Что такое датчик сов

Принцип работы СОВ

СОВ всё чаще становятся необходимым дополнением инфраструктуры сетевой безопасности. В дополнение к межсетевым экранам (МЭ), работа которых происходит на основе политики безопасности, СОВ служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атакующих, которые обошли МЭ, и выдать отчет об этом администратору, который, в свою очередь, предпримет дальнейшие шаги по предотвращению атаки. Технологии обнаружения проникновений не делают систему абсолютно безопасной, однако, практическая польза от применения СОВ весьма значительна.

Использование СОВ помогает достичь нескольких целей:

• обнаружить вторжение или сетевую атаку;

• спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития. Атакующий обычно выполняет ряд предварительных действий, таких как, например, сетевое зондирование (сканирование) или другое тестирование для обнаружения уязвимостей целевой системы;

• выполнить документирование существующих угроз;

• обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;

• получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;

• определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Межсетевой экран установлен на границе защищаемой сети и блокирует основные часто встречающиеся атаки. Для правильной настройки межсетевого экрана и антивирусного ПО на компьютерах защищаемой подсети администратору необходимо иметь доступ к информации, с помощью которой можно анализировать весь сетевой трафик. Решение этой задачи заключается в установке СОВ непосредственно за межсетевым экраном для отслеживания атак со стороны внешних и внутренних нарушителей.

Этапы защиты сети (Рисунок 1):

• администратор подключает С-Терра СОВ на границе защищаемой сети и настраивает зеркалирование всего трафика информационной системы на СОВ. СОВ на основе правил обнаружения анализирует трафик и предоставляет администратору полную информацию о сетевых атаках;

• злоумышленники атакуют защищаемую сеть, допустим, что атака проходит в защищаемый контур, минуя межсетевой экран;

• администратор на основе анализа данных просматривает информацию об атаке, устанавливает IP-адрес источника, тип атаки и иную необходимую информацию;

• с учетом полученной информации администратор настраивает на межсетевом экране блокирующие правила, обновляет ОС, антивирусы компьютеров или производит иные действия, позволяющие блокировать повторную атаку, в результате повторная атака будет остановлена.

Источник

Сова-2 (ИО 315-2) Аргус-Спектр Извещатель охранный поверхностный совмещенный (снят с производства)

Купить Сова-2 (ИО 315-2) Аргус-Спектр по выгодным ценам в магазине СЕКТОР-СБ:

Доставка: по всей России (со склада в Москве или Санкт-Петербурге)
Задайте вопросы менеджеру:
Москва: (495) 150-15-47
СПб: (812) 677-85-80

Описание Сова-2 (ИО 315-2) Аргус-Спектр:

Извещатель Сова-2 снят с производства. Смотрите Сова-5.

В процессе работы охранный извещатель «СОВА-2» самостоятельно контролирует каналы. Благодаря оригинальной конструкции кронштейна прибор легко устанавливается. Имитатор акустического разрушения остекленных конструкций «АРС» позволяет проверять работоспособность извещателя и контролировать правильность его установки на объекте.

Подробное описание

Извещатель «СОВА-2» имеет 2 дополнительные комплектации:

• комплект «Зона линейная» (линза Френеля, диаграмма типа «коридорная», дальность до 18 метров);
• комплект «Зона поверхностная» (линза Френеля, диаграмма типа «вертикальная штора», дальность до 10 метров).

Характеристики извещателя «СОВА-2»:

• возможность совмещения функций 2-х охранных извещателей: объемного инфракрасного (ИК) и поверхностного звукового (АК);
• контроль разрушения 6-ти типов стекол (узорчатое, обычное, армированное, многослойное, каленое, ударопрочное, класса защиты А1-А3, а также стеклопакеты и стекла с защитной пленкой);
• микропроцессорная обработка сигнала;
• АК-канал имеет алгоритм «Антисаботаж»;
• микрофонный трехпозиционный виброгасящий держатель «FLEX-3»;
• наличие датчика вскрытия (исполнение «А»);
• точная термокомпенсация инфракрасного канала;
• обеспечение высокой помехоустойчивости, которая удовлетворяет стандарту EN50130-4.

Индикация:

С помощью светодиодных индикаторов ИО «СОВА-2» формирует извещения о наличии помех и о текущем состоянии прибора.

Выходы

• 2 исполнительных независимых реле, которые соответствуют каждому каналу обнаружения (исполнение «А»);
• реле, которое обеспечивает размыкание каналов при формировании тревожных извещений по любому каналу (исполнение «Б»).

Зоны обнаружения:

В горизонтальной плоскости:

При установке на боковой стене:

Источник

Сертифицированная система обнаружения вторжений «Форпост»

Рис. 1. Графический интерфейс СОВ «Форпост».

Рис. 2. Графический интерфейс СОВ «Форпост»: всплывающее окно блокировки компьютерной атаки.

Рис. 3. Типовая схема применения СОВ «Форпост» в ИС, с выделением компонентов СОВ в изолированный сегмент.

Рис. 4. Обеспечение съема сетевого трафика в режиме full duplex: а) при использовании двух сетевых портов; б) при использовании сетевого порта большей производительности.

СОВ «Форпост» имеет распределенную многомодульную архитектуру и состоит из следующих элементов:

• сетевой датчик, который осуществляет анализ поступающего трафика на предмет наличия в нем компьютерных атак, используя сигнатурный метод;
• Центр управления, в который входят такие компоненты, как информационный фонд, координационный центр, консоль администратора, модуль интеграции с сетевым оборудованием, модуль почтовых уведомлений, агент, датчик контроля целостности.

Компоненты могут быть как установлены на один сервер, так и распределены по нескольким серверам. Если у вас всего одна точка встраивания СОВ, то лучше выбирать вариант в виде готового ПАК, в котором все компоненты уже предустановлены на один сервер. Если же у вас сложная система с множеством датчиков и вас не пугает сложность настройки, то рациональнее использовать вариант реализации СОВ в виде программного обеспечения.

ПАК «Форпост» выпускается в двух исполнениях.

ПАК «Форпост 2000» предназначен для информационных систем или их сегментов, включающих до 50 рабочих станций и серверов и имеет следующие технические характеристики:

• реализован на основе промышленного сервера форм-фактора 1U для монтажа в стойку 19”;
• имеет повышенную отказоустойчивость за счет резервирования ключевых компонентов сервера (отказоустойчивый RAID-массив с использованием SAS-дисков, два блока питания);
• производительность – до 2 Гбит/с в режиме Full Duplex (до 1 Гбит/с в режиме Half Duplex);
• при использовании опциональных сетевых карт 10 Гбит/с производительность до 6 Гбит/с в режиме Full Duplex (до 3 Гбит/с в режиме Half Duplex);
• имеется возможность установки опциональных оптических сетевых карт.

ПАК «Форпост 200» предназначен для информационных систем или их сегментов, включающих до 20 рабочих станций и серверов хостов. Это исполнение имеет такое же ПО, как ПАК «Форпост 2000», но значительно уступает ему по производительности.

Его особенности:

• реализован на основе компактного промышленного сервера форм-фактора 1U с возможностью установки на любую горизонтальную поверхность или в стойку 19”;
• низкий уровень шума;
• производительность – до 200 Мбит/с;
• более низкая цена.

Стоит отметить, что низкий уровень шума и нетребовательность к размещению позволяют использовать ПАК «Форпост 200» не в помещении серверной, а в тех же помещениях, где работают пользователи ИС.

Консоль администратора СОВ «Форпост» предоставляет графический интуитивно понятный пользовательский интерфейс. Слева на экране отображаются установленные компоненты системы с их состоянием. Справа – журналы системы:

• журнал модулей-датчиков, в котором регистрируются инциденты (обнаруженные атаки и действия, предшествующие атакам) от датчиков СОВ;
• журнал системных сообщений, в котором регистрируется служебная информация о работе компонентов СОВ;
• журнал сообщений сетевого оборудования, отображающий сведения о блокировке нарушителя администратором безопасности с использованием сетевого оборудования, а также журналы сетевого оборудования, принятые по протоколам SNMP, syslog.

На рис. 1 представлен графический интерфейс СОВ «Форпост», а именно журнал модулей-датчиков, на котором видно отображение инцидента безопасности – сканирование локальной сети, которое может являться началом компьютерной атаки.

Чтобы получить этот рисунок, мы взяли серийно выпускаемый ПАК «Форпост 2000», подключили его к тестовой сети и подали команду ping между двумя компьютерами тестовой сети. В данном случае выявление инцидента произошло по двум сигнатурам:

• » ICMP Ping» как реакция на сгенерированный ICMP-запрос;
• » ICMP Echo Reply» – как реакция на ICMP-ответ.

Для блокирования выявленных компьютерных атак можно выбрать как автоматический, так и ручной режим. В автоматическом режиме СОВ «Форпост» блокирует развитие компьютерной атаки, генерируя правила по заранее сформированному шаблону для определенной категории событий (например, имеющих высокую степень критичности).

Однако в случае, когда необходимо обеспечить высокую доступность информационных ресурсов, решение о блокировке компьютерной атаки должно приниматься администратором безопасности. Для этого существует ручной режим управления блокированием компьютерных атак. Для ручной блокировки компьютерной атаки администратор может воспользоваться как полуавтоматическим режимом, так и режимом непосредственного управления активного сетевого оборудования.

В полуавтоматическом режиме правило для сетевого оборудования будет сформировано на основе заранее сформированного шаблона, а управление происходит с помощью графического интерфейса СОВ «Форпост» (всплывающее окно, предлагающее заблокировать выявленную компьютерную атаку, показано на рис. 2).

В режиме непосредственного управления активным сетевым оборудованием администратор безопасности с помощью защищенной консоли управления активным сетевым оборудованием, реализованной в СОВ «Форпост», управляет сетевым оборудованием самостоятельно. С помощью консоли можно не только заблокировать компьютерную атаку, но и настроить сетевое оборудование.

Собранные с помощью СОВ «Форпост» данные о компьютерных атаках могут быть переданы в SIEM-системы (которые в последнее время становятся все более популярными) для дальнейшего комплексного анализа совместно с событиями безопасности, полученными из других источников (от антивирусных средств, журналов ОС и пр.).

На рис. 3 приведена типовая схема применения СОВ «Форпост» в автоматизированной информационной системе, которая предполагает выделение компонентов СОВ в изолированный сегмент. Взаимодействие компонентов СОВ с защищаемой системой осуществляется лишь посредством зеркалирующих портов, передающих входящий трафик для выявления в нем компьютерных атак на сетевые датчики СОВ. Обратное сетевое взаимодействие сетевых датчиков СОВ с защищаемой системой не предусмотрено. Это позволяет ограничить возможности проведения несанкционированного воздействия на компоненты СОВ, поэтому такая схема интеграции в структуру автоматизированной системы характеризуется высокой защищенностью, обеспечивая целостность и конфиденциальность данных, передаваемых в сегменте ответственности СОВ «Форпост».

Предполагается, что защищаемая сеть имеет несколько функциональных сегментов, разделенных между собой межсетевым экраном и соединенных с внешними сетями. Таким образом, в типовой информационной сети имеются следующие сегменты:

• сегмент серверов;
• сегмент пользователей;
• сегмент подключения к открытым сетям передачи данных;
• сегмент СОА «Форпост» (изолированный сегмент).

С точки зрения защиты информации в контролируемой ИС сетевые датчики СОВ целесообразно расставить следующим образом:

• на границе периметра сети (точка 1) для анализа информационного потока между защищаемой сетью и открытыми сетями передачи данных с целью защиты от внешнего нарушителя;
• в сегменте серверов (точка 2) для защиты информационных ресурсов защищаемой сети от внешних и внутренних нарушителей;
• в сегменте пользователей (точка 3) для защиты от внутреннего нарушителя.

В качестве точки подключения сетевого датчика могут выступать следующие порты.

• зеркалирующий порт коммутатора (SPAN-порт) (точки 2 и 3 на рис. 3);
• контролирующий порт (Monitor port) специализированного ответвителя трафика (Tap) (точка 1 на рис. 3), который устанавливается «в разрыв» канала связи, подлежащего контролю с помощью сетевого датчика СОВ;
• зеркалирующий порт межсетевого экрана.

Многие управляемые коммутаторы поддерживают технологию зеркалирования трафика. Например, в коммутаторах Cisco настройка зеркалирующего порта производится следующим образом:

Monitor session 1 source interface fastethernet 0/1 , 0/2 , 0/3, 0/4 rx

Monitor session 1 destination interface gigabitethernet 0/24

В данном примере предполагается, что к портам 1, 2 и 3 подключены компьютеры пользователей, порт 4 – к сегменту серверов. Мы зеркалируем трафик, полученный портами 1, 2, 3 и 4 коммутатора, в порт 24. К порту 24 мы подключаем сетевой датчик СОВ.

Зеркалирующий порт так же можно настроить на некоторых моделях межсетевых экранов. Например, в отечественном межсетевом экране ССПТ-2 (производства «НПО РТК») настройка зеркалирующего порта производится с помощью следующей команды:

interface filter eth0 mirror eth2 all

В этом примере eth0 – порт-источник, eth2 – порт-приемник, к которому подключается сетевой датчик СОВ.

Специализированные ответвители трафика (Tap), как правило, не требуют специальных настроек, однако они имеют один существенный недостаток – сравнительно высокую стоимость.

Результаты выявления аномалий в сетевом трафике с сетевых датчиков СОВ поступают на центральный сервер СОВ, к которому подключается консоль администратора безопасности. На центральном сервере СОВ установлены следующие компоненты СОВ «Форпост»: информационный фонд, работающий под управлением СУБД MS SQL Server, и координационный центр.

Одновременно с этим проводится подключение по протоколу RS-232 к управляющим портам межсетевого экрана и сегментных коммутаторов. Подключение к межсетевому экрану обеспечивает возможность выполнения оперативной блокировки источника атаки в случае необходимости. Подключение к коммутатору особенно удобно использовать в сегменте пользователей. Удобство состоит в том, что у администратора сети имеется возможность оперативно выключить конкретный порт коммутатора, когда какой-нибудь пользователь «подхватил» очередного сетевого червя, который рассылает спам, и тем самым предотвратить его распространение в контролируемой ИС.

Интерфейс RS-232 в данном случае выбран преднамеренно, так как при этом компоненты СОВ не осуществляют сетевое взаимодействие с защищаемой сетью, что повышает защищенность самой СОВ. Однако при необходимости СОВ «Форпост» может управлять сетевым оборудованием по протоколу telnet.

Full Duplex

Как известно, суммарная скорость обмена информацией по каналу связи Gigabit Ethernet со скоростью 1 Гбит/с, работающем в режиме Full Duplex, может быть близка к 2 Гбит/с: 1 Гбит/с — передача и 1 Гбит/с — прием. Для полного съема сетевого трафика с такого канала необходимо использовать:

• 2 зеркалирующих сетевых интерфейса 1 Гбит/с (первый зеркалирует принимаемую информацию, второй – передаваемую) – рисунок 4, а);
• 1 зеркалирующий сетевой интерфейс 10 Гбит/с – рисунок 4, б).

Использовать зеркалирующий порт с меньшей пропускной способностью можно, если прогнозируемый объем трафика не превысит пропускную способность зеркалирующего порта коммутатора, но при этом следует учитывать, что в случае всплесков сетевой активности часть трафика все таки не будет попадать на датчик СОВ для анализа.

Сетевой датчик СОВ «Форпост» поддерживает подключение в режиме Full Duplex.

Зеркалирование трафика в два сетевых интерфейса с разделением по направлению («на прием» и «на передачу») доступно во многих моделях управляемых коммутаторов (Cisco начиная с модели 3560), а также в специализированных ответвителях трафика (Tap).

Другие статьи из раздела

• Digma AllRoad MAX – оптимальный электросамокат для города и дачи
• Почему дебетовые карты выгодны при расчетах?
• Постановка на учет ИП в Санкт-Петербурге
• Ноутбук Digma EVE 15 C413: оптимальная производительность за минимальную цену
• EASY UPS 3S/3M – уникальное соотношение стоимости, качества и легкости в инсталляции и обслуживании

Chloride
Демонстрация Chloride Trinergy
Впервые в России компания Chloride Rus провела демонстрацию системы бесперебойного электропитания Chloride Trinergy®, а также ИБП Chloride 80-NET™, NXC и NX для своих партнеров и заказчиков.

NEC Нева Коммуникационные Системы
Завершена реорганизация двух дочерних предприятий NEC Corporation в России
С 1 декабря 2010 года Генеральным директором ЗАО «NEC Нева Коммуникационные Системы» назначен Раймонд Армес, занимавший ранее пост Президента Shyam …

компания «Гротек»
С 17 по 19 ноября 2010 в Москве, в КВЦ «Сокольники», состоялась VII Международная выставка InfoSecurity Russia. StorageExpo. Documation’2010.
Новейшие решения защиты информации, хранения данных и документооборота и защиты персональных данных представили 104 организации. 4 019 руководителей …

МФУ Panasonic DP-MB545RU с возможностью печати в формате А3
Хотите повысить эффективность работы в офисе? Вам поможет новое МФУ #Panasonic DP-MB545RU. Устройство осуществляет

Adaptec by PMC
RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша
Опытные сетевые администраторы знают, что задействование в работе кэш-памяти RAID-контроллера дает серьезные преимущества в производительности …

Chloride
Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy
Trinergy — новое решение на рынке ИБП, впервые с динамическим режимом работы, масштабируемостью до 9.6 МВт и КПД до 99%. Уникальное сочетание …

Источник