Network Flight Recorder NID

Система обнаружения атак на уровне дата NFR NID (Network Flight Recorder) ориентирована на компании малого и среднего размера. Сенсоры функционируют под управлением ОС OpenBSD, которая автоматически устанавливается с одного из двух CD, входящих в комплект поставки NFR.При этом также устанавливается и сам сенсор. На втором CD находится консоль управления, функционирующая на платформе Windows NT. Одним из достоинств этой системы является язык N-code для описания атак других контролируемых сетевых действий.

Главный недостаток NFR NID — малое число обнаруживаемых сигнатур. Данная задача возлагается на пользователя системы или на стороннего консультанта, в качестве которого может выступать, например, компания L03. Система NFR (Network Flight Recorder) имеет две модификации — коммерческую и исследовательскую. Аналогично Shadow, система NFR использует модифицированную версию libpcap. Однако она в отличие от Shadow она отграничивается анализом заголовков, т. к. осуществляет повторную сборкуфрагментированных пакетов.

Другие решения NFR

Кроме указанной разработки, компания NFR (http://www.nfr.com) предлагает еще два продукта в области обнаружения атак — NFR НID (NFR Hot Intrusion Detection) и NFR Secure Log Repository. Первая система ориентирована на анализ журналов регистрации и в настоящий момент только готовится к выпуску, а вторая — предназначена для защищенного хранения журналов регистрации и управления ими.

Другие решения

Centrax

Система Centrax была разработана компанией Centrax Corporation и вначале называлась Entrax, но в марте 1999 она была куплена компанией Cybersafe Corporation и переименована в Centrax.

Данное решение относится к классу гибридных и позволяет обнаруживать атаки как в журналах регистрации, так и в сетевом трафике, направленном на контролируемый узел. В качестве узлов, на которых могут быть установ­лены агенты Centrax, могут выступать компьютеры с ОС Windows NT или Solaris. Помимо функций обнаружения атак система Centrax обладает неко­торыми зачатками системы анализа защищенности и может контролировать такие компоненты и параметры, как конфигурацию входа в систему, па­рольную подсистему, конфигурацию хранителя экрана, настройки учетных записей и параметров системы, влияющих на защищенность.

BlackICE

Семейство BlackICE компании Network ICE Corporation (http://www. networkice.com), которую, как уже было сказано выше, в конце апреля 2001 года купила компания ISS, включает в себя несколько компонентов.

q BlackICE Agent for Workstation и Agent for Server — это продукт, объеди­няющий в себе возможности персонального межсетевого экрана и систе­мы обнаружения атак, защищающих конкретный компьютер, а не всю сеть в целом. В настоящий момент BlackICE Agent доступен для ОС Linux, Solaris и Windows 9x/NT. Необходимо отметить, что данный про­дукт не контролирует журналы регистрации ОС, приложений или СУБД, как, например, это делает RealSecure Server Sensor.

q BlackICE Sentry и Sentry Gigabit — система обнаружения атак в сетевом сегменте Fast Ethernet или Gigabit Ethernet.

q BlackICE Guard — средство обнаружения и блокирования сетевых атак. Его отличие от решений других компаний в том, что обычно системы обнаружения атак работают по принципу пассивного анализа сетевого трафика, в то время как BlackICE Guard устанавливается на входе в кор­поративную сеть и весь входящий/исходящий сетевой трафик обязательно проходит через него, что позволяет не только выявлять, жо и не пропускать атаки в сеть.

q ICEcap — консоль управления.

Сила BlackICE в алгоритме анализа сетевого трафика, который был подробно описан в главе 6. Но данная система обладает и некоторыми недостатка­ми и особенностями. Изначально компания Network ICE ориентировалась на защиту настольных компьютеров и свою стратегию она попыталась пере­нести на сетевые компоненты. Именно поэтому, как отмечают многие спе­циалисты [Ruiul-01], решения в области обнаружения атак семейства BlackICE не лучшим образом справляются со своими задачами в крупных сетях. BlackICE очень красиво отображает сигналы тревоги, но этой системе недостает подробного освещения дополнительной информации относитель­но нападения. Например, она регистрирует адрес источника, но не адрес цели атаки.

Добавление решений по защите настольных компьютеров компании Network ICE к решениям компании ISS позволит последней еще больше оторваться от своих ближайших конкурентов в области обнаружения атак.

Dragon

Компания Enterasys Networks (http://www.enterasys.com/ids/) предлагает семейство средств обнаружения атак Dragon, которое было разработано компанией Network Security Wizards, позже приобретенной Enterasys.

Данное семейство состоит из нескольких продуктов.

q Dragon Sensor — система обнаружения атак на уровне сети, функционирующая под управлением операционных систем Linux, OpenBSD, FreeBSD, HP UХ и Solaris и в сетях Ethernet, Fast Ethernet, Token Ring, FDDI, Gigabit Ethernet и ATM.

q Dragon Squire — система обнаружения атак путем анализа журналов perистрации различных приложений и устройств. Этот продукт поддерживает те же ОС, что и Dragon Sensor, и уже был описан выше.

q Dragon Server — консоль управления всеми компонентами семейства Dragon.

По мнению многих специалистов, Dragon, как и Snort, может быть оченьсерьезным подспорьем при обнаружении атак. Но только в грамотных руках. Эти продукты не помогут новичкам, делающим только первые шаги в области идентификации подозрительной сетевой активности [Ruiul-01].

Вrо

Система Вrо является исследовательским проектом Lawrence Livermore National Laboratory. Эта разработка направлена на достижение следующих цёлей:

q анализ состояния системы обнаружения атак при высокой нагрузке, позволяет проверить, как она реагирует на большой объем обрабатываемых данных;

q реагирование в реальном режиме времени;

q модульная архитектура, позволяющая разделить модули, отвечающие фильтрацию данных, обнаружение атак и ответные действия;

q добавление своих собственных атак;

q способность пресечения атак, направленных на саму систему обнаружения атак.

Система Вrо, как и другие средства обнаружения атак на уровне сети, использует для захвата и фильтрации данных библиотеку libpcap. Существующая версия Вrо поддерживает только 4 сетевых приложения: finger, FTP, portmapper и Telnet. Добавление дополнительных приложений осуществляется простым созданием нового класса C++.