Система защиты серверов Entercept и семейство обнаружения атак RealSecure

Система защиты серверов Entercept 2.5

Программное обеспечение Entercept разработано исключительно для защиты публичных серверов. Это существенно отличает его от других рассматриваемых продуктов, поскольку для защиты сервера требуется более глубокий уровень защиты, чем периметровая. Entercept работает непосредственно с операционной системой сервера и позволяет проверять корректность запросов и вызовов API прежде, чем они достигают различных уровней операционной системы и ядра. Функционирует как программный агент, сравнивающий все запросы к серверу с базой сигнатур атак.

База сигнатур атак регулярно обновляется производителем, обновления становятся доступны сразу после идентификации новых видов атак. Кроме того, имеется механизм предотвращения нападений основанный на наборе поведенческих правил (все, что не похоже на норму является атакой). Защита от атак типа переполнение буфера — стандартная опция Entercept, направленная на предотвращение выполнения произвольного кода в ходе такой атаки. Несмотря на кажущуюся сложность Entercept прост в инсталляции.

Имеется два вида агентов: для операционной системы и для сервера. В каждом агенте прописывается адрес консоли управления и местонахождения разделяемого файла с ключами шифрования для защиты управляющий сессий между агентом и консолью управления. Консоль управления имеет понятный и простой интерфейс пользователя с кнопками управления. Все события, зарегистрированные агентами» представляются в одном окне. Установленные агенты представлены в виде пиктограмм с указанием их состояния. Имеется возможность создания групп агентов для упрощения администрирования. Агент имеет два режима работы: «предупреждение», которое регистрирует нападения, и «защиту», которая предотвращает их — razgovorodele.ru. Когда категория нападения идентифицирована, Entercept использует политику реагирования, для определения возможных действий. Для режима работы агентов защита Entercept может осуществлять блокирование, регистрацию или игнорирование попытки атаки, для режима предупреждение доступна только функция регистрации нападения.

База данных сигнатур атак, идентифицирующая известные способы нападения регулярно модифицируется путем автоматической загрузки с сайта производителя. Каждая сигнатура сопровождается заданным по умолчанию производителем уровнем (политикой) безопасности, и модифицирована регулярно через автоматические загрузки. Пользователь может изменять заданные для сигнатуры политики.

Благодаря интуитивному интерфейсу, Entercept был быстро настроен и показал устойчивую работу. Проверялось блокирование действий троянца GirlFriend, атаки UniCode, попытки получения дампа паролей при помощи утилиты LOphtCrack. Entercept не имеет никаких средств межсетевой защиты для рабочих станций, но весьма эффективно обеспечивает защиту сервера. Таким образом, область его применения — защита серверов, находящихся в демилитаризованной зоне межсетевого экрана.

Семейство обнаружения атак RealSecure

Сенсоры обнаружения атак RealSecure разработаны американской компанией Internet Security Systems, Inc. и предназначены для обнаружения несанкционированной деятельности и нарушений политики безопасности компании. Сенсоры RealSecure позволяют обнаруживать атаки и злоупотребления, направленные на узлы корпоративной сети. Системы, входящие в это семейство, ориентированы на защиту как целых сетевых сегментов, построенных на базе технологий Ethernet, Fast Ethernet, FDDI, TokenRing и Gigabit Ethernet, так и на защиту конкретного узла корпоративной сети, функционирующего под управлением ОС Windows 2000, Windows NT, Solaris, linux, HP UX и AIX.

Сенсоры RealSecure одинаково эффективно обнаруживают как внешние атаки, так и внутренние злоупотребления, направленные на сервера приложений, Web-сервера, базы данных, рабочие станции, маршрутизаторы, межсетевые экраны и т.д. Как только атака распознается, применяется один из мно-жества вариантов реагирования:

— регистрация событий безопасности в базе данных;
— уведомление администратора об атаке по e-mail, пейджеру, телефону или факсу;
— звуковое оповещение администратора об атаке;
— генерация управляющих SNMP-событий на систему сетевого управления;
— завершение атаки с атакующим узлом;
— блокирование учетной записи злоумышленника;
— сбор доказательств несанкционированной деятельности злоумышленника;
— отслеживание злоумышленника (в т.ч. и через сеть Internet — razgovorodele.ru);
— реконфигурация межсетевых экранов и сетевого оборудования;
— создание собственных обработчиков зафиксированных событий.

Распределенная архитектура семейства RealSecure позволяет устанавливать его компоненты таким образом, чтобы обнаруживать и предотвращать атаки на сеть как изнутри, так и снаружи.