Drugie wejście smoka
Firma Enterasys Networks wprowadza na rynek najnowszą wersję systemu Dragon, wykrywającego włamania w systemach informatycznych (Intrusion Detection System - IDS). Architektura tego systemu charakteryzuje się wyższym poziomem skalowalności, dostępności i elastyczności, który zwiększa bezpieczeństwo sieci przedsiębiorstwa. Dzięki bliskiej współpracy z partnerami świadczącymi usługi zarządzania zabezpieczeniami (managed security service provider - MSSP) oraz ze swoimi klientami, firma Enterasys opracowała architekturę, która znakomicie nadaje się do wdrażania obecnych, dużych systemów IDS.
Architektura systemu zapewnia klientom najbardziej kompleksowe możliwości wykrywania włamań do systemu informatycznego w całym przedsiębiorstwie. Seria produktów Dragon wykrywa intruzów w sieciach zintegrowanych i hostach (Dragon Sensor i Dragon Squire). Kontroluje także szerszy obszar, monitorując zapory (firewall), routery i systemy wykrywania włamań innych producentów. Ponadto Dragon (Squire) skutecznie wykrywa wtargnięcia do najczęściej atakowanych aplikacji - serwerów pocztowych oraz serwerów FTP i WWW.
Zintegrowana koncepcja zastosowana w systemie Dragon, oparta zarówno na hoście, jak i sieci, umożliwiła ostatnio jego użytkownikom wykrycie najnowszych robaków internetowych Code-Red i NIMDA oraz ochronę przed nimi. Zostały one wykryte przez moduł Dragon Sensor, kiedy wędrowały przez sieć w poszukiwaniu kolejnej ofiary - hosta. Gdy go zaatakowały, moduł Dragon Squire wykrył włamanie i zarejestrował jego skutki. Dzięki modułowi Dragon Server użytkownicy mogli zidentyfikować zaatakowane i zainfekowane hosty w sieci. Mogli także ustalić, które systemy były zagrożone, a które pozostały w pełni sprawne. Dostęp do tych informacji o krytycznym znaczeniu umożliwił natychmiastową reakcję, co pozwoliło firmie zaoszczędzić wiele czasu i uniknąć ogromnych kosztów.
Opis techniczny:
System Dragon składa się z trzech produktów - Dragon Sensor, Squire i Server.
* Dragon Sensor to szybki, sieciowy system wykrywania włamań, który niedawno został wyróżniony przez wydawcę czasopisma "Network Computing". Jest to sprawdzone rozwiązanie, które wykrywa włamania do szybkich sieci. Według oceny "Network Computing", Dragon jest jedynym sieciowym systemem IDS wykrywającym wszystkie ataki.
* Dragon Squire to system oparty na hoście, który wykrywa włamania do hostów lokalnych. Współpracuje on z systemami operacyjnymi opartymi na Windows i Uniksie. Wykrywa ataki analizując dzienniki nadzoru i systemu oraz monitorując integralność najważniejszych plików systemowych za pomocą MD5. Dragon Squire może także kontrolować zapory, routery i systemy wykrywające włamania innych producentów, wykorzystując protokół SNMP i przekazywanie dzienników SYSLOG. Squire wykrywa też wtargnięcia do najczęściej atakowanych i najwrażliwszych aplikacji - serwerów pocztowych oraz serwerów FTP i WWW - w tym również do aplikacji Microsoft Internet Information Server.
* Dragon Server wiąże ze sobą poszczególne funkcje systemu Dragon dzięki temu, że umożliwia scentralizowane, bezpieczne zarządzanie i raportowanie. Narzędzie Dragon Policy Manager udostępnia grupową pielęgnację modułów Sensor i Squire, zapewniając wydajną konfigurację i wykorzystywanie podpisów w całym przedsiębiorstwie. W ramach procesu monitorowania Dragon Server zapewnia scentralizowaną analizę, raportowanie oraz koordynację działań zabezpieczających w całej infrastrukturze. Konsole analityczne systemu Dragon oferują ogromne możliwości - pozwalają na powiązanie zdarzeń ze znanymi słabymi punktami firmy, napastnikami, celem ataku, jego źródłem i czasem. Dzięki temu przedsiębiorstwa uzyskują informacje niezbędne do podjęcia świadomych decyzji w zakresie nasilenia zabezpieczeń oraz mobilizacji zespołów reagujących na ataki.