Средства обнаружения сетевых атак

Компания Продукт Тип Инсталяция Поддержка сетевых систем и сервисов Анализируемые протоколы верхних уровней
Требования к ОС и аппаратуре консоли Требования к ОС и аппаратуре агентов/сенсоров Активно мониторируемые ОС Анализируемые протоколы L3
Anzen Computing Anzen Flight Jacket 3.0 for NFR (HW, SW) C

OpenBSD, UltraSparc Solaris, 450-МГц Pentium III, 128 Mбайт ОЗУ, 6 Гбайт на диске

Встроенная ОС, 450-МГц Pentium III, 128 Мбайт ОЗУ, 6 Гбайт на диске OpenBSD, BSDi, Solaris TCP/IP, UDP/IP HTTP, FTP, telnet, SNMP, SMTP, rsh, DNS, ICMP, POP, IMAP, NFS, finger, syslog, Ident
Axent Technologies NetProwler 3.0 (SW) C Windows NT, 133-МГц Pentium II, 64 Мбайт ОЗУ, 50 Мбайт на диске Н/п (агенты не используются) Windows NT IP HTTP, FTP, telnet, SNMP, SMTP, rsh, DNS, etc.
Axent Technologies Intruder Alert 3.0.1 (SW) X Windows NT/95/98, 90-МГц Pentium, 32 Мбайт ОЗУ, 2 Мбайт на диске

Windows NT, 33-МГц 486, 64 Мбайт ОЗУ, 63 Мбайт на диске; Unix, Sparc II, 64 Мбайт ОЗУ, 63 Мбайт на диске; NetWare, 33-МГц 486, 64 Мбайт ОЗУ, 63 Мбайт на диске

Windows NT, NetWare 3x/4x/5x, Unix (AIX, Digital Unix, Digital OSF1, HP-UX, IRIX, NCR, Sequent/Dynix, Solaris, SunOS, SVR4)

TCP/IP, IPX/SPX HTTP, FTP, telnet, rsh, Rlogin
Cisco NetRanger Intrusion Detection System (HW) C Solaris, HP-UX (на станции Sparc 5), 96 Мбайт ОЗУ, 450 Мбайт на диске Н/п (аппаратное средство) Любая система, поддерживающая TCP/IP; Windows NT, Unix, NetWare и др. TCP/IP, NetBIOS HTTP, FTP, telnet, SNMP, SMTP, rsh, DNS и др.
Computer Associates eTrust Intrusion Detection 4.1 (SW) C Windows NT/95/98, 166-МГц Pentium, 64 Мбайт ОЗУ, 100 Мбайт на диске Windows NT/95/98, 166-МГц Pentium, 64 Мбайт ОЗУ, 200 Мбайт на диске Windows 95/98/NT TCP/IP, UDP/IP

HTTP, FTP, telnet, SNMP, SMTP, NFS, rsh, DNS, POP3, IMAP, TFTP, finger, ICMP и др.

CyberSafe Centrax 2.3 (SW) X/C Windows NT, 166-MHz Pentium, 64 Мбайт ОЗУ, 1 Гбайт на диске Windows NT, 166-МГц Pentium, 32 Мбайт ОЗУ, 200 Мбайт на диске; Solaris, AIX, 32/64 Мбайт ОЗУ, 200 Мбайт на диске Windows NT, Windows 2000, Solaris, AIX TCP/IP HTTP, FTP, TFTP, SMTP, rsh
Internet Security Systems RealSecure 3.0 (SW) X/C Windows NT, 166-MHz Pentium, 64 Мбайт ОЗУ, 1 Гбайт на диске Windows NT, 166-МГц Pentium, 32 Мбайт ОЗУ, 100 Мбайт на диске; Solaris, 32/64 Мбайт ОЗУ, 100 Мбайт на диске Windows NT, Windows 2000, Solaris TCP/IP

HTTP, FTP, telnet, SNMP, SMTP, POP, DNS, NNTP, IRC, NetBIOS, NFS, RPC, RIP, TFTP, Ident, IMAP, finger, Netbus, BO2K, SMB, syslog

Network Associates CyberCop Monitor 2.0 (SW) X/C Windows NT, 266-МГц Pentium, 128 Мбайт ОЗУ, 50 Мбайт на диске Windows NT, 266-МГц Pentium, 128 Мбайт ОЗУ, 50 Мбайт на диске Windows NT, Solaris 2.6, HP-UX 10.2 TCP/IP, NetBIOS HTTP, FTP, telnet, Rlogin, SMTP, IRC, Ident, POP, TFTP, ICMP, DNS, SMB
Network Flight Recorder Network Flight Recorder 4.0 (SW) C

Solaris Sparc, 128 Мбайт ОЗУ, диск — в зависимости от числа агентов; управляющее ПО: Windows 95/98/NT, 166-МГц Pentium, 32 Мбайт ОЗУ, 2 Мбайт на диске

Встроенная ОС, 400-МГц Pentium II, 128 Мбайт ОЗУ, 2 Гбайт на диске Любая система, поддерживающая TCP/IP; Windows NT, Unix, NetWare и др. IP, TCP, UDP, ICMP, RIP HTTP, FTP, DNS, ARP, SMTP, rsh, DHCP, SNMP, telnet, TFTP, RPC и др.
Network ICE ICEcap with BlackICE (SW) X/C Windows NT, 90-МГц Pentium, 32 Мбайт ОЗУ, 7 Мбайт на диске Windows NT, 90-МГц Pentium, 64 Мбайт ОЗУ, 20 Мбайт на диске

Любая система, поддерживающая TCP/IP; Windows NT, различные версии Unix

TCP/IP, UDP, ARP, ICMP, NetBIOS

HTTP, FTP, telnet, SNMP, SMTP, rsh, DNS, BO2K, IMAP, POP, IRC, ICQ, AOL-IM, Sun RPC, NFS, mount, cmsd, MS-RPC, WinReg, NNTP, SMB, SQL, TFTP, PPTP, finger, ident

Tivoli Systems Tivoli Cross-Site for Security 1.1 (SW) C

Windows NT, Solaris, AIX, 266-МГц Pentium, 20/32 Мбайт ОЗУ, 10/14 Мбайт на диске

Windows NT, Solaris, AIX, 266-МГц Pentium, 20/32 Мбайт ОЗУ, 10/14 Мбайт на диске

Windows NT, Solaris, AIX TCP/IP, UDP, ARP, ICMP, NetBIOS

HTTP, FTP, FTP Data Finger, telnet, rsh, TFTP, DNS, gopher, IMAP, POP, Ident, NNTP, PMAP, mount, NFS, RSTAT, YPUPDATE, YPSERV, STATUS, SMB, ICMP, PCNFSD, IRC, LPR, TALK, UUCP, Kerberos, WRITESRV

Примечания. АРС — автоматическая регистрация событий в базе данных, МО — наличие функции-мастера (wizard) составления отчетов, ПЗ/НП — возможность установки пороговых значений/наборов правил, ПУ — возможность реконфигурирования периферийный устройств для остановки атаки, С — сетевой продукт, СР — сценарии реагирования, задаваемые пользователем, Х — продукт для хост-компьютера, Ф/П — настройка формата/периодичности выдачи отчетов, HW — аппаратный, SW — программный.

Приведенные в таблице продукты поддерживают выдачу предупреждений в реальном времени, генерацию пользовательских модулей для детектирования определенных типов атак, блокировку неавторизованных попыток доступа к файлам и получения статуса суперпользователя (кроме Anzen Flight Jacket 3.0 и Tivoli Cross-Site for Security 1.1), выявление атак сетевого уровня, приводящих к отказу в обслуживании (кроме Intruder Alert 3.0.1), обнаружение попыток несанкционированного доступа, как успешных (кроме ICEcap), так и неудавшихся, классификацию локальных и удаленных попыток входа в систему, а также доступа по FTP, идентификацию номера порта, через который была предпринята атака.

   

Поделитесь материалом с коллегами и друзьями