Сетевой монитор RealSecure

Наконец, последний и самый быстроразвивающийся продукт - сетевой монитор

безопасности RealSecure 3.0 (рис. 9.10). Первоначально он мог только

Обнаруживать и по факту обнаружения останавливать удаленные атаки. В

Последних версиях, благодаря возможности управления межсетевым экраном и

Маршрутизатором, он может также и предотвращать их,

Динамически меняя правила фильтрации на межсетевом экране или списке

Контроля доступа (ACL) маршрутизатора. Монитор ориентирован на защиту как

Целого сегмента сети, так и конкретного узла. Для обнаружения атак oil

Использует так называемые сигнатуры, чем еще раз подтверждается сходство

Подобных продуктов с антивирусными сканерами. В базе данных RealSecure

есть следующие классы сигнатур удаленных атак (рис. 9.11):

_ отказ в обслуживании (типа Land, Smurf, 00В - см. главу 4);

_ попытки несанкционированного доступа (например, все тот же "debug" в

SMTP, "site exec" в ftp, доступ к ASP-файлам, различные переполнения

Буфера с возможностью исполнения кода);

_ подготовка к атакам (различные способы сканирования портов, команда

"ехрп" в SMTP II др.);

_ подозрительная активность (в том числе ЛКР-запросы, удаленный доступ к

Реестру);

Рис. 9. 1 1. Детализация события в RealSecure

* подозрительные команды на уровне протоколов (передача паролей в разных