 |
ItLabs |
 |
|
|
|
Archivio ItLabs |
|
|
|
 |
 |
 |
|
Abbiamo
provato
per voi... |
|
|
|
 |
|
 |
|
Dizionario |
|
|
|
|
|
|
|
|
| |
| Symantec
Axent Netprowler 3.5.1 Intruder Alert 3.5.1 |
| Giugno
2001 |
| |
|
|
Abbiamo
testato la soluzione proposta da Symantec avvalendoci dell'ausilio
del personale tecnico della filiale italiana, il quale ha provveduto
a installare nel nostro laboratorio una soluzione mista basata sui
due prodotti sopra citati.
Come abbiamo accennato nella descrizione della piattaforma del test,
per la prova della soluzione Symantec abbiamo adottato una configurazione
del laboratorio diversa.
Più precisamente, l'ambiente di test che abbiamo utilizzato
era composto dalle seguenti quattro macchine:
Macchina Master: un pc Windows NT Server con installati sia i moduli
Host che Network degli IDS di Syman Console, Manager, Agent di NetProwler;
i componenti Manager, Agent di Intruder Alert; il componente SNMP
Collector utile per tradurre le trap SNMP inviate da NetProwler in
comandi Intruder Alert (per esempio stop di un servizio, o sola semplice
segnalazione). Tale macchina, con a bordo due schede di rete, operava
sulla LAN, monitorando il traffico in modalità "stealth"
sulla DMZ (subnet 192.168.101.0) e attuando eventuali contromisure
(per esempio, hardening del firewall).
Macchina Jolly: un pc Windows 2000 Server installato in DMZ con i
componenti Administrative, Event, Manager, Agent di Intruder Alert
che gli consentivano di monitorare in tempo reale attraverso la componente
Event le attività in corso su vari host in svariati formati
(testo, istogrammi, diagrammi a torte e così via) e di eseguire
contromisure su se stessa o su altri host in relazione all'evento
accorso.
Macchina Linux: un pc Linux Suse 7.0 in DMZ, definito con il modulo
Agent di Intruder Alert. Tale modulo inviava al suo Manager (Jolly)
le segnalazioni su eventi specifici (per esempio creazione utente,
file tampering e così via).
Inoltre questo host che ospi-tava un Web/FTP/Telnet server è
stato utilizzato come obiettivo per gli attacchi provenienti dalla
Rete.
Macchina Server: un pc Windows NT Server col modulo sia Agent di NetProwler
che di Intruder Alert. Questo host, che rapprentava il file server
della LAN, ospitava anche un Web/ FTP Server oggetto di attacchi ripetuti
con segnalazioni inviate al modulo Master.
I prodotti hanno dimostrato di essere i più complessi tra quelli
utilizzati ma, allo stesso tempo, i più potenti. Si è
avuta dimostrazione del primo fattore in fase di configurazione degli
agenti e degli alert. Tra le varie caratteristiche di questo prodotto
va sottolineata quella (a dire il vero presente anche in altre soluzioni
analizzate) di creazione di signature personalizzate. In questo caso
la granularità appare quanto mai evidente.
Alcune difficoltà di installazzione ci sono state per il prodotto
Intruder Alert, legate alla gestione di DAO (Data Access Object).
Questo ci ha costretto a ripetere il setup di quel componente. Sempre
a proposito di Intruder Alert, inoltre, si faccia particolare attenzione
a consultare la documentazione a corredo, indicante le patch da installare
per ogni sistema operativo. L'aggiornamento delle signature avviene
con un wizard e con cadenza media quindicinale. Il processo ricorda
quello del live update, proprio degli antivirus della Symantec. La
gestione degli alert, come abbiamo appena detto, è apparsa
essere molto articolata. Nella figura 1 si può notare notare
la visualizzazione effettuata dalla console di Netprowler. Lo stesso
prodotto è in grado di generare delle prospettive di monitoraggio
dell'attività intercettata (si veda la figura 2), con delle
rappresentazioni grafiche che si sono dimostrate essere molto utili.
Superiore al prodotto di Cisco, ma in linea con quello di Internet
Security Systems, il generatore di report. La sua caratteristica peculiare,
oltre al fatto che si tratta di report molto dettagliati, è
la possibilità di schedularne la generazione. Una nota positiva,
infine, sulla documentazione, risultata essere la più dettagliata
del pool.
Axent, successivamente acquistata da Symantec, ha sempre avuto dei
prodotti molto potenti e complessi da utilizzare. Quelli che abbiamo
testato, atteso che Netprowler ci è parso il più affidabile
dei due, hanno confermato la nostra impressione.
Riteniamo, dunque, che se Symantec sarà in grado di affiancare
a questi prodotti una divisione servizi adeguata potrà dire
la sua, anche a voce alta.
A CURA DI DARIO FORTE
Tabella
|
|
|
|
|
|
