На главную
Карта сайта
Написать письмо в АСПЕКТ СПб
Главная /  О компании /  Новости / Новости Cisco — август 2005

02.09.05 Новости Cisco — август 2005

CiscoWorks Security Information Management Solution (SIMS)

Представляем описание системы сетевого мониторинга, сбора, обработки данных и управления сетевыми устройствами.

CiscoWorks Security Information Management Solution (SIMS) — это система управления, мониторинга и сбора статисткики, в архитектуру которого заложена многоуровневая модель (рис.1), что позволяет наращивать систему поэтапно по мере роста сетевой инфраструктуры предприятия.
SIMS представляет собой ядро — единую точку сбора всех происшествий в сети, их классификацию и непрерывный мониторинг.

Основные задачи SIMS:

  • мониторинг;
  • сбор данных, полученных от межсетевых экранов, устройств, обнаружения атак, антивирусных и операционных систем, а также приложений;
  • анализ и обработка данных;
  • представление конечного результата в графическом виде - отчеты и диаграммы;

SIMS позволяет получать данные о возможных нарушениях безопасности не только отдельного устройства, например IDS, а сети в целом, а это дает возможность увидеть сильные/слабые стороны в организации сетевой безопасности.
SIMS предназначена для сетей крупных предприятий и интернет провайдеров, имеющих в сети от 30 до нескольких тысяч узлов, может работать вместе с такими системами, как HP Openview и Micromuse. А также, при обнаружении сетевых вторжений, SIMS может создавать инциденты с описанием проблемы и отправлять их в службу технической поддержки корпоративной сети.

Рис. 1 Многоуровневая архитектера технологии SIMS

Центральным компонентом системы является ядро. Это система быстрого реагирования, представляющая собой распределенное приложение. SIMS позволяет получать уведомления о нарушениях политик безопасности в любой точке корпопативной сети, формирует отчеты и обеспечивает к ним доступ с любого приложения, поддерживающего веб-интерфейс.

Принцип работы технологии SIMS можно разделить на 4 части:

1. Стандартизация.

Рис 2. Сбор данных агентами.

Данные от различных сетевых устройств собираются агентами (рис. 2), которые обрабатывают события, собирают их в группы (распознают до 20 тыс различных событий), приводят к одну типу данных (IDMEF) и пересылают их по протоколу TCP серверу с установленным на нем главным приложением  (ядро SIMS) по обработке данных.

2. Объединение.

 Рис 3. Объединение данных в 9 групп

Ядро SIMS распределяет полученые данные в 9 групп (рис. 3) в зависимости от степени важности с точки зрения безопасности. В больших сетях, за счет маштабируемости системы, можно использовать несколько таких серверов для обеспечения распределенной обработки.

3.Анализ полученных данных.
Система анализирует и обработывает полученные данные. На данном этапе работы системы можно задать настройки шаблонов, политик безопасности и дифференцирования уровней защиты различных участков сети.

4.Визуализация.

Рис. 4. Графическое представление запрашиваемых данных.

На четвертом, последнем этапе, SIMS представляет результат своей работы в удобном графическом виде (рис. 4). Система позволяет создавать различные графики, таблицы и диаграммы для наглядного представления данных. Используя параметры, хранящиеся в базе данных системы, можно провести сравнительный анализ как по отдельным критериям, так и системы в целом.

Достоинства продукта:

  • Масштабируемость
  • Распределенная архитектура
  • Интеграция с Openview и Micromuse

SIMS можно приобрести как отдельное программное обеспечение и установить на сервер, так и уже установленное на платформе высокопроизводительного сервера.

Таблица 1. Информация для заказа решения SIMS 3.1 с аппаратной платформой.

Номера продуктов

Описание

CWSIME-1160-K9

CiscoWorks Security Information Management Solution Engine 3.1; включая платформу Cisco 1160 и установленное на ней программное обеспечение CiscoWorks Security Information Management Solution Engine, версии 3.1; Агенты и Лицензии приобретаются отдельно

Таблица 2. Информация для заказа SIMS 3.1 (только программное обеспечение)

Номера продуктов

Описание

CWSIM-3.1-SS-K9

SIMS 3.1 базовая конфигурация для OC Solaris; Включает лицензию на мониторинг до 30 сетевых устройств, лицензия на 1 главный сервер по обработке данных, 1 дополнительный сервер по распределенной обработке данных и на 1 один сервер для базы данных.

CWSIM-3.1-SL-K9

SIMS 3.1 базовая конфигурация для OC Linux; Включает лицензию на мониторинг до 30 сетевых устройств, лицензия на 1 главный сервер по обработке данных, 1 дополнительный сервер по распределенной обработке данных и на 1 один сервер для базы данных.

CWSIM-3.1-DS-K9

Дополнительная лицензия на сервер хранения данных для существующего решения CiscoWorks SIMS 3.1 работающего под управлением ОС Solaris.

CWSIM-3.1-DL-K9

Дополнительная лицензия на сервер хранения данных для существующего решения CiscoWorks SIMS 3.1 работающего под управлением ОС Linux.

CWSIM-3.1-ADD20-K9

Лицензия на добаление 20 агентов в рабочее решение CiscoWorks SIMS 3.1 функционирующее под управлением OC Solaris или Linux.

CWSIM-3.1-MON30-K9

Лицензия SIM 3.1 для Cisco Secure Agent  на мониторинг 30 серверов 300 рабочих станций

CWSIM-3.1-MON75-K9

Лицензия SIM 3.1 для Cisco Secure Agent  на мониторинг 75 серверов 750 рабочих станций

CWSIM-3.1-EN-K9

Лицензия на добавление сервера по распределенной обработке данных под управлением ОС Solaris или Linux.

CWSIM-3.1-20LND-K9

Лицензия на мониторинг до 20 low-end устройств и OC на серверах

CWSIM-3.1-100LNDK9

Лицензия на мониторинг до 100 low-end устройств и OC на серверах

CWSIM-3.1-500LNDK9

Лицензия на мониторинг до 500 low-end устройств и OC на серверах

Таблица 3. Минимальные требования для установки ПО SIMS 3.1.

Аппаратная часть

Требования

Процессор

Linux: Dual Intel Pentium 4 1.5 GHz (server class)

Solaris: Dual UltraSPARC-IIi 444 MHz (server class)

Оперативная память

4 GB

Свободное место на диске

18 GB

Устройство хранения

CD-ROM

Дополнительную информацию можно найти на сайте Cisco Systems http://www.cisco.com/go/sims

 

Cisco Security Monitoring, Analysis and Response System (CS-MARS)

Cisco Security Monitoring, Analysis and Response System (CS-MARS) - это система для контроля сети, позволяющая проводить корреляцию событий безопасности в сети и обеспечивающая контроль за соблюдением правил с целью упреждающего реагирования на несанкционированный доступ и проникновение в сеть. Система престаляет из себя программное обеспечение, установленное на высокопроизводительный сервер.

Основные функции системы:

  • мониторинг сети;
  • построение сетевого графа;
  • обнаружение сетевых атак и их графическая отрисовка;
  • изучение настроек сетевых устройств;
  • сбор данных анализ и обработка данных, полученных от различных сетевых устройств;
  • представление конечного результата в виде графиков, отчетов и диаграмм;

MARS осуществляет отображение сетевой инфраструктуры в графическом виде, отрисовывая в реальном времени распространение сетевых атак (рис. 1). Проводя анализ конфигураций маршрутизаторов, коммутаторов и межсетевых экранов (МСЭ), система MARS обладает достаточным интеллектом, чтобы проследить источник заражения, с которого производится несанкционированный доступ, даже если он находится за МСЭ.

Рисунок 1. «Распространение сетевой атаки»

Для построения топологии сети (рис. 2), взаимодействия с коммутаторами (должны поддерживать SNMP STP MIB) и маршрутизаторами (должны поддерживать SNMP MIB II) MARS использует протокол snmp, а для взаимодействия с МСЭ и получения их конфигурации, система использует telnet, SSH и CPMI.

Рисунок 2. «Построение сетевой топологии»

MARS ведет учет и распознавание событий, которые могут генерировать практически все сетевые устройства:

  • сетевые устройства: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x;
  • МСЭ/VPN: Cisco PIX Firewall 6.x, IOS Firewall, FWSM 1.x, 2.2, Concentrator 4.0, Checkpoint Firewall-1 NGx, VPN-1, NetScreen Firewall 4.0, 5.0, Nokia Firewall;
  • IDS: Cisco NIDS 3.x, 4.x, Network IDS module 3.x, 4.x, Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0, Snort NIDS 2.x, McAfee Intrushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT;
  • Антивирусное ПО: Symantec A/V;
  • Сервера аутентификации: Cisco ACS;
  • Операционные системы: Windows NT, 2000, 2003(с агентами или без), Solaris, Linux (требуется установка агента);
  • Приложения: Web Servers (ISS, iPlanet, Apache), Oracle 9i, 10i audit logs, Network Appliance NetCache, Oracle 9i and 10i;

MARS может обрабатывать до 10 тысяч событий в секунду. Система поддерживает масштабируемость, для этого в сетях крупных предприятий и интернет провайдеров можно создать двухуровневую архитектуру за счет использования MARS-контроллеров, к которым может подключиться несколько MARS-серверов. При использовании такой архитектуры сеть делится на «зоны» и каждая закрепляется за определенным MARS-сервером.
Система MARS позволяет централизованно настраивать сетевые политики, производить сбор данных и создавать до 80 различных видов стандартных отчетов.
О зафиксированных нарушениях MARS может сообщать по snmp-протоколу, электронной почте, скидывать сообщения на пейджер или вести учет событий syslog.
Система MARS не требует приобретения лицензий на поддержку агентов и/или базы данных.

Достоинства продукта:

  • Масштабируемость
  • Распределенная архитектура
  • Отсутствие системы лицензирования

Информация для заказа:

MARS - сервера Производительность (событий в секунду) Событий NetFlows в сeкунду Хранение данных Форм фактор Блок питания
Cisco Security MARS-20-K9 (PN-MARS 20) 500 15000 120GB (неRAID) 1RU x16” 300W
Cisco Security MARS-50-K9 (PN-MARS 50) 1000 30000 240GB RAID0 1RU x25.6” 300W
Cisco Security MARS-100E-K9 (PN-MARS 100e) 3000 75000 750GB RAID10 поддержка горячей замены 3RU x25.6” два по 500W (один запасной)
Cisco Security MARS-100-K9 (PN-MARS 100) 5000 150000 750GB RAID10 поддержка горячей замены 3RU x25.6” два по 500W (один запасной)
Cisco Security MARS-200-K9 (PN-MARS 200) 10000 300000 1TB RAID10 поддержка горячей замены 4RU x25.6” два по 500W (один запасной)
MARS - контроллеры Подключаемые устройства Количество подключений Хранение данных Форм фактор Блок питания
Cisco Security MARS-GCMK9 (PN-MARS GCm) только MARS-сервера 20/50 до 5 1TB RAID10 поддержка горячей замены 4RU x25.6” два по 500W (один запасной)
Cisco Security MARS-GC-K9 (PN-MARS GC) Любые MARS-сервера На данный момент нет ограничений 1TB RAID10 поддержка горячей замены 4RU x25.6” два по 500W (один запасной)

 
© АСПЕКТ СПб, 2009. Все права защищены.