美商凱創 Enterasys Dragon 6.0

Secure Harbour架構的重要關鍵
自訂入侵特徵，記錄攻擊過程

為了解決企業資訊管理上的安全性問題，凱創發表Secure Harbour解決方案，針對企業資訊環境設計完整的防護架構，產品涵蓋所有的安全防護解決方案，包括企業等級的交換器、路由器、無線設備、VPN、網路管理及入侵偵測解決方案。

Dragon 6.0是凱創Secure Harbour架構的重要關鍵，也是凱創最新版的入侵偵測系統，包含Dragon Network Sensor、Dragon Host Sensor及Dragon Enterprise Management等三個元件。

Dragon Network Sensor（原為Dragon Sensor）是網路型入侵偵測系統（NIDS），藉由監看網路封包來偵測攻擊行為，支援乙太網路（Ethernet）、高速乙太網路（Fast Ethernet）、超高速乙太網路（Gigabit Ethernet）、ATM（Asynchronous Transfer Mode）、Token Ring（環狀區域網路）及FDDI（Fiber Distributed Data Interface）網路環境。在高速乙太網路全雙工運作下，偵測速度可達200Mbps；在超高速乙太網路下，偵測速度在500 Mbps內就不會「掉封包」。

Dragon Network Sensor與其他網路型入侵偵測系統相同，利用入侵特徵（signature）辨識已知的攻擊行為，分析網路封包是否正確，或屬性是否遭到修改，這也意味著它僅能偵測到現有特徵中的攻擊行為。除了防火牆和路由器等硬體有一部分入侵特徵，Dragon Network Sensor也有內建1600個入侵攻擊特徵，可以軟體形式增加，凱創並定期更新入侵特徵，企業也可以自行修改或新增攻擊特徵模組與回應方式，舉例來說，假如企業使用Apache網站伺服器，管理人員就只要安裝Apache攻擊特徵，而不需安裝用來偵測IIS攻擊的特徵。

為了彌補入侵特徵的不足，凱創還具備通訊協定（Protocol-based）及異常偵測（Anomaly-based）功能，可以分析TCP及其他特殊的通訊協定，並監測Scan、Buffer Overflow、Dfragment等不正常的活動。

Dragon Network Sensor可執行TCP與UTP串流重組技術，阻絕IP分片攻擊，防止隱匿型攻擊迴避法，並具備Session Replay功能，可以完整記錄入侵攻擊過程。管理人員可事先設定入侵攻擊的對應方式，如TCP Reset或執行外部程式。

企業可以選擇採購Dragon Network Sensor軟體，或者是購買Dragon Network Sensor伺服器（Appliance），凱創有提供四款不同效能的Network Sensor伺服器，分別為FE50、FE200、GE200及GE500，硬體規格請參閱Dragon Network Sensor伺服器規格比較表。監看重點檔案，防範非法篡改
即時監控危機，整合各種事件

Dragon Host Sensor（原為Dragon Squire）是主機型網路入侵偵測系統（HIDS），方式與防毒軟體類似，必須安裝在受保護的主機上，監看系統的輸出與稽核日誌檔（log），以偵測入侵攻擊，支援Windows NT/2000、Solaris、HP-UX、Linux、FreeBSD及OpenBSD等作業系統。

應用程式也常是駭客攻擊的目標，當主機無法安裝Host Sensor時，我們可以離線分析應用程式的日誌檔，找出誤用或攻擊的徵兆，Host Sensor能監看Bind（DNS伺服器）、Sendmail（郵件伺服器）、Samba、SSH、LPRng（列印服務）……等應用程式的日誌檔。除此之外，Host Sensor也整合防火牆的日誌檔，包括Checkpoint Firewall 1、Cisco PIX、Netscreen……等防火牆，只要透過Syslog或SNMP傳送檔案，系統就能夠分析防火牆的日誌檔。

在許多情況下，變更管理者密碼或存取安全檔案是駭客漏出馬腳的徵兆，主機型入侵偵測系統必須監看重要的系統檔案，需要具備檔案屬性（File Attribute Monitoring）、檔案完整性（File Integrity Monitoring）及系統登錄檔（Registry Monitoring）檢查功能，當偵測到不正常的密碼變更和檔案存取時，立即通知管理人員。

系統擁有自動回復機制，例如網站網頁被非法入侵篡改時，Dragon Host Sensor會發出警訊，並立即執行內建程式，回復成原始檔案。當Sensor偵測到誤用或攻擊後，會先通知管理人員，並傳送事件訊息給Dragon Enterprise Management，進行集中式的分析與報表製作。

Dragon Enterprise Management是Dragon 6.0的管理系統，負責管理、警告、分析及報表等工作，總共包含5個子系統。

Network Sensor和Host Sensor感測器所收集到的資訊都會先加密傳送到EFP（Event Flow Processors）上，然後再進行分析和報表製作。

Alarm Tool（警報工具）可依企業的偏好而產生不同格式的警訊，包括SNMP、Syslog、電子郵件、Paging或呼叫外部程式，管理者可依據事件的型態、發生日期及警訊傳送機制等條件決定。

Dragon Policy Manager（政策管理）將最新的入侵事件儲存在記憶體中，以提供快速的查詢效率，加上Web化設計，利用瀏覽器就能集中控管所有設備，並依照感測器性質而區分成不同群組，方便管理和維護。透過凱創的支援，系統能夠自動更新入侵特徵。

Security Information Manager（SIM，安全資訊管理）能夠整合弱點掃描、防火牆和各種網路伺服器的入侵事件，集中收集所有的安全資訊，並將所有的事件規格化，提供更具意義的資訊，再依當時的狀況進行關聯分析，協助企業做出有效的安全決策。

Forensics Console（現場鑑識控制臺）可同時分析最新危機事件與歷史事件，並深入分析入侵事件，製作成詳細的報表，分析的項目包括Packet headers、入侵過程紀錄、ICMP流量分析及入侵事件排名等。

Trending Console負責儲存入侵事件的追蹤資料，包括事件名稱、IP位址和埠等資料，內建的資料庫為MySQL，尚可支援Sybase、Oracle或微軟SQL資料庫。以量計價，與Nessus關聯

Dragon Network Sensor 6.0軟體的價格是依照所監測的網路流量而定，50Mbps約25萬元，200Mbps約42萬元，無限制則需76萬元。

凱創本身並沒有研發弱點掃描系統，但可以與Nessus Scanner弱點掃描系統作入侵事件關聯分析，所有Dragon Host Sensor與Network Sensor的入侵特徵（行為模式）資料庫都已經整合Nessus Scanner弱點掃描，並有CVE（Common Vulnerabilities and Exposures）編號。當入侵偵測系統發現入侵攻擊事件時，會根據Nessus資料庫產生相關聯的入侵警訊。

大部分的企業網路環境都只防護來自網路上的攻擊，但卻忽略來自企業內部的網路問題。凱創認為安全必須是全面性的，不只是網路的防火牆，隨著新一代Secure Harbour發展策略，凱創提供完整的企業電腦網路解決方案，讓每個裝置的安全性環環相扣，而非各自獨立。文⊙陳世煌