Затаившийся DRAGON

IDS-СИСТЕМЫ

Компания Enterasys Networks (www.enterasys.ru) выпустила новую версию системы обнаружения несанкционированного доступа (Intrusion Detection System, IDS) Dragon. Эта система представляет собой набор решений по обнаружению несанкционированного доступа и защите коммуникационных инфраструктур. Она образует фундамент разработанной Enterasys архитектуры Secure Harbour - единой архитектуры информзащиты для корпоративных сетей.

В семейство Dragon входят три продукта: Dragon Sensor, Dragon Squire и Dragon Server.

Dragon Sensor позволяет отслеживать попытки несанкционированного доступа в высокоскоростных сетях.

Dragon Squire обнаруживает атаки на локальный сервер. Система работает с ОС Windows и UNIX и выявляет атаки на основании анализа записей в журналах аудита и системных событий, а также следит за целостностью ключевых системных файлов при помощи стандарта шифрования MD5. Кроме того, Dragon Squire обеспечивает мониторинг брандмауэров, маршрутизаторов и систем обнаружения несанкционированного доступа через протокол SNMP и перенаправление журналов SYSLOG. Кроме того, Squire обнаруживает попытки несанкционированного доступа к приложениям, которые чаще других подвергаются атакам или более уязвимы к ним: почтовым серверам, FTP-серверам и веб-серверам, в том числе и к Microsoft Internet Information Server.

Так работает Dragon - система обнаружения несанкционированного доступа

Dragon Server объединяет все функции системы Dragon посредством централизованного и защищенного управления и составления отчетов. Компонент Dragon Policy Manager обеспечивает групповое сопровождение систем Sensor и Squire и позволяет конфигурировать системы и обновлять сигнатуры в масштабе предприятия. Мощные аналитические инструменты Dragon позволяют соотносить данные журнальных файлов со сведениями об известных уязвимостях, нарушителях, а также о цели, исходной точке и времени атаки. Это дает информацию, необходимую для принятия решений по активизации и мобилизации специалистов, ответственных за ликвидацию последствий и предотвращение несанкционированного доступа.

Семейство продуктов Dragon не только обеспечивает комплексное обнаружение несанкционированного доступа на уровне сети или сервера (Dragon Sensor и Dragon Squire), но и расширяет границы применения систем защиты благодаря своей способности следить за работой брандмауэров, маршрутизаторов и IDS-систем.

Dragon 5.0 обнаруживает попытки несанкционированного доступа в любой точке корпоративной сети, от брандмауэра до веб-сервера, снижая риск хакерского вторжения, проникновения сетевых червей или атаки киберпреступников.

Внутренняя архитектура пятой версии Dragon обладает повышенной масштабируемостью и гибкостью. В тесном сотрудничестве с клиентами и поставщиками услуг управляемой защиты данных Enterasys разработала новую архитектуру, подходящую для крупномасштабных систем обнаружения несанкционированного доступа. Это, в частности, предполагает исчерпывающую настройку системы мониторинга сложных сетевых приложений самим клиентом в соответствии с его потребностями, а также контроль трафика на гигабитных скоростях.

Вице-президент Enterasys по продуктам IDS Рон Гула утверждает, что компания “разработала для Dragon 5.0 уникальную архитектуру, которая позволяет масштабировать систему для работы с несколькими сотнями сетей и узлов. Благодаря этой возможности Dragon идеально подходит для крупных предприятий и MSSP”.

Dragon удовлетворяет потребностям крупных корпораций в мониторинге разветвленных высокоскоростных сетей. В то же время он представляет собой масштабируемый и централизованно управляемый продукт, подходящий для развивающегося рынка MSSP - поставщиков услуг управляемой защиты данных. Грядущий выпуск системы IDS для организаций среднего масштаба увеличит число клиентов Enterasys и позволит этой компании укрепиться на рынке IDS.

Недавно благодаря комплексному подходу Dragon к защите на уровне сети и сервера пользователям этой системы удалось вовремя обнаружить новых червей Code-red и Nimda и защититься от них. Система Dragon Sensor перехватила этих червей в тот момент, когда они расходились по сети в поисках новой системы, которую можно было бы заразить. При попытке проникновения на сервер система Dragon Squire выявила и запротоколировала подробности этой атаки. Проведя корреляцию данных при помощи Dragon Server, клиенты получили список инфицированных и атакованных серверов, что позволило им установить, какие системы пострадали, а какие нет. Благодаря этому была получена важная информация, необходимая для планирования мероприятий по устранению последствий атаки.