Network Flight Recorder NID
Система обнаружения атак на уровне дата NFR NID (Network Flight Recorder) ориентирована на компании малого и среднего размера. Сенсоры функционируют под управлением ОС OpenBSD, которая автоматически устанавливается с одного из двух CD, входящих в комплект поставки NFR.При этом также устанавливается и сам сенсор. На втором CD находится консоль управления, функционирующая на платформе Windows NT. Одним из достоинств этой системы является язык N-code для описания атак других контролируемых сетевых действий.
Главный недостаток NFR NID — малое число обнаруживаемых сигнатур. Данная задача возлагается на пользователя системы или на стороннего консультанта, в качестве которого может выступать, например, компания L03. Система NFR (Network Flight Recorder) имеет две модификации — коммерческую и исследовательскую. Аналогично Shadow, система NFR использует модифицированную версию libpcap. Однако она в отличие от Shadow она отграничивается анализом заголовков, т. к. осуществляет повторную сборкуфрагментированных пакетов.
Другие решения NFR
Кроме указанной разработки, компания NFR (http://www.nfr.com) предлагает еще два продукта в области обнаружения атак — NFR НID (NFR Hot Intrusion Detection) и NFR Secure Log Repository. Первая система ориентирована на анализ журналов регистрации и в настоящий момент только готовится к выпуску, а вторая — предназначена для защищенного хранения журналов регистрации и управления ими.
Другие решения
Centrax
Система Centrax была разработана компанией Centrax Corporation и вначале называлась Entrax, но в марте 1999 она была куплена компанией Cybersafe Corporation и переименована в Centrax.
Данное решение относится к классу гибридных и позволяет обнаруживать атаки как в журналах регистрации, так и в сетевом трафике, направленном на контролируемый узел. В качестве узлов, на которых могут быть установлены агенты Centrax, могут выступать компьютеры с ОС Windows NT или Solaris. Помимо функций обнаружения атак система Centrax обладает некоторыми зачатками системы анализа защищенности и может контролировать такие компоненты и параметры, как конфигурацию входа в систему, парольную подсистему, конфигурацию хранителя экрана, настройки учетных записей и параметров системы, влияющих на защищенность.
BlackICE
Семейство BlackICE компании Network ICE Corporation (http://www. networkice.com), которую, как уже было сказано выше, в конце апреля 2001 года купила компания ISS, включает в себя несколько компонентов.
q BlackICE Agent for Workstation и Agent for Server — это продукт, объединяющий в себе возможности персонального межсетевого экрана и системы обнаружения атак, защищающих конкретный компьютер, а не всю сеть в целом. В настоящий момент BlackICE Agent доступен для ОС Linux, Solaris и Windows 9x/NT. Необходимо отметить, что данный продукт не контролирует журналы регистрации ОС, приложений или СУБД, как, например, это делает RealSecure Server Sensor.
q BlackICE Sentry и Sentry Gigabit — система обнаружения атак в сетевом сегменте Fast Ethernet или Gigabit Ethernet.
q BlackICE Guard — средство обнаружения и блокирования сетевых атак. Его отличие от решений других компаний в том, что обычно системы обнаружения атак работают по принципу пассивного анализа сетевого трафика, в то время как BlackICE Guard устанавливается на входе в корпоративную сеть и весь входящий/исходящий сетевой трафик обязательно проходит через него, что позволяет не только выявлять, жо и не пропускать атаки в сеть.
q ICEcap — консоль управления.
Сила BlackICE в алгоритме анализа сетевого трафика, который был подробно описан в главе 6. Но данная система обладает и некоторыми недостатками и особенностями. Изначально компания Network ICE ориентировалась на защиту настольных компьютеров и свою стратегию она попыталась перенести на сетевые компоненты. Именно поэтому, как отмечают многие специалисты [Ruiul-01], решения в области обнаружения атак семейства BlackICE не лучшим образом справляются со своими задачами в крупных сетях. BlackICE очень красиво отображает сигналы тревоги, но этой системе недостает подробного освещения дополнительной информации относительно нападения. Например, она регистрирует адрес источника, но не адрес цели атаки.
Добавление решений по защите настольных компьютеров компании Network ICE к решениям компании ISS позволит последней еще больше оторваться от своих ближайших конкурентов в области обнаружения атак.
Dragon
Компания Enterasys Networks (http://www.enterasys.com/ids/) предлагает семейство средств обнаружения атак Dragon, которое было разработано компанией Network Security Wizards, позже приобретенной Enterasys.
Данное семейство состоит из нескольких продуктов.
q Dragon Sensor — система обнаружения атак на уровне сети, функционирующая под управлением операционных систем Linux, OpenBSD, FreeBSD, HP UХ и Solaris и в сетях Ethernet, Fast Ethernet, Token Ring, FDDI, Gigabit Ethernet и ATM.
q Dragon Squire — система обнаружения атак путем анализа журналов perистрации различных приложений и устройств. Этот продукт поддерживает те же ОС, что и Dragon Sensor, и уже был описан выше.
q Dragon Server — консоль управления всеми компонентами семейства Dragon.
По мнению многих специалистов, Dragon, как и Snort, может быть оченьсерьезным подспорьем при обнаружении атак. Но только в грамотных руках. Эти продукты не помогут новичкам, делающим только первые шаги в области идентификации подозрительной сетевой активности [Ruiul-01].
Вrо
Система Вrо является исследовательским проектом Lawrence Livermore National Laboratory. Эта разработка направлена на достижение следующих цёлей:
q анализ состояния системы обнаружения атак при высокой нагрузке, позволяет проверить, как она реагирует на большой объем обрабатываемых данных;
q реагирование в реальном режиме времени;
q модульная архитектура, позволяющая разделить модули, отвечающие фильтрацию данных, обнаружение атак и ответные действия;
q добавление своих собственных атак;
q способность пресечения атак, направленных на саму систему обнаружения атак.
Система Вrо, как и другие средства обнаружения атак на уровне сети, использует для захвата и фильтрации данных библиотеку libpcap. Существующая версия Вrо поддерживает только 4 сетевых приложения: finger, FTP, portmapper и Telnet. Добавление дополнительных приложений осуществляется простым созданием нового класса C++.