Использование средств обнаружения вторжений

 

1. Программное изделие RealSecure 3.1

2. Программные изделия NetProwler 3.0 и Intruder Alert 3.0

3. Программное изделие SessionWall

 

          Изделие американской компании Axent и Internet Security Systems одновременно объявили о выходе двух новых программ выявления проникновений в компьютерные системы. По сути, новое в каждой из программ - это расширение до того, что уже умеет другая.
          Как известно, программы выявления проникновений, предназначенные для обнаружения атак и реагирования на них, существуют в двух основных формах: системы на основе сетевого мониторинга и системы на базе хост-машин. Фирма Axent уже имела ПО выявления проникновений на хост-базе, а теперь добавляет сетевой мониторинг. Фирма ISS, со своей стороны, располагала системой сетевого мониторинга, а теперь добавила хост-базу. В результате обе фирмы поспешили объявить, что больше никто на рынке не предлагает оба типа выявления проникновений "в одном флаконе".
          В Axent новую технологию сетевого мониторинга назвали NetProwler, и она работает совместно с Intruder Alert 3.0 - продуктом Axent на хост-базе.
          В ISS добавили мониторинг на хост-базе в версию 3.0 своего продукта RealSecure. Пакет вышел в декабре прошлого года, цена его начинается от 8995 дол. и зависит от размера сети.

 

1. Программное изделие RealSecure 3.1

          Рекомендуемая изготовителем цена: за каждую защищаемую точку в сети 8995 долл.; за каждый сетевой агент 750 долл.
          Internet Security Systems Inc. Atlanta; www.iss.net

          Если вы готовы пожертвовать функциональным богатством ради удобства и простоты использования, то вам подойдет комплексная система обнаружения вторжений RealSecure компании ISS, обслуживающая как сеть, так и центральный компьютер. Этот пакет отстает от продуктов фирмы Axent по гибкости функций настройки, совместимости с рядом операционных систем (RealSecure работает только с сетями на платформе Windows NT). Подобно тандему NetProwler/Intruder Alert, пакет фирмы ISS обнаруживает атаки на главный компьютер, но оказывается бессильным в тестах с применением давно известной "хакерской" программы Bonik и более нового средства WinFreeze (обе эти DoS-программы вызывают зависание сети).
          В сети RealSecure лишь инспектирует поступающие на компьютеры информационные потоки, в отличие от NetProwler, он не поддается тонкой настройке для защиты от типичных атак на определенные ОС или действующие сетевые службы. В обеих программах используются похожие методы, но NetProwler работает производительнее, поскольку не нуждается в тотальном сличении информации в сети с имеющейся базой данных признаков атак. Это позволяет снизить нагрузку на процессор и избежать потери отдельных пакетов, которая случается при перегрузке системы обнаружения вторжений.
          Зато панель управления в RealSecure спроектирована превосходно. В основном окне можно настраивать, запускать и отключать защитные схемы для сетевых модулей и агентов, обслуживающих центральный компьютер. Панель Activity Tree (дерево событий) позволяет отследить все происходящие в сети события. Сведения о зафиксированных нападениях сортируются в этой панели по типу; программа оснащена базой данных, содержащей признаки примерно четырехсот типов атак. Обновления базы данных ежеквартально высылаются пользователям на компакт-дисках; в конце года фирма ISS планирует сделать такие рассылки ежемесячными. К сожалению, очистить очень быстро растущий список Activity Tree можно только путем перезапуска всей программы.
          Функция Event Inspection (инспекция событий) определяет адреса источника и приемника пакетов, а также номера атакованных портов; чтобы ознакомиться с этими деталями, достаточно щелкнуть правой кнопкой мыши на строчке в списке атак или в правой части окна, где атаки сортируются по приоритетности. Дав команду What's This ("что это"), вы получите справку с объяснением сущности происшедшего нападения и рекомендация относительно того, как защититься от подобных атак впредь.
          Еще одно важное преимущество RealSecurity по сравнению с продуктами Axent наличие 17 готовых отчетов, в том числе список 20 наиболее важных событий и каталог IP-адресов. В целом программа пользователям нравится. Хотя она и не столь полнофункциональна, как системы фирмы Axent, работать с ней намного проще, а средства защиты сети и хост-компьютеров очень хорошо интегрированы.

 

2. Программные изделия NetProwler 3.0 и Intruder Alert 3.0

          Рекомендуемая изготовителем цена для NetProwler 7995 долл.; для Intruder Alert manager 1995 долл., серверный агент 995 долл.
          Axent Technologies Inc., Rockville, MD; 301-258-5043; www.axent.com

          Эти два пакета отличаются поразительным функциональным богатством и гибкостью; работая в паре, они сперва очень тщательно обследуют компьютеры корпоративной сети, определяя, какие компоненты и в каких местах установлены, а затем выстраивают систему защиты на основе полученных данных. Между собой пакеты фирмы Axent интегрированы недостаточно, но благодаря их общей мощности данный тандем оказался впереди конкурирующего пакета RealSecure.
          После инсталляции NetProwier нужно запустить функцию составления профиля, которая завершает развертывание системы защиты. Эта функция определила, какая операционная система установлена в сети и какие службы в ней задействованы. Потом программа автоматически включила шаблоны механизмов защиты, соответствующие имеющейся конфигурации. Так, система не стала защищаться от вторжений, осуществляемых с помощью механизма WinNuke, поскольку этот механизм действует только на платформе Windows и безопасен для сети на основе ОС Solaris.
          При тестировании были составлены профили для машин, работающих с Linux, Solaris, Windows 98 и NT, и на всех NetProwier определил конфигурацию верно, лишь в одном случае допустив заминку. При первом проходе на компьютере с Windows NT программа выбрала в списке операционных систем пункт "другая", но при повторном запуске ОС была распознана правильно.
          Подобно пакету RealSecure, тандем NetProwier и Intruder Alert предусматривает распознавание около четырех сотен различных видов нападений на сеть, к тому же фирма Axent регулярно выставляет на своем Web-узле обновления, содержащие новые шаблоны. Кроме того, вы можете самостоятельно создать новый шаблон (настроить защиту от атаки с механизмом DoS нам удалось буквально за пять минут). В RealSecure подобные функции тоже есть, но работать с ними сложно: приходится открывать три экранных окна, в NetProwler операции выполняются проще.
          Информация о функционировании сети и обнаруженных попытках взлома выводится в окне Attacks. Правда, в отличие от RealSecure, программа NetProwler не позволяет отсортировать сведения по типу механизма атаки или приоритетности. В программе Intruder Alert при работе с центральным компьютером приходится манипулировать диаграммами и текстовыми файлами, чтобы определить слабые места в защите.

 

3. Программное изделие SessionWall

          Программное изделие американо-израильской фирмы AbirNet SESSIONWALL-3 обеспечивает эффективный и экономичный путь для быстрого и легкого решения данных задач мониторинга безопасности Internet и Intranet cетей, позволяет избежать необходимости изменения вашей текущей сетевой топологии.

          SessionWall-3 обеспечивает наиболее всестороннюю сетевую защиту компании.

  • Высокий уровень представления статистических отчетов в т.ч. и для специфических пользователей;
  • Защита сети, включая просмотр содержания, обнаружение вторжений (отпор нападений на сервисы, подозрительные действия, опасные приложения, вирусы), блокирование, оповещение и регистрация событий;
  • Контроль за соблюдением политики безопасности при обращении к WEB и ресурсам внутренней сети и предписание доступа к определенным ресурсам в соответствие с идентификатором пользователя, адресом IP, доменом, группой, содержанием, и списком управления.
  • Сохранение внутренней структуры компании в области безопасности - контроль содержания электронной почты, регистрация пользователей, просмотр сетевой активности и документирование событий.

          SessionWall-3 используется аудиторами, консультантами по защите, правоохранительными органами, финансовыми учреждениями, компаниями мелкого и среднего бизнеса, крупными корпорациями, ISP - Internet провайдерами, образовательными учреждениями и правительственными агентствами, чтобы удовлетворить потребности в защите своих внутренних сетей.
          Защита вашей внутренней сети требует использования определенных инструментальных средств. К сожалению даже использование распространенных инструментальных средств без специализированных механизмов контроля может стоить компании очень дорого. Например, согласно мнений ведущих экспертов в области межсетевых экранов, более чем 50 % установленных Межсетевых экранов функционируют неправильно из-за недостатка знаний, выбранных услуг, тонкости конфигурации, и непринятия во внимание уязвимостей операционных систем.
          В настоящее время достаточно установить SessionWall-3 и не задумываться о приобретении большого количества разнообразных дополнительных утилит и автономных программ. Администратор безопасности SessionWall-3 может наблюдать в реальном режиме времени как используется его сеть и при необходимости защитить ее, используя всего одну программу.
          SessionWall-3 разработан для автономной работы или работы в качестве дополнительной программы для защиты корпоративных сетей. Он включает в себя обнаружение и отражение нападений, имеет обширный список URL (больше чем 200,000 - постоянно обновляется), обнаружение злонамеренных приложений класса Java/ActiveX и вирусов. Данный продукт дополняет возможности межсетевых экранов и выполняет специфические защитные функции, обеспечивая обнаружение вторжений, и производит ревизию всех сетевых соединений. SessionWall-3 также имеет возможность с помощью интерфейса OPSEC управлять межсетевым экраном Fire-Wall-1.

ПРОСТАЯ УСТАНОВКА И УДОБНОЕ АДМИНИСТРИРОВАНИЕ

  • простое конфигурирование системы и невысокие требования к системным ресурсам;
  • обеспечение экономичного решения защиты сети;
  • широкие возможности представления необходимых отчетов;
  • наличие удобного и гибкого в настройке механизма управления системой.


Вид экрана администратора системы мониторинга безопасности SessionWall

  1. В левом верхнем окне показано использование прикладных сервисов Internet клиентами локальной сети.
  2. В правом верхнем окне отображено сообщение об обнаружении атаки типа WinNuke.
  3. В нижнем окне показана текущая сетевая активность клиентов локальной сети.

ОСНОВНЫЕ ВОЗМОЖНОСТИ SESSIONWALL-3

  • самостоятельное конфигурирование (plug-and-play);
  • легкий в использовании графический интерфейс пользователя;
  • представление статистических данных в реальном режиме времени и удобном графическом виде;
  • простые и понятные запросы и сообщения;
  • удобные и наглядные функции модификации, контроля, блокирования и оповещения;
  • фильтрация графика по предустановленным категориям URL, с возможностью пополнения данного списка;
  • поддержка оценки WEB согласно системы оценки RSACi;
  • обнаружение подозрительных приложение (например, Java/ActiveX);
  • механизм проверки графика на наличие вирусов;
  • возможность просмотра содержания почты и входящих в нее вложений;
  • автоматическое сканирование присутствующих в сети станций;
  • оповещение администратора на Pager, электронную почту, факс, консоль и звуковые/визуальные сигналы тревоги.

          SessionWall-3 осуществляет наблюдение за активностью в сети, обнаруживает подозрительную сетевую активность и начинает регистрировать всю электронную почту, доступ к WEB, новостям, Telnet и FTP. Могут быть добавлены новые правила или модифицированы существующие. Вся сетевая активность, которая не связана с установленными правилами, отражается на консоли безопасности в реальном режиме времени и нуждается в установке дополнительных правил.

 

ЧТО ОТЛИЧАЕТ SESSIONWALL-3 ОТ ДРУГИХ ПРОДУКТОВ?

          В отличие от большинства программ предназначенных для защиты сети SessionWall-3 полностью прозрачен, не требует переконфигурации сети и изменения адресов, не замедляет работу сети и не зависит от платформ и операционных систем установленных в сети предприятия.

СПЕЦИАЛЬНЫЕ СВОЙСТВА

          SessionWall-3 поддерживает возможность многопользовательского администрирования системы мониторинга, с возможностью определения различных прав доступа к данным функциям.

          Система мониторинга безопасности предназначена для выявления следующих типов “подозрительной” сетевой активности:

  • атаки, с целью нарушения нормального режима функционирования сетевых сервисов;
  • попытки получения несанкционированного доступа к сетевым сервисам;
  • "подозрительные" апплеты, выполнение которых может повлечь неблагоприятные последствия;
  • сетевые игры;
  • вирусы в почтовых сообщениях;
  • доступ к запрещенным ресурсам Internet (Web-серверам сомнительного содержания).

СИСТЕМА МОНИТОРИНГА БЕЗОПАСНОСТИ ОБЕСПЕЧИВАЕТ:

  • пассивную защиту - при обнаружении запрещенной сетевой активности система фиксирует действия в регистрационном журнале и отправляет сообщение на консоль администратора, e-mail сообщение, сообщение на пейджер;
  • активную защиту - при обнаружении запрещенной сетевой активности система сбрасывает соединение с адресом, являющимся источником угрозы и модифицирует правила фильтрации межсетевого экрана (маршрутизатора) таким образом, чтобы запретить доступ с этого адреса.

          В настоящее время известно более чем 250 различных типов атак, построенных на недочетах в реализации протоколов транспортного и прикладного уровней стека TCP/IP. Атаки такого типа могут быть проведены как внешним по отношению к корпоративной сети пользователем, так и сотрудником организации, вследствие чего межсетевой экран не всегда может защитить от подобной атаки. Система AbirNet SessionWall-3 работает как анализатор протокола, помещенный в отдельный критичный сегмент (требующий защиты повышенной надежности) и занимающийся декодированием всей информации, передаваемой по сети. Полученные анализатором данные сравниваются с базой данных сигнатур атак (постоянно обновляется фирмой разработчиком) и в случае совпадения данных из сети и из базы данных, система принимает решение о том, что в сегменте проводится атака на стек TCP/IP какой либо серверной платформы. Система может активно реагировать на атаку, динамически .управляя маршрутизаторами, имея возможность отключить атакующий адрес от доступа в сегмент. Особенностью системы AbirNet SessionWall-3 является наиболее полная база данных атак, и ежемесячное обновление базы данных сигнатур атак и вирусов.

 СПЕЦИФИКАЦИЯ

Минимальные требования для установки

Операционная система: Windows 95 или Windows NT 4.0
(может выполняться как NT сервис)
Платформа: Intel Pentium, 100 MHz или быстрее
Память: 32МБ (64МБ рекомендуется)
Дисковое пространство: свободное пространство 100МБ
Сетевой интерфейс: 1 или более Ethernet, TR, FDDI
Дополнительно: CD-ROM
 

 Заключение

          По всем выше рассмотренным вопросам и продуктам (кроме изделий ISS) специалисты ООО “Конфидент” обладают исчерпывающей информацией и готовы оказать комплекс услуг от установки до консультирования и сопровождения.


DigitalSecurity, © 2003