19.09.2001, среда

 

RealSecure

Система RealSecure, разработанная компанией Internet Security Systems, Inc., обеспечивает автоматизированное обнаружение и реагирование в реальном режиме времени на атаки, направленные на узлы корпоративной сети. Система RealSecure одинаково эффективно обнаруживает как внешние атаки, так и внутренние злоупотребления, направленные на сервера приложений, Web-сервера, базы данных, рабочие станции, маршрутизаторы, межсетевые экраны и т.д.
Система RealSecure использует технологии анализа сетевых пакетов и анализа журналов регистрации. Данная система ориентирована на защиту как целого сегмента сети (network-based), так и на защиту конкретного узла (host-based) корпоративной сети.

Система RealSecure может быть использована для:
  • Обнаружения атак, позволяющих "обойти" существующие защитные механизмы. К таким атакам могут быть отнесены: сканирование портов и использование сканеров безопасности, атаки типа "подбор пароля" и "отказ в обслуживании", использование "троянских коней", несанкционированное подключение к сети и т.д.
  • Фильтрации сетевого трафика на основе заданных правил.
  • Контроля электронной почты (в т.ч. и на вирусы), передаваемой как по корпоративной сети, так и за ее пределы.
  • Контроля доступа к заданным файлам на узлах операционной системы.
  • Анализа сетевого трафика, включающего изучение информационных потоков, используемых сетевых протоколов и т.д.
  • Анализа данных от маршрутизаторов и удаленных рабочих станций под управлением Unix.

Варианты применения

Система RealSecure может быть использована:
  • Отделами защиты информации для обнаружения атак и злоупотреблений в корпоративной сети.
  • Отделами автоматизации для анализа информационных потоков и используемых сетевых протоколов.

Компоненты RealSecure

Система RealSecure состоит из нескольких компонентов. RealSecure Network Sensor устанавливается на критичный сегмент сети, и обнаруживает атаки и злоупотребления путем "прослушивания" сетевого трафика. RealSecure Server Sensor устанавливается на контролируемый узел и путем анализа журналов регистрации ОС, СУБД или приложений, а также контроля сетевого трафика обнаруживает несанкционированную деятельность, осуществляемую на данном узле и атаки, направленные на данный узел. RealSecure OS Sensor также устанавливается на контролируемый узел, но, в отличие от RealSecure Server Sensor, контролирует только журналы регистрации. RealSecure for Nokia является программно-аппаратной реализацией сетевого сенсора.

Сенсор RealSecure for Nokia - это уникальное решение, объединяющее в себе все функциональные возможности RealSecure Network Sensor и Nokia IP Network Security Solutions.

В зависимости от требований, предъявляемых заказчиком к производительности, числу сетевых интерфейсов и т.д., система RealSecure for Nokia может быть установлен на одну из трех аппаратных платформ, разработанных компанией Nokia:
  • IP330 - три 10/100 Ethernet-порта. Идеальное решение для небольших или удаленных офисов.
  • IP440 - четыре 10/100 Ethernet-порта. Решение, предназначенное для функционирования в сегментах с повышенными требованиями по обеспечению высокой доступности.
  • IP650 - четыре 10/100 Ethernet-порта. Данная платформа обладает максимальной производительностью по сравнению с другими платформами, а также возможностью "горячей замены" вышедших из строя компонентов.
Данные устройства также поддерживают FDDI, ATM, V.35/X.21, Token Ring, HSSI, T1. Кроме того, данные устройства могут поставляться с аналоговыми модемами.

Помимо функций по обнаружению атак, RealSecure for Nokia обладает большими сетевыми возможностями, включая поддержку:
  • DVMRP, IGMPv2, Multicast Tunnel;
  • RIPv1, RIPv2 (с аутентификацией);
  • OSPFv2, VRRP, IGRP, BGP4, статическая маршрутизация;
  • Управление через SSH, Telnet и SNMPv1/v2.
В системе RealSecure Server Sensor впервые интегрированы функции анализа защищенности и обнаружения атак. Текущая версия RealSecure Server Sensor обладает функцией предварительного анализа защищенности и поиска некоторых уязвимостей на контролируемом узле.

Компонент RealSecure Manager отвечает за настройку и сбор информации от сенсоров RealSecure. Помимо указанных вариантов управления сенсорами системы RealSecure, компания Internet Security Systems предлагает еще один - утилиту Sensor Manager, которая позволяет выполнять все действия, доступные для WorkGroup Manager под управлением любой Java-совместимой ОС.

В архитектуре RealSecure используется компонент Event Collector, который отвечает за взаимодействие между консолями управления и сенсорами. Этот компонент собирает от сенсоров данные обо всех зафиксированных событиях и предоставляет к ним доступ неограниченному числу консолей. Данная архитектура позволяет любой консоли получить доступ к собранным данным. Кроме того, использование Event Collector позволяет предотвратить прямое соединение консоли с каждым сенсором, что увеличивает ее производительность, а также облегчает настройку защищенности узла с установленной консолью и настройку межсетевого экрана, находящегося между консолью и сенсором.

В крупных сетях возможно использование нескольких модулей Event Collector (например, для каждого филиала компании), объединенных единой базой данных, функционирующей под управлением MS SQL Server, хранящей информацию, получаемую от сенсоров, разбросанных по всей корпоративной сети.
RealSecure Network Sensor может обнаруживать атаки в сетях TCP/IP и SMB/NetBIOS, построенных на базе Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring и FDDI. RealSecure Server Sensor может функционировать под управлением операционных систем Windows NT, Windows 2000, Solaris и Linux и контролировать не только системные журналы, но и журналы регистрации любых приложений, функционирующих под управлением этих ОС. Кроме того, RealSecure Server Sensor может обнаруживать атаки на базе протоколов TCP/IP и SMB/NetBIOS, построенных на базе любых сетевых архитектур, поддерживаемых компьютером, на который эти атаки направлены. RealSecure OS Sensor может функционировать под управлением операционных систем Windows NT, Solaris, HP UX и AIX.

Возможности RealSecure

Система RealSecure обнаруживает около 840 различных событий, включая:
  • Атаки на сети Windows;
  • Атаки через электронную почту;
  • Атаки на Web-сервера, маршрутизаторы и межсетевые экраны;
  • Атаки типа "подбор пароля" и "отказ в обслуживании";
  • Сканирование портов и использование сканеров безопасности;
  • Использование широко известных уязвимостей;
  • Использование "троянских коней";
  • Несанкционированный доступ к файлам;
  • И множество других.
Для более точной настройки системы RealSecure на работу в сетевом и системном окружении, администратор безопасности может использовать любой из более чем десяти сетевых или системных, изначально устанавливаемых шаблонов, либо создавать на их основе свои собственные шаблоны, учитывающие специфику корпоративной сети. Все созданные шаблоны могут быть сохранены для последующего использования.

Как только атака распознается, происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все команды при реализации атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом, блокирование учетной записи пользователя, осуществляющего атаку, или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Помимо названных, существуют и другие варианты реагирования на атаки, в т.ч. и создание своих собственных сценариев.

База данных сигнатур обнаруживаемых атак системы RealSecure содержит подробную информацию о каждой атаке, пошаговых рекомендациях по устранению возможности ее реализации, подверженных атаке операционных системах и т.д. Система RealSecure обладает мощной системой генерации отчетов, позволяющей создавать отчеты в удобном для понимания виде. Эти отчеты могут быть экспортированы в более 30 различных форматов представления данных (HTML, Excel, ODBC, Lotus, Word, CSV и т.д.). Вся информация в создаваемых отчетах может быть отсортирована по различным признакам (например, фильтрация событий по адресу источника или получателя, дате/времени события, названию и степени риска события, сенсору или варианту реагирования). Помимо функции фильтрации данных в отчетах, новая версия RealSecure позволяет создавать отчеты по событиям, которые произошли во время отсутствия оператора на рабочем месте или в то время, когда консоль управления была выключена.

Достоинства RealSecure

Выполнение функций межсетевого экрана
В случае нарушения функционирования межсетевого экрана система RealSecure может временно выполнять его функции, блокируя сетевой трафик по определенным параметрам (например, адресам и портам получателя и отправителя).

Запись доказательств реализованных атак
Данная возможность позволяет просматривать предварительно записанные действия, выполняемые злоумышленником при атаке. Это позволит не только понять и проанализировать действия нарушителя, но и наглядно продемонстрировать руководству организации потенциальные угрозы. Воспроизведение атаки для анализа может быть осуществлено как в реальном времени, так и с любой заданной скоростью.

Расширенный анализ журналов регистрации
RealSecure Server Sensor и OS Sensor имеют возможность анализа любого текстового или бинарного (для Unix) файла регистрации. Можно обнаруживать и контролировать не только события в Syslog (Unix) и EventLog (NT), но и любые другие события из журналов регистрации от любых приложений (СУБД, Web-сервера, межсетевые экраны, proxy-сервера и т.д.). Эта возможность позволяет RealSecure контролировать журналы регистрации маршрутизаторов, коммутаторов и других устройств, которые могут быть подвержены атакам со стороны злоумышленников.

Дефрагментация сетевого трафика
RealSecure Network Sensor и Server Sensor дополнены механизмом дефрагментации пакетов, позволяющим RealSecure обнаруживать атаки, реализуемые при помощи фрагментированных пакетов. Это позволяет устранить угрозу от специальной техники обхода систем обнаружения атак, такой как, например, используется в утилите FragRouter. Этот механизм также позволяет устранить многие другие проблемы, описанные в известной публикации "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection".

Многоуровневая защита
Вся регистрируемая информация защищается от несанкционированного ознакомления и изменения. Кроме того, сетевой сенсор RealSecure может функционировать в т.н. stealth-режиме, который не позволяет обнаружить его в сети. Тем самым обеспечивается высокая защищенность от атак на сетевой сенсор со стороны злоумышленников, пытающихся вывести его из строя.

Групповые операции над сенсорами
RealSecure WorkGroup Manager и Sensor Manager позволяют осуществлять операции над группами сенсоров (применение шаблонов, обновление сигнатур, старт и останов и т.д.). Такая возможность позволяет облегчить эксплуатацию RealSecure в крупных сетях, использующих десятки однотипных сенсоров.

Возможность обновления компонентов
В системе RealSecure реализован механизм X-Press Update, который позволят автоматически и своевременно получать обновления базы данных сигнатур атак или иных компонентов (например, новых отчетов) с Web-сервера по защищенному от несанкционированного доступа каналу. Кроме того, система RealSecure обладает механизмом обновления программного обеспечения и базы данных атак всех удаленных сенсоров с центральной консоли.

Добавление собственных контролируемых событий
Система RealSecure позволяет добавлять свои собственные контролируемые события, учитывающие специфику программного обеспечения используемого в корпоративной сети, или временно отсутствующих в системе RealSecure.

Семантическое сжатие
В системе RealSecure реализован механизм SecureLogic, который позволяет осуществлять семантическое сжатие нескольких событий безопасности в одно. Это помогает не анализировать множество взаимосвязанных событий, а видеть только событие, объединяющее все остальные.

Интеграция с другими средствами защиты
Система RealSecure позволяет в реальном режиме времени реконфигурировать межсетевые экраны (например, Check Point Firewall-1) или маршрутизаторы (например, Cisco) для блокирования несанкционированного доступа с этих адресов. Кроме того, система RealSecure может быть интегрирована с другими средствами защиты, используемыми в корпоративной сети (например, с Internet Scanner, System Scanner или SAFEsuite Decisions).

Авторизованное обучение
Возможность авторизованного обучения (на русском языке) правилам эксплуатации системы RealSecure (с выдачей международного сертификата) позволяет практически сразу после обучения применить полученные знания в реальной жизни.

О НИП "Информзащита"
НИП "Информзащита" работает в области защиты информации с 1990 года, а с 1997 года является единственным партнером компании ISS в России и странах СНГ. С 1999 года НИП "Информзащита" имеет наивысший партнерский статус ISS Solution Partner. С 1999 года НИП "Информзащита" является участником альянса Adaptive Network Security Alliance (ANSA). НИП "Информзащита" осуществляет свою деятельность на основании лицензий Гостехкомиссии России, ФАПСИ, ФСБ и Министерства Обороны.

О компании Internet Security Systems
Компания ISS лидирует на рынке предоставления решений и услуг по безопасности электронного бизнеса. Ее семейство средств адаптивного управления безопасностью сети SAFEsuite, услуги по управлению безопасностью ePatrol, консалтинговые услуги и услуги в области обучения SecureU признаны одними из лучших во всем мире. Заказчиками компании ISS являются более 5000 компаний во всем мире, в т.ч. 21 из 25 крупнейших банков США, 9 из 10 крупнейших телекоммуникационных компаний США и другие организации.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Toolbar | КПК-версия | Подписка на новости  | RSS