Средства обнаружения сетевых атак
| Компания | Продукт | Тип | Инсталяция | Поддержка сетевых систем и сервисов | Анализируемые протоколы верхних уровней | ||
| Требования к ОС и аппаратуре консоли | Требования к ОС и аппаратуре агентов/сенсоров | Активно мониторируемые ОС | Анализируемые протоколы L3 | ||||
| Anzen Computing | Anzen Flight Jacket 3.0 for NFR (HW, SW) | C |
OpenBSD, UltraSparc Solaris, 450-МГц Pentium III, 128 Mбайт ОЗУ, 6 Гбайт на диске |
Встроенная ОС, 450-МГц Pentium III, 128 Мбайт ОЗУ, 6 Гбайт на диске | OpenBSD, BSDi, Solaris | TCP/IP, UDP/IP | HTTP, FTP, telnet, SNMP, SMTP, rsh, DNS, ICMP, POP, IMAP, NFS, finger, syslog, Ident |
| Axent Technologies | NetProwler 3.0 (SW) | C | Windows NT, 133-МГц Pentium II, 64 Мбайт ОЗУ, 50 Мбайт на диске | Н/п (агенты не используются) | Windows NT | IP | HTTP, FTP, telnet, SNMP, SMTP, rsh, DNS, etc. |
| Axent Technologies | Intruder Alert 3.0.1 (SW) | X | Windows NT/95/98, 90-МГц Pentium, 32 Мбайт ОЗУ, 2 Мбайт на диске |
Windows NT, 33-МГц 486, 64 Мбайт ОЗУ, 63 Мбайт на диске; Unix, Sparc II, 64 Мбайт ОЗУ, 63 Мбайт на диске; NetWare, 33-МГц 486, 64 Мбайт ОЗУ, 63 Мбайт на диске |
Windows NT, NetWare 3x/4x/5x, Unix (AIX, Digital Unix, Digital OSF1, HP-UX, IRIX, NCR, Sequent/Dynix, Solaris, SunOS, SVR4) |
TCP/IP, IPX/SPX | HTTP, FTP, telnet, rsh, Rlogin |
| Cisco | NetRanger Intrusion Detection System (HW) | C | Solaris, HP-UX (на станции Sparc 5), 96 Мбайт ОЗУ, 450 Мбайт на диске | Н/п (аппаратное средство) | Любая система, поддерживающая TCP/IP; Windows NT, Unix, NetWare и др. | TCP/IP, NetBIOS | HTTP, FTP, telnet, SNMP, SMTP, rsh, DNS и др. |
| Computer Associates | eTrust Intrusion Detection 4.1 (SW) | C | Windows NT/95/98, 166-МГц Pentium, 64 Мбайт ОЗУ, 100 Мбайт на диске | Windows NT/95/98, 166-МГц Pentium, 64 Мбайт ОЗУ, 200 Мбайт на диске | Windows 95/98/NT | TCP/IP, UDP/IP |
HTTP, FTP, telnet, SNMP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP и др. |
| CyberSafe | Centrax 2.3 (SW) | X/C | Windows NT, 166-MHz Pentium, 64 Мбайт ОЗУ, 1 Гбайт на диске | Windows NT, 166-МГц Pentium, 32 Мбайт ОЗУ, 200 Мбайт на диске; Solaris, AIX, 32/64 Мбайт ОЗУ, 200 Мбайт на диске | Windows NT, Windows 2000, Solaris, AIX | TCP/IP | HTTP, FTP, TFTP, SMTP, rsh |
| Internet Security Systems | RealSecure 3.0 (SW) | X/C | Windows NT, 166-MHz Pentium, 64 Мбайт ОЗУ, 1 Гбайт на диске | Windows NT, 166-МГц Pentium, 32 Мбайт ОЗУ, 100 Мбайт на диске; Solaris, 32/64 Мбайт ОЗУ, 100 Мбайт на диске | Windows NT, Windows 2000, Solaris | TCP/IP |
HTTP, FTP, telnet, SNMP, SMTP, POP, DNS, NNTP, IRC, NetBIOS, NFS, RPC, RIP, TFTP, Ident, IMAP, finger, Netbus, BO2K, SMB, syslog |
| Network Associates | CyberCop Monitor 2.0 (SW) | X/C | Windows NT, 266-МГц Pentium, 128 Мбайт ОЗУ, 50 Мбайт на диске | Windows NT, 266-МГц Pentium, 128 Мбайт ОЗУ, 50 Мбайт на диске | Windows NT, Solaris 2.6, HP-UX 10.2 | TCP/IP, NetBIOS | HTTP, FTP, telnet, Rlogin, SMTP, IRC, Ident, POP, TFTP, ICMP, DNS, SMB |
| Network Flight Recorder | Network Flight Recorder 4.0 (SW) | C |
Solaris Sparc, 128 Мбайт ОЗУ, диск — в зависимости от числа агентов; управляющее ПО: Windows 95/98/NT, 166-МГц Pentium, 32 Мбайт ОЗУ, 2 Мбайт на диске |
Встроенная ОС, 400-МГц Pentium II, 128 Мбайт ОЗУ, 2 Гбайт на диске | Любая система, поддерживающая TCP/IP; Windows NT, Unix, NetWare и др. | IP, TCP, UDP, ICMP, RIP | HTTP, FTP, DNS, ARP, SMTP, rsh, DHCP, SNMP, telnet, TFTP, RPC и др. |
| Network ICE | ICEcap with BlackICE (SW) | X/C | Windows NT, 90-МГц Pentium, 32 Мбайт ОЗУ, 7 Мбайт на диске | Windows NT, 90-МГц Pentium, 64 Мбайт ОЗУ, 20 Мбайт на диске |
Любая система, поддерживающая TCP/IP; Windows NT, различные версии Unix |
TCP/IP, UDP, ARP, ICMP, NetBIOS |
HTTP, FTP, telnet, SNMP, SMTP, rsh, DNS, BO2K, IMAP, POP, IRC, ICQ, AOL-IM, Sun RPC, NFS, mount, cmsd, MS-RPC, WinReg, NNTP, SMB, SQL, TFTP, PPTP, finger, ident |
| Tivoli Systems | Tivoli Cross-Site for Security 1.1 (SW) | C |
Windows NT, Solaris, AIX, 266-МГц Pentium, 20/32 Мбайт ОЗУ, 10/14 Мбайт на диске |
Windows NT, Solaris, AIX, 266-МГц Pentium, 20/32 Мбайт ОЗУ, 10/14 Мбайт на диске |
Windows NT, Solaris, AIX | TCP/IP, UDP, ARP, ICMP, NetBIOS |
HTTP, FTP, FTP Data Finger, telnet, rsh, TFTP, DNS, gopher, IMAP, POP, Ident, NNTP, PMAP, mount, NFS, RSTAT, YPUPDATE, YPSERV, STATUS, SMB, ICMP, PCNFSD, IRC, LPR, TALK, UUCP, Kerberos, WRITESRV |
|
Примечания. АРС — автоматическая регистрация событий в базе данных, МО — наличие функции-мастера (wizard) составления отчетов, ПЗ/НП — возможность установки пороговых значений/наборов правил, ПУ — возможность реконфигурирования периферийный устройств для остановки атаки, С — сетевой продукт, СР — сценарии реагирования, задаваемые пользователем, Х — продукт для хост-компьютера, Ф/П — настройка формата/периодичности выдачи отчетов, HW — аппаратный, SW — программный. |
Приведенные в таблице продукты поддерживают выдачу предупреждений в реальном времени, генерацию пользовательских модулей для детектирования определенных типов атак, блокировку неавторизованных попыток доступа к файлам и получения статуса суперпользователя (кроме Anzen Flight Jacket 3.0 и Tivoli Cross-Site for Security 1.1), выявление атак сетевого уровня, приводящих к отказу в обслуживании (кроме Intruder Alert 3.0.1), обнаружение попыток несанкционированного доступа, как успешных (кроме ICEcap), так и неудавшихся, классификацию локальных и удаленных попыток входа в систему, а также доступа по FTP, идентификацию номера порта, через который была предпринята атака. |
||||||