Производство Оборудование
Программный продукт Symantec Intruder Alert (ITA) является достойным представителем класса IDS системного уровня (host-based), построенных на технологии интеллектуальных программных агентов. Выявление локальных и удаленных атак осуществляется путем анализа журналов регистрации событий системного и прикладного ПО. Отличительными чертами этой системы являются гибкость, масштабируемость и простота администрирования. ITA может быть легко интегрирован практически с любыми типами приложений.
Выявление атак и реагирование на них осуществляется в реальном времени, при этом предусмотрено 14 вариантов действий по автоматическому реагированию на атаки. Значительное количество предопределенных политик бе-зопасности сочетается с возможностью создания собственных политик без программирования. В составе ITA имеются программные агенты для 35 различных программно-аппаратных платформ, включая различные версии ОС UNIX, Windows и NetWare.
По широте охвата платформ продукт не имеет себе равных. ITA построен на распределенной трехкомпонентной архитектуре Агент – Менеджер — Консоль. Все компоненты ITA взаимодействуют между собой по защищенному клиент-серверному протоколу — razgovorodele.ru. Аутентификация между компонентами и выработка сеансовых ключей осуществляется по алгоритму Диффи-Хелмана. Защита сеанса связи осуществляется путем использования алгоритма шифрования с 400-битными ключами. Средства управления ITA представлены двумя графическими приложениями: ITA Admin и ТТА View. Приложение ITA Admin предназначено для управления компонентами системы, создания и настройки политик безопасности, определяющих правила выявления и реагирования на подозрительную активность. При помощи приложения IT A Admin администратор безопасности может осуществлять следующий набор действий по администрированию системы выявления атак:
— объединять агентов в домены;
— создавать политики безопасности и применять их на контролируемых доменах;
— загружать новые политики безопасности с Web-сервера компании Symantec;
— экспортировать политики безопасности в файлы экспорта;
— настраивать параметры программных агентов;
— подключать дополнительные источники данных для анализа программными агентами;
— определять привилегии пользователей ITA и осуществлять распределение административных ролей по управлению системой выявления атак.
ITA View является средством просмотра регистрационной информации об атаках и других подозрительных событиях, зарегистрированных агентами ITA согласно установленным правилам политики безопасности. Данное средство позволяет выполнять запросы к базе данных ITA, содержащей консолидированные данные обо всех контролируемых системах, а также, на основании результатов запроса, формировать отчеты, представленные в различных графических форматах; Центральным компонентом системы выявления атак является ITA Manager. Он осуществляет управление, подключаемыми к нему агентами, получая от них информацию о состоянии контролируемых объектов, поддерживает список доменов и активизированных на них политик безопасности и управляет базой данных безопасности. База данных безопасности содержит консолидированные данные о нарушениях безопасности, происходящих на контролируемых объектах.
В ОС UNIX ITA Manager реализован в виде демона. Он представляет собой службу в ОС Windows NT и NLM-модуль и ОС NetWare.
ITA Agent является «рабочей лошадкой» системы выявления атак, выполняющей одновременно функции сенсора, анализатора и средства реагирования на атаки. Он осуществляет сбор и анализ данных аудита безопасности из различных источников с использованием сигнатур атак, задаваемых правилами политик безопасности ITA. В случае выявления в составе исходных данных сигнатуры атаки предпринимается набор действий, предписываемый соответствующим правилом.
Выявление и реагирование на атаки осуществляется в реальном масштабе времени по специальным алгоритмам. Для каждой поддерживаемой ОС используются собственные источники информации аудита. В системах UNIX и Windows NT регистрация событий, связанных с безопасностью, осуществляется при помощи стандартных средств регистрации системных событий и средств аудита безопасности (syslog, wtmp, process accounting, btmp, подсистема С2 и т.п. в ОС UNIX и системный журнал, журнал приложений и журнал безопасности в ОС Windows NT — razgovorodele.ru). Сенсорные модули ITA Agent с определенной периодичностью сканируют файлы системных журналов и журналов аудита, осуществляют чтение данных аудита и их преобразование в свой внутренний формат. В NetWare сенсорные модули ITA Agent самостоятельно регистрируют и обрабатывают данные о событиях, получая эту информацию непосредственно от ядра ОС.
