Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Узнайте лицо врага

Майк Фратто

Выявление аномалий в поведении сети, возможно, станет для вас лучшей защитой от атак.

Если вы чего-то не знаете о действиях вашего противника, то впоследствии это может обернуться против вас. Предупредить вторжения вам помогут продукты обнаружения сетевых аномалий.

Технология обнаружения аномалий в поведении сети (Network Behavior Anomaly Detection — NBAD) основана на сборе информации о том, как выглядит нормальный трафик, и последующем выявлении отклонений от нормы. В поле зрения этого процесса также попадают и те изменения уровня трафика, которые не связаны с возможными атаками, но тем не менее могут привести к нежелательным последствиям. Таким образом, данная технология позволяет решить сразу две задачи: прояснить картину происходящего в сети и выявить подозрительные процессы.

Мы протестировали продукты Peakflow X 2.2 компании Arbor Networks, StealthWatch 3.0 компании Lancope и QVision 2.1 компании Q1 Labs. В течение двух месяцев их сенсоры “вели наблюдение” за внутренним трафиком нашей кампусной сети, и полученные результаты поистине поразили нас.

Глядя на цены — 141 тыс. долл. за Peakflow X, 95 тыс. долл. за StealthWatch и 94 тыс. долл. за QVision (консоль и три сенсора), — можно сказать, что такие продукты не всем по карману. Но если уж вы решите приобрести один из них, то сначала обеспечьте защиту периметра вашей сети и выработайте политику безопасности.

Peakflow Х 2.2 компании Arbor Networks

Чтобы изучить поведение сети, устройства NBAD отслеживают потоки трафика (обычно проходящего между двумя и более узлами). В продукте Peakflow X предусмотрена возможность автоматического разделения потоков, за которыми следят разные сенсоры, что исключает дублирование при сведении полученной информации воедино.

Работа Peakflow X основывается на “модели отношений”, характеризующей взаимодействие сетевых узлов друг с другом. При выявлении попыток новых подключений, не предусмотренных, так сказать, нормой поведения хоста, продукт выдает предупреждение. Он может использовать данные о потоках трафика через маршрутизаторы и коммутаторы, полученные с помощью таких инструментов, как NetFlow, Sflow and Cflow, и при этом не нужно его физического подключения к сети. Но поскольку Peakflow X оперирует потоками, то возможностей для анализа протоколов уровня 7, которые имеются у продуктов StealthWatch и QVision, в нем нет.

QVision 2.1 компании Q1 Labs

Инструментарий QVision обеспечивает визуальное отображение сетевого трафика; с его помощью мы могли гибко настраивать аналитические отчеты. Все предоставляемые им графические данные и объекты (сетевые узлы, подсети, приложения и порты) обозначены соответствующими цветами. Для получения более подробных сведений нужно “углубиться” в интересующий вас пункт отчета, а с помощью сводных таблиц можно всесторонне изучить полученную информацию.

Средства визуализации QVision окажутся незаменимыми в интенсивно работающих сетях с большим количеством приложений. Этот продукт всегда правильно определит трафик приложения безотносительно к порту. Приложения в первую очередь распознаются по их сигнатурам, а лишь затем по общим портам, полезной нагрузке и другим параметрам. QVision также способен осуществлять автоматический захват некоторого заданного количества пакетов в каждом потоке либо в потоках только неизвестных ему приложений.

StealthWatch компании Lancope

Компания Lancope разработала несколько алгоритмов для обнаружения узлов, демонстрирующих наиболее аномальное поведение. По сравнению с конкурентами ее продукт StealthWatch в большей мере преуспел в работе с потоками благодаря наличию механизма анализа пакетов, позволяющего выявлять спам-серверы, “червей” и аномалии на порте 80. Как и Peakflow X, продукт StealWatch фиксирует нормальное поведение, но не использует модель отношений узлов, поэтому мы не смогли назначать разным хостам разную политику безопасности. Зато StealthWatch контролирует файловый обмен, что должно обеспокоить пользователей P2P.

Поскольку StealthWatch не поддерживает порты с “длинными” номерами, часто используемые СУБД, P2P- и заказными приложениями, их закрытие избавит вас от необходимости реагировать на ложную тревогу..


Алмазное бурение отверстий из Коломны.




  
5 '2005
СОДЕРЖАНИЕ

бизнес

• Правила игры для операторов связи

• CeBIT 05 — новый виток конвергенции

• Информатизация в Югре

инфраструктура

• Маршрутизаторы для корпоративных сетей

• Лазеры VCSEL открывают новые возможности

• Тестируем WAN-акселераторы

• Обеспечение QoS в беспроводных ЛВС

информационные системы

• Как правильно выбрать систему CRM

сети связи

• Ethernet-сети общего пользования

кабельные системы

• Преимущества технологии PoE

• Экранированные витопарные кабели защитят от электромагнитных помех

защита данных

• Советы специалиста по информационной безопасности

• Фундамент информационной безопасности

• Доверяйте метрикам

• Обновляйте ПО!

• Узнайте лицо врага

• Конфиденциальность данных

• Wi-Fi против «плохих парней»

• Боремся с невеждами


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх