7.2.3. DefensePro IDS IPS
Особенность оборудования — полная «прозрачность» для сети и двунаправленный анализ трафика. DefensePro не имеет ни МАС, ни IP-адреса, как следствие, злоумышленник не имеет возможности понять где установлена система защиты. Один DefensePro может одновременно обслуживать несколько сегментов сети, путём разделения на несколько виртуальных устройств. Анализ трафика в двух направлениях позволяет избежать распространения вирусов и червей в пределах сети, а так же позволяет блокировать исходящие атаки. DefensePro гарантирует максимальную пропускную способность одновременно с возможностью изолировать, блокировать и останавливать атаки в режиме реального времени.
Основные возможности DefensePro-200:
- Полный мониторинг и изоляция атак
- Полная защита приложений
- Обнаружение аномалий в работе протоколов
- Обнаружение аномалий трафика
- Защита DoS/DDos и SYN flood
- Обновление программного обеспечения и базы данных атак
Цена DefensePro-200: $3890
7.2.4. SecureNet Sensor
Система Intrusion SecureNet является не просто системой обнаружения, а системой предотвращения вторжений в режиме реального времени в соответствии с заданными администратором критериями. Как и большинство других систем, представленных на рынке, она способна анализировать потоки трафика на предмет соответствия заданному набору сигнатур. Однако, в отличие от конкурентных продуктов, Intrusion SecureNet умеет также выявлять аномалии и отклонения в работе протоколов посредством разбора сетевых пакетов «на лету», осуществлять корреляцию событий, ограничивая нагрузку на подсистему регистрации и облегчая тем самым работу администратора.
Основные возможности SecureNet Sensor:
Обнаружение вторжений:
- обнаружение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;
- обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
- возможность обновления базы данных сигнатур атак из различных источников;
- возможность обработки фрагментированного сетевого трафика;
- возможность контроля нескольких сетей, работающих с разными скоростями;
- скрипт-язык SNPL для создания собственных сигнатур;
- использование в нескольких сетевых сегментах с разной скоростью и типами интерфейсов, включая Fast Ethernet и Gigabit Ethernet;
- декодирование протоколов для точного определения специфических атак.
Предотвращение вторжений:
- предотвращение попыток НСД в режиме реального времени;
- блокировка или завершение нежелательных сетевых соединений;
- анализ информации в заданных VLAN;
- функции HoneyPot для отвода атак;
- блокировка любого вида трафика в режиме IPS.
Цена SecureNet Sensor = $3200
Семейство продуктов Juniper Networks IDP включает четыре одинаковые по функциональности модели (IDP-10, IDP-100, IDP-500, IDP-1000), различающиеся величиной пропускной способности и ассортиментом интерфейсов. Juniper Networks IDP включается непосредственно в линию связи и может работать в режиме моста (без IP адресов на интерфейсах) и маршрутизатора. Устройство может быть использовано и в качестве пассивного детектора атак. Для организации отказоустойчивых структур и распределения нагрузки, а также с целью увеличения пропускной способности узла защиты, несколько (до16) устройств могут быть объединены в кластер, имеющий для каждой VLAN один виртуальный интерфейс с собственными виртуальными МАС и IP адресом.Совместно с IDP-10 и IDP-100 может также быть использован т.н. Bypass Unit, который включается в линию вместо IDP и осуществляет продвижение трафика в случае, если IDP выйдет из строя. Особенностью решения NetScreen является использование комплексного метода обнаружения вторжений на 2-7 уровнях модели OSI (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность реализации которого позволяет осуществлять немедленную блокировку атак в режиме реального времени.
Характеристики устройств
| IDP 50 | IDP 200 | IDP 600C/F | IDP 1100C/F | |
| Максимальная производительность | До 50 МБит/сек | До 250 МБит/сек | До 500 МБит/сек | До 1 ГБит/сек |
| Максимальное число сессий | 10000 | 70000 | 220000 | 500000 |
| Режимы работы | Passive sniffer, inline bridge, inline Proxy-ARP, inline router | |||
| Механизмы обнаружения | 8, включая Stateful Signatures и Backdoor Detection | |||
| Обновление сигнатур | Сигнатуры обновляются ежедневно | |||
| Сетевые интерфесы | ||||
| Мониторинг трафика | 2 10/100/1000 | 8 10/100/1000 | 10 10/100/1000 или 8 оптических гигабитных + 2 10/100/1000 | 10 10/100/1000 или 8 оптических гигабитных + 2 10/100/1000 |
| Управление | 1 10/100/1000 | 1 10/100/1000 | 1 10/100/1000 | 1 10/100/1000 |
| Физическое резервирование | ||||
| Резервное питание | — | Optional | есть | есть |
| RAID | — | — | есть | есть |
| Поддержка отказоустойчивости | Fail-Open | Fail-Over, Load Sharing, HA Clustering, 3rd party fail-over | ||
Цена модели Juniper Networks IDP-200 = $4821
7.3. Системы мониторинга и управления безопасностью
Cisco Security Monitoring Analysis and Response System (CS-MARS) - программно-аппаратный комплекс, предназначенный для мониторинга, анализа и принятия ответных мер при управлении угрозами безопасности, в рамках стратегии самозащищающейся сети (Cisco Self-Defending Network). Технология CS-MARS представляет семейство высокопроизводительных масштабируемых устройств для управления, мониторинга и отражения угроз, позволяя потребителям более эффективно использовать сеть и устройства защиты.
Cisco CS-MARS сочетает в себе интеллектуальные возможности сети, механизмы корреляции событий на основе контекста, векторного анализа, обнаружения аномалий, идентификации активных узлов и автоматического отражения атак. В результате получается система, позволяющая быстро и точно выполнять обнаружение, контроль и отражение сетевых атак и поддерживать соответствие устройств сети установленным требованиям защиты.
В качестве источников информации о событиях для Cisco MARS может выступать сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС(Solaris, Windows NT, 2000,2003, Linux) и приложений (СУБД,Web и т. д.), сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т. д. Таким образом внедрение Cisco MARS способствует предотвращению роста количества инцидентов компьютерной безопасности, повышает эффективность процесса контроля и профилактики, способствовать расследованию нарушений и дает возможность автоматизировать реакцию системы на инциденты. Кроме того, Cisco MARS позволяет дифференцировать посылку различных сигналов и сообщений специалистам обслуживающим систему - офицерам безопасности, системным администраторам, руководителям.
Основные возможности Cisco MARS:
Цена Cisco MARS = $2500
Intrusion SecureNet Provider является одной из лучших систем анализа данных о вторжениях и управления системами безопасности. SecureNet Provider высокомасштабируемая система мониторинга и управления которая позволяет производить все действия как из единой точки так и из распределенной системы центров управления. С каждым шагом управления информационной безопасностью от мониторинга до анализа и подготовки отчетов — администратор безопасности обеспечивается интуитивно понятными и продуктивными интерфейсами.
Основные возможности: