Network Intrusion Detection and Prevention или аппаратно программный комплекс Dragon представляет собой

Dragon 7 Network Intrusion Detection and Prevention

  • Инструмент Stealth Network Intrusion Prevention, защищающий сеть от вторжения извне,
  • Новые декодеры протокола VoIP, защищающие сеть от DOS-атак,
  • Скорость 1 гигабит/с для защиты сети,
  • Обнаружение атак Zero Day благодаря комплексному подходу с использованием нескольких методов,
  • Ключевой компонент системы Enterasys Dynamic Intrusion Response.

Надежная защита сети от вторжений

Dragon Network Sensor представляет собой интеллектуальную программную систему защиты от вторжений в сети, способную
идентифицировать попытки сканирования и атаки в пределах всей сети.

Улучшенная технология Dragon Intrusion Prevention (IPS) предназначена для блокирования атак, уменьшения риска DOS-атак и предотвращения хищения информации, оставаясь при этом полностью невидимой для сети. Созданная на основе технологии Dragon Intrusion Detection, завоевавшей ряд наград, IPS способна предупреждать об атаках, отбрасывать вредоносные пакеты, прерывать сессии при атаках на основе TCP и UDP, а также динамически устанавливать правила для брандмауэров, которые могут заблокировать источник атаки навсегда или на определенный период времени. Известные источники атак могут быть заблокированы путем внесения их в Black Lists, в то время как доступ к ключевым корпоративным ресурсам или надежным сетям может быть всегда разрешен с помощью White Lists.

Система Dragon поставляется с большой библиотекой атак и может сразу настраиваться для их отражения. В качестве основы для контроля сети и защиты от атак Dragon Network IPS может использовать тысячи сигнатур на основе слабых мест и уязвимостей, находящихся в библиотеке атак Dragon.

Dragon IPS доступна только в составе системы Dragon, поставляемой в данное время. Однако необходимо отметить, что практически все системы Dragon IDS могут конвертироваться в системы IPS путем заказа дополнительной лицензии.

Заказчикам не требуется покупать все новые системы, если они желают указать какую-либо одну для IPS. Системы Dragon IPS обеспечивают высокую степень надежности и избыточности, включая опции резервных линий.

Находясь на границе или в ключевой точке сети, Dragon Network Sensor незаменим для обнаружения угроз безопасности, таких как сканирование сети, вторжение в сеть, обнаружение системных уязвимостей, размножение вирусов и шпионских программ. Dragon использует разнообразные методы для идентификации атак: сопоставление с эталоном, анализ протокола и технологии обнаружения аномалий. Система контроля событий прикладного уровня позволяет обнаруживать атаки против ряда типичных приложений, включая HTTP, RPC и FTP, даже в отсутствие известных сигнатур.

В системе Dragon 7.2 применены новые декодеры протокола VoIP, предназначенные для SIP и Н.323, которые в состоянии идентифицировать искаженные сообщения и предотвращать DOS-атаки. Помимо этого, в Dragon 7.2 введен новый современный язык сигнатур, обеспечивающий возможность проверки арифметической последовательности байтов, в сочетании с множественным сопоставлением с эталоном и Perl Compatible Regular Expressions в момент обработки.
Теперь установление порога срабатывания может производиться на уровне сигнатур, он может настраиваться отдельно для каждого виртуального детектора. Сигнатуры по-прежнему хранятся в свободно настраиваемом формате на базе XML.

Помимо этого, многие сигнатуры Dragon и опции тревожных сигналов предназначены для обнаружения атак Zero Day.
Технология обнаружения с помощью нескольких методов — в сочетании с обширной, часто обновляемой
базой данных сигнатур и возможностью настройки ложного распознавания сигнала — обеспечивает гарантию того, что ни одна атака или уязвимость политики безопасности не останется незамеченной.

Dragon Adaptive Match Engine и многопоточные приложения обеспечивают существенный прирост производительности благодаря программному обеспечению. Сначала анализируется профиль сетевого трафика, проходящего через детектор, затем для анализа трафика «адаптивно» выбирается один из девяти алгоритмов. Таким образом, детектор может использовать несколько алгоритмов обнаружения одновременно, наилучшим образом применяя каждый из них к конкретному типу трафика.

Dragon Virtual Sensor обеспечивает быстрое развертывание в различных средах, позволяя администраторам безопасности настраивать один детектор таким образом, что он функционирует как несколько отдельных детекторов. Dragon Virtual Sensor может применяться к IDS- и IPS-детекторам, и может соединяться с Virtual LAN, IP-сетями, физическими портами или приложениями на уровне TCP и UDP. Для каждого детектора можно применить уникальную политику, определяющую, какая технология анализа будет использоваться, и какие сигналы тревоги следует генерировать. Благодаря технологии Dragon Virtual Sensor одна система Dragon может одновременно работать и как IDS, и как IPS система.

В дополнение к действиям Intrusion Prevention, Network Sensor может применять разнообразные технологии Active Response для блокирования возможных вторжений, червей или попыток сканирования сети, непосредственно прервав сессию атаки или перенастроив политики безопасности брандмауэров, коммутаторов или маршрутизаторов, чтобы заблокировать текущие попытки атаки. Детекторы Dragon Network Sensor являются составной частью продукта Enterasys Dynamic Intrusion Response (DIR), обеспечивающего точное установление источников атак в точке входа в сеть комплекса. DIR может работать в проводных и беспроводных сетях и имеет возможность изолировать, фильтровать или отключать доступ к сети источникам атак, идентифицированным Dragon.

Dragon Network Sensor является лидером рынка в области глубокого анализа, включающего гибкий сбор пакетов и полную реконструкцию сессии, что является важным для анализа сетевых атак. Также имеется функция pre-event collection, включающая сбор предшествующих пакетов, которые инициировали атаку.

Централизованное управление Dragon Network Sensor осуществляется с помощью Dragon Enterprise Management Server, который обеспечивает простое управление настройками и обновление сигнатур. Пользователь имеет возможность легко контролировать деятельность систем IDS и IPS, поскольку отчеты обо всех предпринятых действиях и обнаруженных атаках
направляются в систему управления отчетами Dragon.