Online Scanner и Desktop Scanner

Данные системы предназначены для анализа защищенности домашних пользовате­лей, подключающихся к internet-банку или internet-порталу. Сис­темы Online Scanner илиDesktop Scanner выполнены в виде ActiveX- или Java-кода, который загружается на компьютер пользователя и осуществляет все необходимые проверки. При этом от пользователя не требуется выполнения каких-либо действий, кроме нажатия одной кнопки на HTML-странице Web-сервера internet-банка. Отличие Online Scanner от Desktop Scanner в способе генерации выходной информации обо всех обнаруженных уязвимостях. Online Scanner (http://onlinescanner.iss.net)создает такой отчет только на том компьютере, на котором он запускается, и полученные в ре­зультате отчеты не доступны никому, кроме владельца компьютера. Тем са­мым обеспечивается за­щита от недобросовестных сотрудников internet-банка. Desktop Scanner обладает возможностью централизованной генерации отчетов и автоматического устранения обнаруженных уязвимостей.

RealSecure

Система RealSecure позволяет обнаруживать враждебную по отношению к вашей корпоративной сети деятельность и распознавать атаки на ее узлы.RealSecure по­строена с опорой на технологию анализа сетевых пакетов. В реальном масштабе времени и технологию анализа журналов регистрации на узле. Данное решение ори­ентировано на защиту как целого сегмента корпо­ративной сети, так и на защиту конкретного ее узла. Система RealSecure одинаково эффективно обнаруживает как внешние атаки, так и внутренние злоупотребления, направленные на серверы при­ложений, Web-серверы, ба­зы данных, рабочие станции, маршрутизаторы, межсете­вые экраны и т. д.

Система состоит из четырех компонентов, отвечающих за об­наружение атак и реагирование на них. RealSecure Network Sensor устанавливается на кри­тичный сегмент сети и обнаруживает атаки и злоупотребления путем "прос­лушивания" сетевого трафика. RealSecure OS Sensor запускается на контро­лируемом узле и путем анализа журналов регистрации ОС, СУБД или приложений отслежи­вает несанкционированную деятельность, осуществляемую на данном узле. RealSe­cure Server Sensor объединяет в себе возможности сетевого и системного сенсоров и позволяет обнаруживать все атаки (то есть на всех уровнях), направленные на конкретный узел сети. RealSecure for Nokia является программно-аппаратной реали­зацией сетевого сенсора. Компонент RealSecure Manager отвечает за настройку и сбор информации от сенсоров RealSecure. Управление сенсорами системы RealSe­cure возможно также осуществлять при помощи дополнительных модулей, подклю­чаемого к системам сетевого управления НP OpenView (RealSecure Manager for OpenView) и Tivoli (RealSecure Manager for Tivoli). Помимо указанных вари­антов управления сенсорами системы RealSecure компания Internet Security Systems предлагает еще один — утилиту Sensor Manager, которая позволяет выполнять все действия, доступные для WorkGroup Manager и любой Java| совместимой ОС (рис. 8.29).

RealSecure OS Sensor может функционировать под управлением операционных систем Windows NT, Windows 2000, Solaris, HP UX и AIX. RealSecure Network Sensor способен обнаруживать атаки в сетях TCP/IP, SMB/NetBIOS, построенных на базе Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring и FDDI.

SAFESUITE DECISIONS

Достаточно новым направлением в области информационной безопасности является создание средств, интегрирующих в себе возможности управления разнородными средствами защиты информации, используемыми в организации. Система SAFEsuite Decisions позволяет собирать, анализировать и обобщать сведения, получаемые от различных средств защиты информации, установленных в различных точках сети. Кроме того, при помощи этого мощного и уникального средства можно прогнозировать изменение уровня защищенности сети с течением времени. К поддерживаемым в текущей вер­сии средствам можно отнести: все продукты компании ISS и межсетевые экраны Check Point Firewall-1 и Gauntlet (и как следствие, российские меж­сетевые экраны "Пандора" и "Застава-Джет", разработанные на базе Gauntlet). Кроме того, существует программный интерфейс (SDK), который позволяет подключать к SAFEsuite Decisions и любые другие межсетевые экраны и средства обнаружения атак.

Cisco Systems

Практически все выпускаемые компанией Cisco (http://www.uisco.com)сред­ства защиты были разработаны не в ее стенах. Технологии, примененные в межсетевом экране Cisco Secure Pix Firewall, были заложены Translation Networks Inc., а базовые принципы систем обнаружения атак и анализа за­щищенности Cisco Secure IDS и Cisco Secure Scanner — WheelGroup. O6f эти компании были приобретены компанией Cisco. Однако правильная по­литика позволила "не потерять" данные продукты, и почти все они сейчас входят в решение Cisco SAFE. Несмотря на наличие в России большого числа авторизованных компанией Cisco Systems учебных центров и сетевых академий, в них не преподаются курсы Cisco по сетевой безопасности. Только учебный центр компании Diamond Communications проводит обучение по курсу "Обеспечение безо­пасности в сетях передачи данных на базе оборудования компании Cisco Systems", который создан на основе курса компании Cisco Systems "Managing Cisco Network Security v l.0". Текущая версия программы этого курса, рас­сматривающего и вопросы обнаружения атак и анализа защищенности — 2.0 (на момент написания книги в названном учебном центре новая программа пока не читалась).

Cisco Secure Scanner

Много говорить о системе Cisco Secure Scanner, ранее известной как NetSonar, нет необходимости. Этот продукт не рассматривается в качестве серьезного конкурента ни одним из производителей средств анализа защищенности. Даже сама компания Cisco Systems не делает ставку на это решение, макси­мальное внимание уделяя системе Cisco Secure IDS. Cisco Secure Scanner изначально функционировал только под управлением ОС Solaris (х86 и SPARC), но в текущей версии (2.0) стал также поддерживать и Windows NT (рис. 8.30). Одним из уже упоминаемых достоинств системы Cisco Secure Scanner является возможность создания собственных проверок. Однако с проверками связан и недостаток данной системы. Как это не парадоксально звучит, но Cisco Secure Scanner не имеет в своем составе проверок ни меж­сетевых экранов (в частности, Cisco Secure Pix Firewall), ни ОС Cisco IOS.

Как я уже упомянул, компания Cisco не делает ставку на данный продукт, наверное, именно по этой причине частота выхода обновлений базы данных уязвимостей для него оставляет желать лучшего (был "момент", когда между выпусками таких обновлений прошло более 12 месяцев).

Cisco Secure IDS

Семейство Cisco Secure IDS, ранее известное как NetRanger, состоит из нескольких компонентов:

q устройства серии Cisco Secure IDS 4000;

q платы Cisco Catalyst 6000 IDS Module;

q расширения ОС Cisco IOS — Cisco Secure Integrated Software (Cisco IOSFirewall Feature Set);

q Cisco Secure Policy Manager;

q Cisco Secure IDS Director.

Первые три компонента отвечают за обнаружение атак, реализуемых на уровне сети, и реагирование на них, а последние два — за управление этими средствами. В свою очередь, серия Cisco Secure IDS 4000 состоит из двух программно-аппаратных комплексов, использующих защищенную версию ОС Solaris — Cisco Secure IDS 4210 и 4230. Первый предназначен для среднескоростных сетей, до 45 Мбит/с, а второй — для высокоскоростных, до 100 Мбит/с. Сенсоры серии Cisco Secure IDS 4000 поддерживают сетевые архитектуры Ethernet, Fast Ethernet и FDDI. Уникальными компонентами данного семейства являются модуль, встраиваемый в коммутатор Catalyst 6000, и расширение операционной системы маршрутизаторов Cisco, что по­зволяет применить механизмы обнаружения атак на большинстве сетевых устройств, используемых на сегодняшний день в мире. Плата Cisco Catalyst 6000 IDS Module, ранее имевшая название Cisco Secure IDS blade, дает воз­можность контролировать одновременно несколько VLAN, что является по­ка недосягаемой мечтой для многих производителей. Однако данное реше­ние не имеет возможности активного реагирования, например, реконфигурирования сетевого оборудования или разрыва соединения с атакующим узлом. Основное отличие Cisco Secure IDS 4000 от Cisco Catalyst 6000 IDS Module и Cisco Secure Integrated Software состоит в количестве обнаруживаемых сигнатур. В главе 6 уже упоминалось, что попытка совместить маршрутизируюшие или коммутирующие функции с защитными механизмами негативно сказывается на производительности сетевого оборудования. Именно поэтому расширения сетевого оборудования Cisco обнаруживают только 59 простых сигнатур.

Управление всеми сенсорами может быть осуществлено как с собственной консоли управления системы обнаружения атак, называемой Cisco Secure IDS Director, так и с единой консоли управления средствами защиты ком­пании Cisco Systems — Cisco Secure Policy Manager (начиная с версии 2.2). В том случае, если используется собственная консоль, необходимо дополнительно приобретать HP OpenView Network Node Manager (не ниже версии 4.11), который не входит в поставку Cisco Secure IDS, т. к. Director является встраиваемым в OpenView модулем (plug-in). При этом управление сенсора­ми доступно только для ОС HP UX или Solaris SPARC. Кроме того, допол­нительных затрат требует приобретение Netscape Navigator 2.0 и СУБД Ora­cle 8 для расширенной обработки событий журналов регистрации. Для уп­равления сенсорами из-под Windows NT необходимо использовать Cisco Secure Policy Manager (рис. 8.31).

Одним из достоинств консоли Cisco Secure IDS Director является возмож­ность построения многоуровневых схем управления, позволяющих ей обме­ниваться данными не только с сенсорами, но и с другими консолями, как это было описано выше. Однако при выборе Cisco Secure IDS следует учи­тывать, что в отличие от многих других производителей компания Cisco тре­бует денег за каждую копию консоли управления Cisco Secure IDS Director.

Symantec

Компания Symantec совсем недавно стала полноправным игроком рынка средств обнаружения атак. Произошло это после покупки двух компаний: L3 Network Security и Axent. Первая известна своими системами анализа защищенности Expert и Retriever, а вторая — разработками в области средств информационной безопасности, из которых нам наиболее интересны системы анализа защищенности Enterprise Security Manager и NetRecon, а также системы обнаружения атак Intruder Alert и NetProwler.

Intruder Alert

Система обнаружения атак Intruder Alert (ITА) предназначена да контроля журналов регистрации и состоит из четырех компонентов.

q ITA Administrator — утилита для настройки агентов, создания и применения шаблонов и выполнения других административных действий (рис. 8.32). Достоинство данной утилиты заключается в возможности за­дания и гибкой настройки различных прав администраторов IТА, что отсутствует во многих других продуктах.

q ITА Event Viewer — утилита для просмотра событий, получаемых от аген­тов. ITA Event Viewer и ITA Administrator — это два разных приложения, которые необходимо запускать параллельно, чтобы иметь возможность настраивать агенты и получать данные от них. С помощью ITA Event Viewer можно создавать достаточно сложные запросы к базе данных со­бытий, зафиксированных агентами.

q ITA Manager — управляющий компонент, отвечающий за взаимодействие агентов, консоли администратора и утилиты просмотра событий. Данный компонент хранит все события, получаемые от агентов, и именно к нему обращается ITA Event Viewer. Может функционировать под управлением ОС Unix или Windows NT.

q ITA Agent — агент, осуществляющий контроль действий в соответствии с заданными шаблонами. Функционирует под самыми распространенными ОС: Unix, Windows NT или NetWare. В качестве источника данных агент ІТА может оперировать журналами регистрации не только операционных систем, но и Web-серверов (Apache, NCSA, IIS), маршрутизаторов Cisco и т. д.

Однако необходимо отметить, что Intruder Alert не имеет единой консоли управления с системой обнаружения атак уровня сети NetProwler — вcя интеграция осуществляется при помощи SNMP.

NetProwler

О системе NetProwler, которая должна была объединить в себе возможности обнаружения атак на уровне сети и узла, было впервые заявлено в 1998 году. Однако при создании такой системы возникли некоторые трудности, и в 1999 компания Axent Technologies приобрела компанию Internet Tools вместе с разработанной ею системой ID-Trak, функционирующей на уровне сети. Система NetProwler построена по трехуровневой схеме — "сенсор - сервер управления - консоль" и поддерживает две сетевые архитектуры — Ethernet, Fast Ethernet. Компоненты Agent и Manager (сервер управления) функционируют под ОС Windows NT, а консоль управления — дополнительно на платформе Windows 2000 (рис. 8.33).

NetProwler обладает двумя главными достоинствами — механизмом создания своих собственных атак ASD, который был описан выше, и механизмом предварительного сканирования Profiler. Последнее средство позволяет перед началом эксплуатации NetProwler просканировать все узлы в контролируемом сегменте и идентифицировать установленные на них ОС. После этого NetProwler автоматически "включает" только те сигнатуры, которые присущи, данным ОС и которые могут быть зафиксированы в сетевом сег­менте. Этот механизм существенно облегчает работу администратора безо­пасности. Однако справедливости ради необходимо отметить, что реализо­ван Profiler не вполне правильно, т. к. нет возможности изменить результа­ты его работы. Если по каким-то причинам идентифицировать тип и версию операционной системы не удалось, то NetProwler будет функционировать некорректно. Этот же механизм позволяет контролировать не весь сетевой трафик в сегменте, как это делают все системы обнаружения атак уровня сети, а только для тех узлов, адреса которых заданы в Profiler.