McAfee IntruShield – защита от вторжений
McAfee IntruShield (www.mcafee.com) — это мощная и надежная система предотвращения вторжений (IPS) с мультигигабитной производительностью, интегрирующая сетевую и системную безопасность в масштабе всего предприятия. Основная особенность McAfee IntruShield — аппаратная платформа, использующая специализированные проблемно-ориентированные микросхемы ASIC для анализа трафика. Благодаря этому решения McAfee IntruShield могут защищать сети с пропускной способностью до 10 Гбит/с — результат, недостижимый для программных средств. Компания McAfee предлагает гибкий модельный ряд устройств IntruShield для защиты как границы, так и ядра сети.
Установка McAfee IntruShield не требует внесения изменений в конфигурацию сети; устройство устанавливается прозрачно, «в разрыв провода». Вредоносные программы и сетевые анализаторы не могут обнаружить IPS-систему, так как сетевые интерфейсы анализатора не имеют собственных MAC-адресов. Разбирая и анализируя текущий трафик, McAfee IntruShield предоставляет эффективную защиту от таких угроз, как DoS-, DDoS-и SYN-flood атаки, зондирование сети, сканирование портов, хостов и сервисов, получение информации об операционной системе, подбор паролей, защита от вредоносного кода (бот-сети, сетевые черви, трояны, нежелательное ПО).
Помимо защиты от вредоносного кода и сетевых атак решение McAfee IntruShield 4.1 позволяет блокировать нежелательный трафик, например, создаваемый приложениями мгновенного обмена сообщениями или файлообменными сетями P2P. Интеллектуальные средства управления трафиком реализуют внутренний межсетевой экран и позволяют динамически управлять полосой пропускания, выделяемой для различных протоколов.
Для обнаружения и идентификации атак используется сочетание методов сигнатурного и поведенческого анализа, корреляционный метод, обнаружение аномалий трафика. Большая часть атак обнаруживается сигнатурным методом. На сегодня база McAfee IntruShield 4.1 содержит более 5 тыс. сигнатур и периодически обновляется. Каждая сигнатура в точности описывает уязвимость, на которую направлены разнообразные атаки, поэтому одна сигнатура может обнаруживать несколько атак. В случае возникновения критических атак, не охватываемых существующими сигнатурами, выходят внеплановые обновления. Существует возможность создания собственных сигнатур.
McAfee IntruShield предлагает гибкие вари анты реагирования на обнаруженные атаки: уведомление, регистрация событий, разрыв соединения (TCP Reset), реконфигурирование межсетевого экрана, блокировка трафика (Packet Drop), имитация недоступности машины (ICMP Unreachable).
Всеми сенсорами McAfee IntruShield в организации можно управлять с помощью консоли McAfee IntruShield Manager через Web-интерфейс. McAfee IntruShield Manager управляет распределением обновлений и политик сканирования, сбором данных о событиях от сенсоров. Аутентификация пользователей может проводиться по локальной базе, на основе службы каталогов через интерфейс LDAP или на сервере RADIUS. Для делегирования задач администрирования в крупных организациях есть возможность вести дерево управления по территориальному или функциональному признаку. В дочерний домен управления можно занести отдельные сенсоры или существующие порты/интерфейсы сенсора.
Кроме того, входящий в состав решения IntruShield Command Center позволяет организовать территориально распределенную иерархическую систему управления с установкой нескольких серверов IntruShield Manager.
Надежность решения McAfee IntruShield обеспечивается за счет широких возможностей резервирования. Сенсоры IntruShield позволяют организовать кластерные конфигурации в режимах Active/Active или Active/ Passive. Система управления IntruShield Manager поддерживает установку в отказоустойчивой конфигурации с автоматическим восстановлением после сбоев.
Для корпоративных заказчиков важным преимуществом становится гибкость настроек McAfee IntruShield, в основе которой лежит технология виртуализации. Политики обнаружения и предотвращения атак могут привязываться не только к физическим интерфейсам, но и к логическим, виртуальным интерфейсам, определяемым на основе тегов VLAN либо блоков IP-адресов. Есть возможность группировать физические интерфейсы в один логический (например, в случае асимметричной маршрутизации). Таким образом, единое устройство McAfee IntruShield способно в ряде случаев заменить несколько традиционных IPS-систем, не поддерживающих виртуализацию, с сохранением возможности назначать независимые политики для виртуальных сенсоров и делегировать права администрирования нескольким администраторам безопасности.
В McAfee IntruShield 4.1 имеется мощная система построения отчетности с Web-интерфейсом. В составе решения поставляются предопределенные отчеты о конфигурации системы и обнаруженных событиях. Поддерживается возможность создавать собственные шаблоны отчетов, а также генерировать отчеты по расписанию и отправлять их по заранее заданным спискам получателей. Информация о системных сбоях и атаках перенаправляется на удаленный Syslog-сервер или SNMP-сервер либо отсылается по электронной почте.
McAfee IntruShield 4.1 поддерживает интеграцию с решениями McAfee для сетевой и системной безопасности. Интеграция с решением для управления уязвимостями McAfee Foundstone позволяет определять релевантность атак с точки зрения уязвимостей, ранее обнаруженных в атакуемых системах. За счет интеграции с решением контроля сетевого доступа McAfee Network Access Control (NAC) можно блокировать порт на коммутаторе в случае обнаружения атаки, поступившей с данного порта. Встроенные возможности карантина хостов McAfee IntruShield позволяют изолировать машины на основе анализа их поведения, полностью блокируя их трафик. Путем взаимодействия со средством централизованного управления McAfee ePolicy Orchestrator решение McAfee IntruShield получает информацию об ОС компьютеров сети и установленных на них средствах защиты. Интеграция с McAfee Host Intrusion Prevention (HIPS) обеспечивает корреляцию атак, имевших место на сетевом и системном уровнях.
В России продажей и поддержкой комплексов McAfee Intrushield занимается компания Associates (www.mcafee.ru), имеющая партнерский статус McAfee ElitePartner Solution Provider. Возможно предоставление сенсоров McAfee Intrushield IPS заказчикам для тестирования.