Cisco Security Agent(CSA)的前身是Okena的StormWatch,它是一套專門用來防護伺服器主機或個人端電腦的入侵防禦系統(Host intrusion prevention,HIPS),透過分析異常的網路存取行為,強化漏洞或特徵碼空窗期的攻擊防護,輔助傳統比對病毒碼或入侵特徵的做法。

CSA需要將代理程式部署在末端電腦,同時要搭配專屬的管理主控臺CiscoWorks Management Center for Cisco Security Agents(CSA MC)。每臺裝有代理程式的電腦會主動連回MC,平時佔2KB到3KB的頻寬,上傳事件時增加至10KB內,而下載政策最大需100KB,依政策設定的變化量而定。CSA支援快取引擎,只需要一個代理程式取得更新,就可以發布到區域內各部電腦。MC若要發布提示訊息,將透過UDP封包傳遞,NAT只會影響快取機制。

可防護惡意程式與緩衝區溢位攻擊
CSA運作的原理是在應用程式與作業系統核心之間,監控末端電腦的檔案與記憶體的存取狀態、處理程序的模式、COM物件的使用以及共用函式庫的呼叫等可能影響效能與穩定性的動作,作為偵查的線索,然後將這些事件建立關聯性,從行為上發現異常和破壞活動,及時偵測與阻擋這些電腦受感染或遙控而發出的惡意攻擊。架構上,CSA可以攔截所有的作業系統對檔案、網路、模組和COM物件存取,也包含動態的執行資源變動,例如記憶體分頁、共用函式庫的系統呼叫。

強制電腦與伺服器落實企業政策
當裝有CSA代理程式的電腦與伺服器開始執行應用程式時,CSA會檢查應用程式政策,以便決定是否繼續允許應用程式執行,並記錄動作是否恰當。CSA提供作業系統鎖定、惡意程式防護與事件收集,搭配CiscoWorks VMS後,還能以政策控管多部Cisco設備,達到縱深防禦。

VMS能集中控管CSA代理程式,本身也提供不同的角色分權登入系統管理。在部署代理程式前,須在VMS上調整政策、監控的警示和報告產生的設定,並且針對控管的電腦與伺服器製作部署套件。系統預設提供20條政策,除了主動阻擋的模式,管理者可以選擇將代理程式部署為IDS模式-只偵測、發出警示而不阻擋。為了方便管理,主控臺具有調校精靈和代理程式組態精靈(Agent Profiler)和代理程式套件(Agent Kits),加速政策調整。

VMS內元件頗多,確實需要1GB以上的記憶體,否則會耗費很多時間安裝。更要小心的是,VMS只能安裝在Windows 2000 Server英文版。文⊙李宗翰


Cisco Security Agent

建議售價:Cisco Security Agent Starter Bundle(含CiscoWorks VMS Basic、CSA管理中心、伺服器代理程式1個授權、個人端代理程式10個授權)150000元

Cisco

聚碩科技代理

(02)8797-8260

管理中心處理器需求 Pentium 1GHz
記憶體/硬碟需求 1GB/9GB
作業系統需求 Windows 2000 Server SP4
支援個人端作業系統 NT/2000/XP、RHEL 3.0WS
支援伺服器作業系統 NT/2000/2003、Solaris 8/9 SPARC64、RHEL 3.0 ES/AS


Advertisement

更多 iThome相關內容