£900
Цена при просмотре
Устройства предотвращения вторжений, в отличие от систем обнаружения вторжений, не просто сообщают о попытке вторжения, но и реагируют на нее. Эти устройства обычно можно найти на корпоративном сегменте рынка, но Arxceo Ally ip100 предоставляет услуги по предотвращению вторжений для малого и среднего бизнеса за небольшую цену.
Первые впечатления обманчивы. Это ярко-оранжевое устройство крошечное, но оснащено двумя портами Ethernet со скоростью 100 Мбит/с и 64 МБ SDRAM под управлением 32-битного RISC-процессора Intel XScale PXA255. Благодаря внешнему источнику питания и отсутствию вентиляторов и жестких дисков он абсолютно бесшумен.
Arxceo описывает Ally как противоразведывательное устройство, использующее обнаружение вторжений на основе аномалий. На практике это означает, что программное обеспечение TAG-UR-IT обнаруживает предвестники попытки вторжения, в том числе сканирование портов, отравление DNS-кэша, DNS-туннелирование, попытки достичь несуществующих адресов и адресов подделка. Затем он отклоняет трафик. IP-адреса, связанные с подозрительным трафиком, автоматически помещаются в один из трех временных черных списков, в зависимости от причины внесения в черный список. Они остаются там в течение заданного пользователем периода времени. Постоянные неприятности могут быть помещены в постоянные черные списки.
Установка была простой. Единственная предоставляемая документация — это лист быстрого запуска с вариантами установки, но большего и не требуется. В интерфейс управления на основе браузера встроены подробные пояснения, а дополнительную информацию можно найти на веб-сайте Arxceo. Мы установили его между нашим интернет-соединением и брандмауэром, чтобы он мог перехватывать трафик до того, как он достигнет нашей локальной сети. Мы оставили нашу собственную Snort IDS включенной, чтобы проверить, прошло ли что-нибудь. Помимо настройки учетной записи администратора, параметров SNMP и обмена сообщениями системного журнала, мы повсюду использовали системные настройки по умолчанию. Затем мы провели несколько проверок безопасности через Интернет, чтобы увидеть, что произойдет, и оставили устройство на месте на некоторое время. за несколько дней до сравнения наших предыдущих журналов брандмауэра и отчетов IDS с теми, которые были получены с помощью устройства в место.
Устройство сообщило о сканировании безопасности через Интернет как о сканировании портов и занесло их в черный список. Большинство интернет-систем выдали нам отчет о состоянии здоровья, но не ответили ни на один из их запросов. Один сайт сообщил об открытых портах и не был занесен устройством в черный список. Дальнейшая проверка показала, что сайт был обманут алгоритмом аутентификации адреса Ally, который намеренно отправлял обратно вводящую в заблуждение информацию. Когда мы сравнили журналы брандмауэра, мы увидели сокращение количества записей об обнаружении вторжений, а обычные подозреваемые явно отсутствовали. Системный журнал показал, что они были обнаружены и заблокированы устройством и так и не достигли брандмауэра.
Безопасность может быть нарушена как через локальную сеть, так и через Интернет, поэтому обнаружение сканирования портов можно включить и на стороне локальной сети. Другая утечка безопасности может возникнуть, когда данные в пакетах Ethernet не заполняют минимальный размер пакета в 64 байта. Незаполненные байты в конце могут содержать полезную информацию для хакера. Ally ip100 удаляет эти данные перед тем, как покинуть сеть.
Проблема в том, что устройство представляет собой единую точку отказа. Он не закрывается и теряется подключение к Интернету. Никаких резервных или резервных вариантов нет, поэтому вам понадобится запасной на полке. Ally не является универсальным решением, поскольку он, например, не обнаруживает эксплойт внедрения SQL. Но с обычными вредителями он справляется с минимальными усилиями.
