Computer Associates eTrust

eTrust Intrusion Detection — автоматизированное средство, позволяющее получить полное представление об использовании ресурсов локальной сети, идентифицировать и адекватно реагировать на вторжения из глобальных сетей, предотвратить попытки нарушения корпоративной информационной безопасности или вирусные угрозы. Сочетая богатые возможности и низкую стоимость, eTrust позволяет обеспечить современный уровень организации работы локальной сети, при котором высокая эффективность сочетается с не менее высоким уровнем безопасности.

Основные характеристики

• Программный анализатор TCP/IP-сетей. Прослушивает весь трафик, циркулирующих в локальной сети, сравнивает все сетевые события и информационное наполнение пакетов со встроенной базой сигнатур атак или созданными администратором правилами использования сети и принимает на их основании решение о блокировании сессий.
• Позволяет наблюдать, как используются ресурсы сети, защитить сеть от хакерских или вирусных атак и обеспечить немедленное реагирование на возникшие угрозы.
• Может быть установлен в любой сети, использующей TCP/IP-протокол на любом компьютере с Windows 95/98 или NT 4.0/5.x и может обрабатывать сетевой трафик одного или более сегментов Ethernet, Token Ring, FDDI.
• Включает в себя механизмы обнаружения сигнатур атак, анализа Java/ActiveX-кода, антивирусные механизмы, обширный (более 500 тыс.) систематизированный список URL. Всё это дополняет возможности распространенных межсетевых экранов.
• Позволяет расширить возможности CheckPoint Firewall-1, так как поддерживает интерфейс OPSEC.
• Имеет интерфейсы связи для управления списками доступа (Access List) маршрутизаторов Cisco.

Возможности

Обеспечивает решение следующих ключевых проблем:

• Уменьшение требований к навыкам персонала и требований к ресурсам сети;
• Экономичность и масштабируемость;
• Обеспечение руководства организации удобными для анализа отчетами;
• Большая гибкость в настройке под конкретную локальную сеть;
• Решение большого числа задач одним комплексом.

Это достигается:

• Инсталляцией «plug-and-play» и функцией самоконфигурации;
• Удобным графическим интерфейсом пользователя (GUI);
• Интерактивностью представления сетевых событий;
• Статистикой об использовании ресурсов сети в режиме «реального времени»;
• Настройкой политик безопасности по принципу «от простого к сложному»;
• Простотой настройки (модифицирования) правил контроля, блокирования и предупреждений;
• Широтой мер реагирования на сетевые события в реальном масштабе времени;
• Наличием предустановленных правил блокирования;
• Наличием встроенного интерфейса для взаимодействия с другими защитными структурами локальной сети (OPSEC для CheckPoint FireWall-1 и средства динамического конфигурирования Access List для Cisco);
• Полной поддержкой системы оценки RSAC;
• Современными средствами оценки Java/ActiveX-кода (используются механизмы оценки, разработанные Finjan Software);
• Антивирусными механизмами (предоставлены компанией eSafe Ltd);
• Полным набором средств просмотра и анализа накопленной информации;
• Поддержкой контекстного просмотра пакетов по заданным шаблонам, ключевым словам.

Отличие от аналогов

eTrust Intrusion Detection полностью прозрачен, не вносит задержек в работу сети, не требует изменений структуры сети, независим от сетевой операционной системы и предъявляет минимальные требования к ресурсам компьютера.

Основные особенности eTrust Intrusion Detection:

• Идентификация зарегистрированных пользователей NT Domain:
  • Указание идентификатора пользователя (в дополнение к IP/MAC/DNS-координатам);
  • Генерация отчетов, основанная на идентификаторах пользователей;
  • Ведение статистики для пользователей NT Domain.
• Расширенные возможности блокирования потенциально опасных действий:
  • Блокирование сессий на основании контекстного содержания IP-пакетов;
  • Возможность создания своих (специфических) правил безопасности;
  • Поддержка созданных пользователем комплекса динамических библиотек (DLL) с описанием угроз информационной безопасности.
• Расширенные возможности по генерации отчетов:
  • Древовидная структура отчетов;
  • Возможность экспорта отчетов для дистанционного просмотра;
  • Генерация отчетов с указанием имени пользователей NT Domain;
  • Автономное средство просмотра сгенерированных отчетов.
• Многопользовательская поддержка. Возможность наделения пользователей eTrust различными правами;
• Поддержка обработки IP-пакетов на основании содержащихся в них ключевых слов;
• Отображение сеансов Telnet;
• Возможность ограничения сбора статистической информации;
• Полная поддержка прокси-серверов;
• Полная поддержка многопользовательской среды Windows NT;
• Определение и реагирование на новейшие методы атак на локальную сеть:
  • Фрагментация пакетов;
  • Нахлёстывание данных;
  • Анализ данных в SYN-пакетах;
  • Поддержка тестов ID;
  • Sweep-атака;
  • Переполнение буфера.
• Удобство использования:
  • Блокирование сессий определено как отдельное действие;
  • Графический интерфейс для взаимодействия с OPSEC CheckPoint FireWall-1;
  • Способность игнорировать ложные предупреждения о подозрительных сетевых событиях;
  • Возможность редактирования правил безопасности при просмотре журнала регистрации событий;
  • Переключение между журналом регистрации событий и журналом заблокированных сессий;
  • Поддержка идентификации пользователей на основании МАС-адреса при использовании DHCP;
  • Поддержка переключения между рабочими пространствами (сегментами локальной сети).
• Полная поддержка сетевой операционной системы Windows NT:
  • Поддержка всех сервисов WinNT;
  • Мониторинг использования ресурсов процессора сервера WinNT;
  • Поддержка LLS;
  • Поддержка Windows 95, 98 и NT 5;

Обзор ПО

Консоль

Позволяет дистанционно управлять eTrust через локальную сеть или через коммутируемое соединение.

Central

Расширяет возможности стандартного пакета eTrust Intrusion Detection. Обладает способностью централизованно управлять одним или более комплексом eTrust. Это дает возможность администратору системы на одном рабочем месте определять и формировать политику безопасности предприятия, аккумулировать данные, полученные от удаленных систем eTrust в единой базе данных. Кроме этого, применение eTrust Central позволяет одновременно контролировать несколько сегментов локальной сети без применения специального оборудования.

Central позволяет реализовать:

• Возможность администратора безопасности контролировать, управлять и реагировать на сообщения нескольких, территориально разделенных комплексов eTrust так, как будто они находятся в одной локальной сети;
• Возможность администратора безопасности управлять удаленным комплексом eTrust через Internet;
• Возможность привилегированным пользователям (например, начальнику службы безопасности) анализировать накопленную информацию в том объеме, в котором ему позволяют полномочия;
• Снижение затрат на содержание квалифицированных специалистов на местах.

eTrust Central работает под управлением ОС Windows 95/98 или Windows NT.

Системные требования

• Платформа Pentium 166 МГц или выше
• Операционная система Windows 95/98, NT 4.0 или выше
• Память 64 Mбайт
• Дисковое пространство 200 Mбайт
• Сетевая карта одна или более Ethernet, TokenRing, FDDI

Варианты подключения:

• Обеспечение внутренней информационной безопасности предприятия;
• Обеспечение антивирусной и антивандальной защиты локальной сети.

Решаемые задачи

Основная предпосылка для совершения атак заключается в том, что они основаны на использовании совершенно стандартных сервисах TCP/IP-протокола. В основном, все межсетевые экраны блокируют использование не указанных специально сервисов при взаимодействии клиент-сервер и не проверяют информационное наполнение пакета. Традиционные виды атак включают:

• Пакет (вроде ping) с очень большой длиной, вызвающий зависание стека TCP/IP и, таким образом, выводящий из строя удаленный компьютер (отказ от обслуживания);
• Начало и не окончание сеансов — это занимает сетевые порты и, опять же приводит к отказу от обслуживания;
• Посылка электронного письма с вложением, содержащим вирусы;
• Посылка электронного письма с исполняемым кодом (троянский конь);
• Размещение на общедоступном веб-сервере Java или ActiveX апплетов, которые несут в себе деструктивный исполняемый код.

Все эти проблемы привели к появлению новых методов и средств борьбы с атаками. Один из них — комплексы обнаружения вторжения в сеть. Идея функционирования таких систем основана на сравнении всех сетевых событий со встроенной базой данных по методам реализации атак в реальном масштабе времени. Кроме этого, часть таких систем способна анализировать информационное наполнение пакетов с целью обнаружение потенциально опасного вложения (вирусы, ActiveX, Java и т. д.).

Комплекс eTrust Intrusion Detection обеспечивает обнаружение и реагирование на вторжение, обнаружение вирусов и опасных Java/ActiveX компонентов. Одновременно комплекс сохраняет всю информацию о нападении, что позволяет в последующем использовать ее для принятия организационных мер.

Принцип работы

Основой для осуществления контроля являются настраиваемые политики и правила безопасности. Они включают в себя правила фильтрации доступа к Интернет, правила мониторинга, блокирования и предупреждения о нападениях (атаках), правила фильтрации Java/ActiveX-апплетов, правила фильтрации электронной почты. Эти политики и правила должны соответствовать идеологии защиты информации в организации. Просматривая все пакеты, пересылаемые по локальной сети, eTrust сравнивает с установленными правилами безопасности и принимает решение о необходимости реагирования.

Новые правила фильтрации легко добавляются прямо из основного рабочего окна программы. Предустановленные правила фильтрации могут быть модифицированы и адаптированы к топологии вашей сети. Кроме того, если какое-либо сетевое событие не попадает ни под одно правило фильтрации, оно попадет в файл протокола для последующего анализа и идентификации.

Межсетевая защита

Защита внутренней корпоративной сети предусматривает использование специальных средств межсетевой защиты. К сожалению, использование этих средств без специального анализа деятельности сети может обойтись очень дорого. Согласно утверждениям ведущих экспертов в межсетевой защите, более чем 50 % установленных межсетевых средств защиты неэффективны из-за неправильной настройки и наличия уязвимостей в основной сетевой операционной системе. Поэтому неудивительно, что компании не спешат использовать межсетевые средства защиты.

Нерациональное использование Интернет

Под нерациональным использованием информационных ресурсов Интернет понимается использование ресурсов локальной сети, каналов доступа и рабочего времени сотрудниками организации для получения доступа к ненужной для выполнения своих функциональных обязанностей информации, находящейся в глобальных сетях.

Нерациональное использование Интернет-ресурсов имеет несколько отрицательных аспектов. Это и снижение производительности труда сотрудников, и рост счетов от провайдера Интернет-услуг. И снова, большинство межсетевых экранов, ориентированных на пакетную фильтрацию, не сосредоточены на контроле трафика прикладного уровня и управлении доступом на основании информационного наполнения. Такие задачи выполняют специальные программы-шлюзы. Они обычно включают в себя классифицированную библиотеку URL-адресов и позволяют администратору идентифицировать информационные ресурсы и блокировать доступ к нежелательной информации. Недостаток таких шлюзов в том, что необходимо задействовать ресурсы компьютера, через который осуществляется доступ к Интернет, либо задействовать ресурсы клиентских компьютеров.

Кража или подбор паролей

Подобное действие преследует своей задачей получение неправомочного доступа к привилегированной (конфиденциальной) информации. Используя подобранный или украденный пароль, злоумышленник на корпоративном сервере получает неограниченный доступ к конфиденциальной информации. И, к сожалению, определить попытки такого доступа и источник атаки стандартными средствами сетевых операционных систем очень сложно или невозможно.

eTrust обеспечивает идентификацию попыток пользователей подобрать пароль для входа в систему и отслеживает такие попытки с одновременной регистрацией, что может быть использовано в последствии для принятия руководством организационных решений.

eTrust просто прослушивает весь трафик локальной сети и блокирует только те попытки доступа, которые указаны администратором.

Промышленный шпионаж

Под промышленным шпионажем понимается кража и передача закрытой корпоративной информации другим организациям. С использованием Интернет стало относительно просто передать ценную информацию за пределы. Например, проект контракта или тендерного предложения может быть просто переслан конкурентам электронной почтой. Здесь традиционные межсетевые экраны бессильны.

eTrust Intrusion Detection обеспечивает контекстный просмотр всех циркулирующих в локальной сети пакетов и в случае содержания в них определенных администратором ключевых слов, такие пакеты блокируются.

Производитель: Computer Associates.

Распространитель: Rainbow Technologies.