niedozwolone działania użytkowników, których identyfikacja w czasie rzeczywistym przez Network Sensor nie jest możliwa.
WorkGroup Manager służy do zarządzania i nadzorowania sensorów, rezydujących w oddalonych punktach sieci. RealSecure może integrować się z platformą zarządzania sieciami HPOpenView i Tivoli.
Po wykryciu zdarzenia, które zgodnie z przyjętą polityką bezpieczeństwa jest zabronione lub podejrzane, RealSecure może podjąć szereg działań, m.in.:
Poczynając od wersji 6.0, moduły wchodzące w skład RealSecure są rozwijane i licencjonowane niezależnie. Wersja 6.0 obejmuje Workgroup Manager, Network Sensor i Server Sensor (OS Sensor jest w wersji 5.0).
RealSecure Workgroup Manager wersja 6.0. Główną zmianą (w stosunku do wersji wcześniejszych) jest wprowadzenie trójwarstwowej architektury przez dodanie warstwy pośredniej w postaci elementu Event Collector, którego zadaniem jest gromadzenie i przechowywanie informacji o zdarzeniach przekazywanych z konsoli. Rozwiązanie to umożliwia zwiększenie liczby sensorów obsługiwanych w pojedynczej instalacji.
Informacja niezbędna do nawiązania połączenia z sensorem przechowywana jest w bazie obiektów i nie musi być każdorazowo wpisywana osobno dla każdej konsoli odwołującej się do danego sensora.
RealSecure Server Sensor zapewnia zautomatyzowaną ochronę oraz możliwość implementacji dynamicznego blokowania ataków. Udoskonalono również klasyfikację zdarzeń. Nowe cechy sensora to m.in.:
RealSecure Network Sensor w nowej wersji zawiera powiększoną bazę sygnatur, możliwość instalowania w jednym systemie Network Sensor i Server Sensor, architekturę CSF (Common Sensor Framework) zapewniającą API umożliwiający dołączanie nowych sensorów.