ГлавнаяКаталог продукцииEnterasysПрограмное обеспечение Enterasys

Система обнаружения вторжений Dragon

Система обнаружения вторжений Dragon
Part № Dragon IDS

Система Dragon IDS включает в себя следующие компоненты:

  • Сетевой сенсор, который обеспечивает защиту на сетевом уровне с использованием метода сигнатур, осуществляя мониторинг протоколов и определяя подозрительные аномалии в содержимом пакетов сетевого трафика.
  • Хост-сенсор, защищающий компьютер и установленные на нем приложения с помощью мониторинга операционной системы (системные log-файлы) и приложений, используя различные техники. При своей работе этот сенсор оказывает минимальное влияние на работу приложений и всей системы в целом там, где он установлен, требует небольшой объем оперативной памяти (Windows NT ~ 3 Мбайт) и занимает мало места на жестком диске (начиная с нескольких Кбайт) для записи log-файлов. Хост-сенсор поставляется в виде отдельного программного продукта для следующих операционных систем: Windows NT/2000/XP, Linux, Solaris (Sparc) и AIX.
  • Сервер Dragon предназначен для управления системой обнаружения вторжений и выполняет следующие основные функции:
    • Policy Management – централизованное управление сенсорами и их контроль с возможностью изменения конфигурации и политик защиты;
    • Security Information Management – централизованное получение информации для просмотра событий в реальном времени, последующего их анализа и получения отчетных данных;
  • Компонент Event Flow Processors осуществляет сбор и консолидацию событий в иерархической структуре системы обнаружения вторжений.

 

Архитектура Dragon IDS является гибкой и позволяет использовать каждый из своих компонентов в различных конфигурациях и комбинациях друг с другом.

Dragon использует три метода для определения подозрительной активности. Первый - метод сигнатур, которые программируются для сенсоров и сравниваются с получаемыми log- сообщениями. Таким образом, если атака произошла, то она сразу будет определена. Существуют атаки, которые не удается обнаружить только с помощью log-сообщений, поступающих от хост- сенсора. Для этого анализируются еще сообщения от сетевого сенсора. Второй, сенсоры программируются для определения аномалий, которые похожи на атаки взломщиков. Эти аномалии неточно отражают саму технику взлома, но все же высокоэффективны для определения атак типа сканирования портов, сетевых зондов, переполнения буферов и отказа в сервисе. Третий тип – все сенсоры могут определять возникшие отклонения при попытках обхода защиты. Эти отклонения включают: использование неавторизованных сетевых сервисов, запущенные приложения с необычными номерами портов и регистрационные записи межсетевых экранов о запрете сетевых сессий.

Хост-сенсор может осуществлять мониторинг log-сообщений приложений таких, как почтовый сервер, веб-сервер, DNS-сервер и FTP-сервер. Это важно, поскольку все эти серверы являются мишенью для атак, а их log-сообщения, которые вырабатываются в момент атаки, содержат много полезной информации, используемой для обнаружения вторжений.

Для сенсоров имеется возможность создавать свои собственные сигнатуры для приложений, которые нуждаются в дополнительном мониторинге.

Помимо приложений хост-сенсор может также просматривать log-сообщения межсетевых экранов, сообщения от маршрутизаторов или от любого другого устройства, которое поддерживает протокол SNMP или SYSLOG. Для маршрутизаторов и межсетевых экранов, которые не имеют локальной операционной системы для установки сенсора, используются назначенные syslog- серверы, на которые устанавливаются хост-сенсоры.


Наши проекты:
 
Juniper Networks
J-Link

Главная