Witamy w SoftPoint!Dystrybutor Oprogramowania
SoftPoint Spółka z o.o.
00-204 Warszawa, ul. Słomińskiego 1
tel. (22) 635 80 03
fax (22) 635 69 50
Strona Główna - Dla Partnerów - Produkty - Cennik - Rozwiązania - Pomoc techniczna - O firmie - About Softpoint

     Wyszukiwarka



     PRODUCENCI


















     Słownik
· Bezpieczeństwo

     Zobacz!

Symantec
[ Symantec ]

·Symantec Endpoint Protection Small Business Edition 12
·Symantec Endpoint Protection 11 (SEP 11)
· Backup Exec 12.5 i Backup Exec System Recovery 8.5
·Symantec Ghost Solution Suite 2.5
·Backup Exec 12 i Backup Exec System Recovery 8.0
·Norton 360
·Symantec Backup Exec
·Norton Save & Restore
·SAVEE Security Suite

IDS - Systemy detekcji intruzów

Wersja do druku: Strona gotowa do druku



(dyskusja zastosowań oprogramowania znajdującego się w naszej ofercie)

Heterogeniczne sieci lokalne i korporacyjne nieustannie poddawane są próbom nieautoryzowanego dostępu. Sposobów i technik ataków jest wiele, a specjaliści od bezpieczeństwa zasobów potrzebują bardziej wyrafinowanych narzędzi by poprawnie zdiagnozować stan bezpieczeństwa. Coraz częściej pojawia się konieczność kontroli w czasie rzeczywistym przepływu wchodzącego i wychodzącego ruchu sieciowego i stanu kluczowych dla działania firmy urządzeń. Do tego celu służą systemy detekcji intruzów.

Systemy detekcji intruzów (IDS - Intrusion Detection Systems) wykrywają włamania poprzez wykorzystanie technik identyfikacji i reagowania na niepożądaną aktywność pochodzącą z chronionej sieci lub chronionego urządzenia. Przez włamanie rozumie się ogół działań prowadzących do uzyskania nieautoryzowanego dostępu do chronionych zasobów lub nielegalnego wykorzystania działających usług. IDS może działać w obrębie sieci firmowej, lub kontrolować jedno dedykowane urządzenie. Zdarzenie nieautoryzowanego dostępu lub użytkowania może być różnie odczytywane w różnych systemach, dlatego zasady ochrony, alerty i odpowiedzi mogą być różnie dopasowywane do reguł bezpieczeństwa.


Systemy IDS można podzielić według kilku kryteriów:

  • Detektory ataków lub detektory anomalii – w przypadku IDSów pierwszego rodzaju informacje zebrane przez system są porównywane z sygnaturami schematów ataków zgromadzonymi w bazie danych. Baza ta jest systematycznie aktualizowana wraz z pojawianiem się nowych zagrożeń. IDS szuka zatem podobieństwa do zdarzeń, które już miały miejsce i zostały udokumentowane – jego skuteczność zależy od ilości i różnorodności wzorów w bazie. Detekcja anomalii opiera się na porównaniu stanu sieci/systemu ze stanem zdefiniowanym jako standardowy i dopuszczalny. Stan ten może zakładać dopuszczalny maksymalny ruch w sieci, używane protokoły, komunikację z działającymi usługami, rozmiar pakietów i zasady weryfikacji przepływu danych z i do określonych urządzeń. Detektor anomalii porównuje w czasie rzeczywistym wybrane parametry i szuka anomalii, które są podstawą do wszczęcia alertu.


  • Sieciowe IDSy lub hostowe IDSy - w systemach sieciowych NIDS, wszystkie lub wybrane pakiety wchodzące do kontrolowanego segmentu sieci są kontrolowane, w nowoczesnych wielostopniowych zabezpieczeniach, systemy te są sprzęgnięte z zaporami ogniowymi (firewall). W przypadku wykrycia nielegalnych pakietów, przepuszczonych przez firewalle mogą przesłać do nich informacje o rodzaju pakietu, by wykluczyć taką sytuację w przyszłości. Host IDSy – czyli systemy instalowane lokalnie na chronionych komputerach egzaminują zdarzenia wyłącznie na tych komputerach.


  • Systemy pasywne lub systemy proaktywne – pasywne analizują ruch sieciowy i jeśli wykryją potencjalne niebezpieczeństwo zapisują w logach informację i sygnalizują je alertem. Diametralnie inne podejście realizowane jest w nowszych proaktywnych systemach IDS, które same podejmują akcję odpowiednią do zagrożenia: przeprogramowują firewall, by zablokować określony port, odcinają dostęp do określonej usługi, bądź zatrzymują transfer danych.

Działanie systemów IDS jest często mylnie kojarzone z działaniem systemów firewall. O ile oba te elementy są kluczowymi komponentami systemów bezpieczeństwa, to ich rola jest inna: firewall ma za zadanie ochronę systemu przed dostępem i atakiem z zewnątrz, podczas, gdy IDS kontroluje stan systemu od wewnątrz, analizuje aktywność w sieci i podnosi alarm w przypadku podejrzanych zachowań. Szczególnym przypadkiem jest IDS instalowany na konkretnym urządzeniu: reguły alertowania i odpowiedzi regulują pracę wyłącznie kontrolowanego urządzenia, narzędzia administracyjne i raportujące mogą być zainstalowane na innym komputerze.


Wyznacznikiem skuteczności programów IDS są: jego maksymalna zdolność do przetwarzania całego ruchu w sieci oraz aktualność i jakość reguł zabezpieczeń.


Poniżej znajdują się opisy rozwiązań firm Symantec i Computer Associates. Każde z nich ma inną specyfikę i jest przeznaczone dla określonej grupy odbiorców:

  • Symantec Host IDS
  • Symantec Decoy Server
  • Symantec ManHunt
  • CA eTrust Intrusion Detection
  • GFI LANguard Security Event Log Monitor

Wspólną cechą tych produktów jest zdolność do integracji z innymi produktami tak macierzystych firm, jak i innych wiodących producentów. Dzięki temu ułatwione jest zbieranie, analiza i korelacja danych o nadzorowanym systemie. W konsekwencji interwencja może następować błyskawicznie i bez udziału człowieka. Nowe niebezpieczeństwa i sygnatury włamań mogą być aktualizowane automatycznie ze stron producenta.

Rozwiązanie dedykowane stacjom roboczym to Symantec Client Security. Dla odbiorcy indywidualnego przeznaczony jest Symantec Norton Internet Security.


Symantec Host IDS

Program ten chroni w czasie rzeczywistym komputer, na którym jest zainstalowany. Zapewnia ciągłe monitorowanie, detekcję i ochronę przed niepożądanymi aktywnościami, skierowanym przeciwko usługom, aplikacjom lub zgromadzonym danym. Administratorzy nie muszą wprowadzać od podstaw zasad postępowania systemu, dostępnych jest wiele gotowych reguł ochrony, które przeciwdziałają znanym atakom, czy wirusom. Dzięki inteligentnym algorytmom korelującym dane, system zareaguje także w przypadku nowych, niesklasyfikowanych zagrożeń. Może być skonfigurowany w taki sposób, aby proaktywnie kooperować z innymi elementami systemu bezpieczeństwa, na przykład - w momencie wykrycia naruszenia zasad, może łączyć się z programem antywirusowym, czy firewallem i dodać kolejną regułę kontrolującą ruch w sieci, i tym samym uniemożliwić wtargnięcie w przyszłości.


Opracowana przez Symantec technologia zarządzania procesami Process Management zawiera nowe narzędzia do analizy stanu systemu i mechanizmy prewencji:


  • Process Reporter ułatwia pracę administratorów – dane mogą być szeregowane według różnych kryteriów, graficzne przedstawienie detali ułatwia szybką analizę, dzięki czemu decyzje dotyczące zmiany stopnia ochrony mogą być podjęte natychmiast.
  • Process Monitor służy do definiowania zasad zabezpieczeń i zasad reagowania na określone zachowania, tym samym ułatwione jest dostosowanie Host IDSa do profilu chronionego komputera.
  • Process Blocker – kontroluje działanie usług na serwerze i ewentualnie ingeruje w jego pracę. Pozwala na automatyczne odcięcie usługi, która jest wykorzystywana podczas ataku oraz nie dopuści do uruchomienia nieznanych, niezatwierdzonych wcześniej usług.


Ogólna charakterystyka produktu:
  • monitoruje system w czasie rzeczywistym, wykrywa natychmiast naruszenie zasad bezpieczeństwa i podejrzane aktywności

  • zawiera narzędzia, które ułatwiają konfigurację reguł, obsługi zdarzeń i kontrolę bezpieczeństwa. Są to: Process Monitor, Process Reporter i Process Blocker

  • konsola zarządzająca umożliwia w sposób zdalny pełne sterowanie i kontrolę systemu

  • integruje się z systemem zarządzania i kontroli bezpieczeństwa w przedsiębiorstwie Symantec Security Management System, by zapewnić szybką priorytetyzację, korelację, identyfikację i reakcję na zdarzenia i potencjalne zagrożenia

  • zdarzenia są archiwizowane na potrzeby późniejszej analizy, czy audytu

  • narzędzia raportujące pozwalają na korelację zdarzeń według różnych kluczy, graficzne przedstawienie informacji oraz robienie złożonych statystyk

  • aktualne reguły bezpieczeństwa są pobierane automatycznie z witryny Symanteca. Reguły te są opracowywane przez Symatec Security Response – największą komercyjną organizację prowadzącą badania i oferującą aktywne wsparcie w dziedzinie bezpieczeństwa IT

  • wspierane platformy to MS Windows NT 4.0, 2000, XP oraz Sun Solaris 8 i 9

Symantec Host IDS wchodzi w skład architektury SESA (Symantec Enterprise Security Archtecture) i może wymieniać dane z wszystkimi innymi produktami zapewniającymi bezpieczeństwo przedsiębiorstwa. Symantec wprowadził SESA w celu usprawnienia i ułatwienia zarządzania systemem bezpieczeństwa, pamiętając również o produktach innych producentów, które są wspierane. Oprogramowanie SESA jest dodawane bezpłatnie do produktów korporacyjnych Symanteca, sensory dedykowane dla innych producentów mogą być zakupione dodatkowo.


Wspierane platformy:

Komputer klasy PC:
Procesor: 677 MHz
Pamięć: 256 MB RAM
Dysk twardy: 70 MB
Interfejsy sieciowe: minimum 1 Ethernet
System operacyjny: MS Windows NT z zainstalowanym Service Pack 6a, MS Windows 2000 z zainstalowanym Service Pack 2, MS Windows XP
Inne: Obsługa konsoli sterującej wymaga przeglądarki MS Internet Explorer 5.5 lub nowszej

lub

Komputer klasy Sun Microsystems SBUS lub PCI:
Procesor: 500 MHz
Pamięć: 128MB RAM
Dysk twardy: 70 MB
Interfejsy sieciowe: minimum 1 Ethernet
System operacyjny: Solaris 8 lub Solaris 9


Symantec Decoy Server

Innowacyjne rozwiązanie w dziedzinie systemów wykrywania wtargnięć. Zapewnia wczesne wykrycie ataków pochodzących tak z zewnątrz, jak i z wewnątrz sieci korporacyjnej, nieautoryzowane próby dostępu do zasobów i komputerów. Symantec Decoy Server tworzy fikcyjne środowisko sieciowe, symulujące nawet w szczegółach sieć lokalną.

Skonfigurowane jest ono w taki sposób, aby było interesującym celem ataku: kusić mogą udostępnione dokumenty, aplikacje, uruchomione serwisy, serwery chronione słabymi hasłami, czy nawet sztucznie wygenerowany ruch w sieci i przesyłanie wiadomości email wewnątrz organizacji. Wszystkie elementy wirtualnej sieci są modyfikowalne i mogą być zaadaptowane na potrzeby konkretnego systemu. Rozwiązanie to stanowi kolejny stopień ochrony systemu – środowisko symulujące sieć zachęca słabymi zabezpieczeniami i wyeksponowanymi zasobami, dzięki czemu potencjalny atak będzie prawdopodobnie skierowany przeciwko „sieci zasadzce”. Moduły zbierające dane filtrują zdarzenia, wyróżniają odstępstwa, korelują je i w momencie zauważenia podejrzanego zachowania program rozpoczyna szereg działań: przesłanie alertu do administratora, śledzenie poczynań intruza, jeśli zaś atak pochodzi z wewnątrz - odcięcie od sieci, a nawet zdalne wyłączenie jego komputera, itd.

Implementacja systemu zachodzi szybko dzięki zestawom reguł, dopasowanym do różnych sieci i systemów operacyjnych. Nie ma również konieczności tworzenia od podstaw zasad postępowania, administrator może wybrać najbardziej dopasowany scenariusz reakcji na próbę ataku –a później zaczyna funkcjonować schemat „set and forget” ustaw i zapomnij, czyli skonfiguruj pułapkę, ustaw odpowiednie alerty, a później system reaguje na zdarzenia i uaktualnia się samodzielnie.

Ustawienia mogą być dowolnie modyfikowane. Administracja i monitorowanie działania systemu może odbywać się ze zdalnej konsoli, z której można również tworzyć zaawansowane raporty. Wraz z rozwojem sieci korporacyjnych i wzrostem natężenia ruchu sieciowego, zauważenie podejrzanych zachowań staje się coraz trudniejsze, zwłaszcza, że firmy wykorzystują coraz bardziej różnorodne i zaawansowane technologie teleinformatyczne. Poważnym problemem stają się fałszywe alarmy podejmowane przez analityków bezpieczeństwa informatycznego, i sytuacje odwrotne – rozmyślne dopuszczanie intruzów do zasobów. Symantec Decoy Server nie eliminuje incydentów bazując wyłącznie na znanych sygnaturach, wszystkie zdarzenia spoza znanych kategorii są również odnotowywane, podobnie jak te, które są hybrydami znanych scenariuszy.



Ogólna charakterystyka produktu:
  • wykrywa nieautoryzowany dostęp bądź użycie zasobów
  • wykrywa intruzów grasujących w sieci, jak i na konkretnych monitorowanych komputerach – Host IDS i Network IDS w jednym
  • symuluje sieć komputerową, przesyłanie danych, wymianę poczty email, imituje usługi charakterystyczne dla konkretnych platform
  • mechanizmy szybko reagują na zdarzenia, rozszerzona funkcjonalność umożliwia nawet zdalne wyłączenie kontrolowanych komputerów w razie ataku
  • poczynania intruza są rejestrowane w czasie rzeczywistym i mogą być później odtworzone
  • konsola zarządzająca umożliwia zdalne, pełne sterowanie i kontrolę systemu
  • integruje się z systemem zarządzania i kontroli bezpieczeństwa w przedsiębiorstwie Symantec Security Management System, by zapewnić szybką priorytetyzację, korelację, identyfikację i reakcję na zdarzenia i potencjalne zagrożenia
  • zdarzenia są archiwizowane na potrzeby późniejszej analizy czy audytu
  • aktualne reguły bezpieczeństwa są pobierane automatycznie z witryny Symanteca. Reguły te są opracowywane przez Symantec Security Response – największą komercyjną organizację prowadzącą badania i oferującą aktywne wsparcie w dziedzinie bezpieczeństwa IT
  • Wspierane platformy to Sun Solaris 5 Ultra i nowsze

Symantec Decoy Server wchodzi w skład architektury SESA Symantec Enterprise Security Archtecture i może wymieniać dane z wszystkimi innymi produktami zapewniającymi bezpieczeństwo przedsiębiorstwa. Symantec wprowadził SESA, w celu usprawnienia i ułatwienia zarządzania systemem bezpieczeństwa, pamiętając również o produktach innych producentów, które są wspierane. Oprogramowanie SESA jest dodawane bezpłatnie do produktów korporacyjnych Symanteca, sensory dedykowane dla innych producentów mogą być zakupione dodatkowo.


Wspierane platformy i minimalne wymagania sprzętowe:

Symantec Decoy Server 3.1 Host:
Komputer klasy Sun Microsystems:
Procesor: SPARC, Pentium II lub szybszy
Pamięć: 256MB RAM (plus 128 MB dla każdej dodatkowej klatki)
Dysk twardy: 2GB (plus min. 2 GB na każdą dodatkową klatkę)
Interfejsy sieciowe: minimum 1 Ethernet (plus dodatkowy interfejs dla konsoli administracyjnej)
System operacyjny: Solaris Ultra 5 lub nowszy Solaris 7 SPARC, zainstalowane aktualizacje min. do poziomu 106541-04 Solaris 7 Intel, zainstalowane aktualizacje min. do poziomu 106542-04 Solaris 8 SPARC lub INTEL

Symantec Decoy Server 3.1 konsola zarządzająca:
Komputer klasy PC lub Sun Microsystems:
Procesor: SPARC , Pentium II lub szybszy
Pamięć: 128MB RAM
Dysk twardy: 20 MB
Interfejsy sieciowe: minimum 1 Ethernet (plus dodatkowy interfejs dla konsoli administracyjnej)
System operacyjny: Solaris 7, 8 (SPARC lub INTEL) MS Windows 2000, XP Java Runtime Environment 1.4 lub nowszy


Symantec ManHunt

Jedyne w swoim rodzaju rozwiązanie – system detekcji intruzów, zastawiania pułapek, analizy ruchu w sieci, alertowania i aktywnego reagowania na anomalia, zdolny do przetworzenia do 2Gb danych na sekundę.

W przeciwieństwie, do konwencjonalnych systemów bezpieczeństwa IDS, Symantec ManHunt umożliwia detekcję, analizę i wyeliminowanie nie tylko znanych zagrożeń i ataków, ale także ataków nowych, nieznanych wcześniej. Rozproszone sensory zbierają informację z wielu urządzeń działających w sieci, pozyskane w ten sposób informacje umożliwiają wykrywanie ataków hybrydowych. Dzięki wykorzystaniu agentów dane z różnych urządzeń mogą być zebrane i analizowane na jednej konsoli, oszczędza to czas administratorów i przyspiesza ocenę sytuacji w sieci. Reguły Symantec ManHunta mogą być modyfikowane tak, by reagowały na zdarzenia i alerty z produktów innych producentów.

Jako jedyne na rynku urządzenie, Symantec ManHunt ma zdolność do analizy ruchu w najnowocześniejszych sieciach szerokopasmowych o natężeniu ruchu do 2Gb na sekundę. Wykorzystanie wspomnianych technik daje gwarancję natychmiastowej i skutecznej reakcji na próby ataków. Szereg reguł postępowania w razie ataku, mechanizmy korelacji zdarzeń oraz narzędzia do zdalnej kontroli systemu ułatwiają zadanie administratorom.


Ogólna charakterystyka produktu:

  • chroni sieci korporacyjne, kontroluje przepływający ruch w sieci, może przetworzyć do 2Gb/s

  • identyfikuje znane i nieznane ataki, korelacja danych pozwala na wykrycie ataków hybrydowych, DoS czy skanowania zasobów z zewnątrz, lub wewnątrz sieci

  • system analizujący dane radykalnie skraca czas reakcji na zdarzenie i przedstawia raporty personelowi, dzięki czemu ułatwia jego pracę i ocenę sytuacji. Stosowanie reguł postępowania w sytuacji ataku, zapewnia pełne zautomatyzowanie systemu (jednorazowa implementacja „set and forget”)

  • system jest w pełni skalowalny, a raz wdrożone ustawienia i reguły mogą być zapisane i odtworzone w innej lokalizacji

  • administracja systemem może być realizowana przy wykorzystaniu ról, dzięki czemu podejmowanie decyzji i kontrola pracy może być podzielone hierarchicznie

  • narzędzia raportujące pozwalają na korelację zdarzeń według różnych kluczy, graficzne przedstawienie informacji oraz robienie złożonych statystyk

  • aktualne reguły bezpieczeństwa są pobierane automatycznie z witryny Symanteca. Reguły te są opracowywane przez Symatec Security Response – największą komercyjną organizację prowadzącą badania i oferującą aktywne wsparcie w dziedzinie bezpieczeństwa IT

  • wsparcie dla Sun Solaris 8 i 9 oraz Linux Red Hat 8.0


Symantec ManHunt wchodzi w skład architektury SESA Symantec Enterprise Security Archtecture i może wymieniać dane z wszystkimi innymi produktami zapewniającymi bezpieczeństwo przedsiębiorstwa. Symantec wprowadził SESA w celu usprawnienia i ułatwienia zarządzania systemem bezpieczeństwa, pamiętając również o produktach innych producentów, które są wspierane. Oprogramowanie SESA jest dodawane bezpłatnie do produktów korporacyjnych Symanteca, sensory dedykowane dla innych producentów mogą być zakupione dodatkowo.


Wspierane platformy i minimalne wymagania sprzętowe:

Symantec ManHunt może być instalowany na platformach Sun Solaris 8 i nowszej lub Linux Red Hat 8.0.
Konsola sterująca może być instalowana na komputerach z systemami operacyjnymi: MS Windows 2000, XP, Sun Solaris, lub Linux Red Hat.

Z uwagi na liczne szczegóły konfiguracji sprzętu związane z zakresem zadań, jakie ma realizować system, zapytania dotyczące wymagań sprzętowych należy kierować do resellera.


Computer Associates eTrust Intrusion Detection

Firma Computer Associates wprowadziła na rynek ciekawe rozwiązanie oferujące ochronę przed wtargnięciami, ale także dające szerokie możliwości monitorowania przepływu danych w obrębie sieci firmy, kontrolę antywirusową poczty, blokowanie pobierania z Internetu określonych treści oraz narzędzia do badania użytkowania pasma przez pracowników.


eTrust Intrusion Detection jest wydajnym i skalowalnym systemem, dedykowanym dla złożonych sieci korporacyjnych, cechujących się dużym przepływem danych. W rozumieniu specjalistów z Computer Associates, zadaniem systemu IDS jest nie tylko wykrywanie i reakcja na próby wtargnięć, ale również zapewnienie kontroli antywirusowej poczty, weryfikacja kodu odwiedzanych stron www itp. Użytkowanie Internetu przez pracowników może być weryfikowane i moderowane; możliwe jest kontrolowanie protokołów HTTP, FTP, SMTP przez konkretnych użytkowników, dostępne są opcje blokowania stron www, kategorii tematycznych, w celu późniejszej analizy sesje mogą być logowane. System jest wzbogacony o program antywirusowy, skanujący ruch trafiający do sieci z zewnątrz. Zestawy reguł reagowania na zagrożenia uwzględniają także inne urządzenia działające w sieci. Możliwa jest zatem współpraca z produktami innych producentów.
ETrust to grupa zaawansowanych rozwiązań chroniących dostęp do danych, zapewniających skuteczne metody autoryzacji oraz zapewniających bezpieczeństwo w sieciach korporacyjnych. Produkty te mogą współpracować ze sobą, a elastyczność w implementacji poszczególnych komponentów zapewnia dopasowanie do potrzeb każdego klienta.


Ogólna charakterystyka produktu:

  • automatyczne aktualizacje sygnatur, gwarantuje najwyższy poziom ochrony i odporność na najnowsze zagrożenia

  • scentralizowane zarządzanie i raportowanie za pomocą konsoli, ułatwia pracę administratorów i przyspiesza podjęcie decyzji w przypadku podejrzanych zdarzeń w sieci, zaimplementowane są mechanizmy automatycznego powiadamianie o anomaliach

  • możliwe jest hierarchiczne delegowanie zadań i praw dostępu do systemu

  • dostępne są liczne funkcje raportujące, możliwość eksportowania danych do większości baz danych

  • wysoka wydajność w analizowaniu danych i ruchu sieciowego
  • wspierane platformy to MS Windows NT 4.0, 2000 oraz Windows 98, Me

Cechy systemu ochrony sieci korporacyjnej:

  • instalacja eTrust Intrusion Detection w różnych lokalizacjach zapewnia pełną ochronę sieci, systemy rozproszone mogą wymieniać informacje, co pozwala na lepsze przygotowanie do zatrzymania ataku i podwyższona czułość systemu

  • monitorowanie ruchu w sieci w czasie rzeczywistym

  • zintegrowany program antywirusowy skanujący ruch w sieci, mechanizmy szybkiego ostrzegania ograniczają możliwość wystąpienia masowej infekcji wirusem w firmie

Monitorowanie sesji połączeń:

  • komponent NetLoad umożliwia monitorowanie i zapisywanie zdarzeń, istnieje szereg opcji śledzenia poczynań użytkownika

  • dostępne są narzędzia do badania użytkowania dostępnego pasma, z możliwością generowania statystyk i raportów

  • monitorowanie danych przesyłanych przez podstawowe protokoły sieciowe: HTTP, Telnet, FTP, SMTP, daje szerokie możliwości kontroli użytkowania zasobów administratorów i analityków, zasady kontroli są dostępne zaraz po instalacji, można je modyfikować i tworzyć nowe


Kontrola użytkowania Internetu:

  • możliwość wprowadzenia obostrzeń, co do odwiedzania określonych adresów internetowych (blokowanie adresów URL, domen) oraz kategorii tematycznych (erotyka, sport)

  • eTrust Intrusion Detection posiada narzędzia do analizowania otwartych sesji użytkowników i kontroli ich aktywności. W przypadku naruszenia takich zasad, możliwe jest zaprogramowanie systemu do podjęcia konkretnych akcji, takich jak odcięcie użytkownika od sieci, czy przerwanie sesji. Dostępne są zestawy reguł bezpieczeństwa, można je edytować i dopasowywać do potrzeb przedsiębiorstwa


Wspierane platformy i minimalne wymagania sprzętowe:

Komputer klasy PC:
Procesor: Pentium II lub szybszy
Pamięć: 64MB RAM
Interfejsy sieciowe: Minimum 1 Ethernet (plus dodatkowy interfejs dla konsoli administracyjnej)
System operacyjny: MS Windows NT 4.0 (service pack 5), 2000 (Service Pack 2)


GFI LANguard Security Event Log Monitor (S.E.L.M.)

Program firmy GFI dedykowany jest dla komputerów z systemem MS Windows NT, 2000, XP. Analizuje w czasie rzeczywistym dzienniki zdarzeń obsługiwanych komputerów i alertuje w przypadku zdarzeń niedopuszczalnych. Wiele firm błędnie zakłada, że próby ataków hakerskich i nieautoryzowany dostęp do zasobów pochodzić musi z zewnątrz sieci firmy. W rzeczywistości, większość prób, a w szczególności znakomita większość prób udanych realizowanych jest przez użytkowników lub gości działających w sieci lokalnej czy korporacyjnej. Firewall uważany za podstawowy element systemu bezpieczeństwa kontroluje przepływ danych, pomiędzy siecią wewnętrzną i zewnętrzną, nie zapewnia więc ochrony dla zasobów, jeśli intruz podejmuje atak z wewnątrz systemu.



Co więcej, bez audytu użytkowania zasobów nie można stwierdzić, ze firewall zatrzymał wszystkie próby dostępu. Rozwiązanie GFI monitoruje wybrane lub wszystkie zdarzenia na komputerach, na których zostało zainstalowane i alertuje w razie możliwego wtargnięcia. Generuje również raporty i statystyki, które można łatwo analizować bądź edytować. Dane zgromadzone są w centralnej bazie danych, a zatem ich przeglądanie, analiza i filtrowanie jest znacznie uproszczone. Rozwiązany jest tym samym problem separacji dzienników systemowych wszystkich komputerów w systemie, kwestia zaniedbana przez Microsoft.


GFI LANguard S.E.L.M. świetnie sprawdza się w systemach o wysokim poziomie bezpieczeństwa, gdzie generowanych jest tysiące logów dziennie. Duże ilości zdarzeń są trudne do przeczytania, a wykrycie powiązań między nimi jest często niemożliwe. Co więcej, GFI analizuje dane mając również dostęp do konkretnych ustawień obsługiwanego systemu – profilów użytkowników, udostępnianych zasobów, może zatem znacznie precyzyjniej zdiagnozować zagrożenie.


Program działa na konkretnym komputerze, więc jego funkcjonalność nie jest ograniczona przez switche, routery, zaszyfrowane transmisje czy duży ruch sieciowy, co wyróżnia go spośród produktów IDS.


Ogólna charakterystyka produktu:

  • GFI LANguard S.E.L.M. wykrywa intruzów i luki w systemie poprzez kontrolowanie dziennika zdarzeń bez obciążania pasma może kontrolować komputery w sieci, program działa jako Host IDS, dlatego jego funkcjonalności nie ogranicza duży ruch sieciowy, czy szyfrowanie przesyłanych danych

  • scentralizowane monitorowanie stanu komputerów sieci ułatwia pracę administratorów i przyspiesza podjęcie decyzji w przypadku podejrzanych zdarzeń

  • zaimplementowane są mechanizmy automatycznego powiadamiania o anomaliach

  • dane mogą być filtrowane według różnych kryteriów, a incydenty są dzielone według stopnia zagrożenia

  • dostępne są liczne funkcje raportujące, narzędzia do tworzenia i edycji szablonów raportów, automatyzacja zadań, możliwość eksportowania danych do większości baz danych

  • wspierane platformy to MS Windows NT 4.0, 2000,XP – we wszystkich wersjach



Wspierane platformy i minimalne wymagania sprzętowe:

Komputer klasy PC:
Procesor: Pentium II
Pamięć: 64MB RAM
Interfejsy sieciowe: Minimum 1 Ethernet
System operacyjny: MS Windows NT 4.0 (service pack 5) serwer i stacja robocza, 2000 (Service Pack 2) serwer i stacja robocza, XP Professional


Symantec Client Security

Rozwiązanie Symanteca skierowane głównie do firm z sektora SMB, zapewnia ochronę stacji klienckich przed zagrożeniami internetowymi dzięki zintegrowaniu technologii ochrony antywirusowej, zapory firewall oraz systemu wykrywania włamań. Ta integracja funkcji niezbędnych dla zapewnienia bezpieczeństwa połączona z centralnym zarządzaniem, zapewnia małym i średnim przedsiębiorstwom odpowiedni poziom ochrony przed nowymi rodzajami zagrożeń internetowych. Scentralizowana instalacja, konfiguracja i zarządzanie ułatwiają administrowanie strategiami bezpieczeństwa dla stacji klienckich. Komputery mogą być kontrolowane za pomocą konsoli i serwerów zarządzających, a wszystkie akcje związane z aktualizacją szczepionek, czy przeciwdziałaniu wykrytym wirusom mogą być zautomatyzowane. Opisywane procesy nie kolidują z pracą użytkownika i są dla niego niewidoczne. Funkcje programu IDS są wsparte przez integrację z firewall i programem antywirusowym, a zatem wykrycie intruza i aktywne przeciwdziałanie wtargnięciom może być realizowane szybciej i wcześniej.



Program zawiera 3 komponenty:


  • Symantec Client Firewall wraz z modułem Intrusion Detection

  • Symantec Antivirus

  • system IDS


IDS jest usprawniony dzięki powiązaniu z serwerem zarządzającym, który zbiera i analizuje dane z komputerów klienckich i koreluje zdarzenia zanotowane przez SCS, reaguje na sytuacje nietypowe. Łączy więc zalety HOST IDSa z Network IDSem. Informacje o nowych atakach pobierane są z Internetu wraz z aktualizacjami baz szczepionek.


Ogólna charakterystyka produktu:


  • pierwsze na rynku rozwiązanie oferujące zintegrowaną ochronę dla klientów zdalnych (laptopy, zdalni użytkownicy) działających poza firewallem firmy

  • zapewnia ochronę wszystkich komputerów podłączonych do sieci, poprzez inkorporację w jeden produkt programu AV, zapory ogniowej i systemu detekcji wtargnięć

  • zawiera narzędzia do scentralizowanej instalacji, konfiguracji, administracji i reagowania

  • system szybko reaguje na zdarzenia, rozszerzona funkcjonalność umożliwia np. zdalne zmiany w regułach firewall razie ataku

  • konsola zarządzająca umożliwia zdalne, pełne sterowanie i kontrolę systemu

  • zdarzenia są archiwizowane na potrzeby późniejszej analizy czy audytu

  • aktualne szczepionki antywirusowe i reguły bezpieczeństwa są pobierane automatycznie z witryny Symanteca. Reguły te są opracowywane przez Symantec Security Response – największą komercyjną organizację prowadzącą badania i aktywne wsparcie w dziedzinie bezpieczeństwa IT

  • wspierane platformy to Windows 98, Me, 2000, XP
  • licencja pozwala również na ochronę starszych systemów takich jak MS Windows 95, Novell NetWare 4.xx, programy antywirusowe dedykowane na te systemy są zawarte na dyskach instalacyjnych SCS.


Wspierane platformy i minimalne wymagania sprzętowe:


Symantec Client Security: Komputer klasy PC:
Procesor: Pentium 150MHz
Pamięć: 64MB RAM
Dysk twardy: 115 MB
Przeglądarka www Internet Explorer 5.00
System operacyjny: MS Windows 98/Me MS Windows NT 4.0 Workstation z Service Pack 6a MS Windows 2000 Professional MS Windows XP Home/Professional
W przypadku instalacji okrojonej wersji np. tylko program antywirusowy, lub tylko firewall, wymagania dotyczące sprzętu są niższe.


Symantec Client Security Server dla MS Windows: Komputer klasy PC :
Procesor: Pentium II
Pamięć: 32 MB RAM
Dysk twardy: 111 MB (65MB wymaga Norton AntiVirus Corporate Edition i 46MB obrazy dysków ratunkowych SCS), opcjonalny komponent AMS2 wymaga 15 MB Przeglądarka www Internet Explorer 5.00
System operacyjny: MS Windows NT 4.0 Workstation/Serwer/Terminal Serwer z Service Pack 6a MS Windows 2000 Professional/Serwer/Advanced Serwer MS Windows XP Professional MS Windows 20003 Serwer

Symantec Client Security Server dla Novell NetWare:
Komputer klasy PC :
Procesor: Pentium II
Pamięć: dodatkowe 15 MB RAM poza minimalną wielkością pamięci RAM dla systemu Novell
Dysk twardy: 116 MB (70 MB wymaga Norton AntiVirus Corporate Edition i 46MB obrazy dysków ratunkowych SCS), opcjonalny komponent AMS2 wymaga 15 MB Przeglądarka www Internet Explorer 5.00
System operacyjny: Novell NetWare 5.x, 6 SP 1

Możliwe jest rozdzielenie zadań pomiędzy różne komputery i systemy operacyjne. Wymagania sprzętowe są wtedy niższe, komunikacja może być również realizowana również pomiędzy komponentami zainstalowanymi na Novell NetWare i MS Windows. Program wspiera także 64 bitowe systemy operacyjne takie jak MS Windows XP 64 bit, czy MS Windows 2003 Serwer 64 bit.


Symantec Client Security zawiera również programy instalacyjne umożliwiające ochronę starszych systemów. Są to wersje korporacyjne programów antywirusowych dedykowanych dla Novell NetWare 4.xx, czy MS Windows 95.


Symantec Norton Internet Security

Program Norton Internet Security 2004 firmy Symantec to niezbędna ochrona przed wirusami, hakerami i zagrożeniami naruszenia prywatności, skierowana do małych firm i użytkowników komputerów domowych. Zawiera on pełne wersje programów Norton AntiVirus™ i Norton Personal Firewall™, które skutecznie chronią komputer przed najpowszechniejszymi zagrożeniami internetowymi. Dodatkowe komponenty to: blokujący niepożądane wiadomości email program Norton Spam Alert oraz kontrolujący dostęp do Internetu przez dzieci program Norton™ Parental Control.


Komponent Norton Intrusion Detection działa jako Host IDS i stanowi zabezpieczenie przed intruzami, informacje o nowych technikach ataków są pobierane z serwerów Symanteca. Siłą Symantec Norton Internet Security jest zintegrowanie wszystkich elementów systemu ochrony i możliwość wspólnego reagowania na incydenty, wirusy, czy próby ataku. Program świetnie nadaje się do ochrony komputerów pracowników zdalnych, czy laptopów korzystających z zasobów zgromadzonych w różnych, czasem nieznanych sieciach.


Program zawiera 5 komponentów:

  • Norton Personal Firewall wraz z Norton Intrusion Detection

  • Norton Antivirus

  • Norton Privacy Control

  • Norton Spam Alert

  • Norton Parental Control


Ogólna charakterystyka produktu:

  • Program przeznaczony na stacje robocze i komputery osobiste, instalowany osobno na każdym komputerze

  • zapewnia ochronę pełną ochronę komputera, poprzez inkorporację w jeden system programu AV, zapory ogniowej i systemu detekcji wtargnięć oraz programów gwarantujących bezpieczne korzystanie z Internetu: programy chroniące tożsamość użytkownika, filtra antyspamowego oraz programu monitorującego przesyłane treści i odwiedzane strony

  • system szybko reaguje na zdarzenia, wymiana danych między komponentami umożliwia szybszą i skuteczniejszą reakcję na incydenty

  • zdarzenia są archiwizowane na potrzeby późniejszej analizy, czy audytu

  • aktualne szczepionki antywirusowe, reguły firewall i schematy ochrony przed wtargnięciami są pobierane automatycznie z witryny Symanteca. Reguły te są opracowywane przez Symantec Security Response – największą komercyjną organizację prowadzącą badania i oferującą aktywne wsparcie w dziedzinie bezpieczeństwa IT

  • program może być zainstalowany na komputerach z Windows 98, Me, 2000, XP


Wspierane platformy i minimalne wymagania sprzętowe:
Komputer klasy PC:
Procesor: Pentium 133 MHz
Pamięć: 64 MB RAM
Dysk twardy: 200 MB
Przeglądarka www: Internet Explorer 5.01 z Service Packiem 2
System operacyjny: MS Windows 98/Me MS Windows NT 4.0 Workstation z Service Pack 6a MS Windows 2000 Professional MS Windows XP Home/Professional

Wymagania są uzależnione od systemu operacyjnego.


Podsumowanie

Omówione rozwiązania projektowane były pod kątem zastosowań w środowisku średnich i większych przedsiębiorstw. Producenci dbają o łatwość implementacji i elastyczność w konfiguracji. Wszystkie programy mogą być administrowane zdalnie, mają funkcje raportujące i alertujące. Aktualizacje reguł bezpieczeństwa i sygnatur ataków oferowane są przez producentów w cenie licencji, dostępne jest również wsparcie techniczne ze strony dystrybutora. Wszystkie opisane programy współpracują z innymi urządzeniami czołowych producentów, a scentralizowane zarządzanie umożliwia szybkie reagowanie na zdarzenia. Omówione programy realizują swoje działania i ułatwiają pracę administratorom.
  

[ Powrót do Rozwiązania | Wykaz sekcji ]