среда, 30 апреля 2008 г.

e-learning cisco security agent (CSA)

Достаточно подробный курс онлайн-обучения, покрывает часть курса HIPS v 3.0 (версия CSA MC - 5.0)

Ссылка

Ссылка на другие бесплатные курсы

на 13:13 0 коммент.
Тэги: , ,

понедельник, 28 апреля 2008 г.

Классная флэш-презентация по CSA

Презентация того, как взаимодействуют между собой решения по обеспечению информационной безопасности про-ва компании Cisco

cisco link

на 13:21 0 коммент.
Тэги: , , , , ,

четверг, 24 апреля 2008 г.

Cisco Security Agent (CSA)

Несколько дней подбираюсь к CSA, решил написать пару абзацев по решению в целом. В ближайшие дни планирую внедрение по бразильской системе )

Cisco Security Agent (CSA)

Представляет собой систему предотвращения вторжений (HIPS) для конечных хостов (как АРМов, так и серверов).
В отличие от антивирусов представляет собой безсигнатурную систему защиты, хотя в версии 6.0 также появился встроеный антивирус - ClamAV.

Имеет распределённую структуру - все агенты управляются через одну точку - центр управления (MC, Management Center)
БД, в которой хранятся политики и события, может находиться как на том же сервере, где и MC, так и на выделенном.





Интегрируется с другими средствами обеспечения безопасности компании Cisco - IPS, MARS

Служит посредником между приложением и системой. Проверяет все вызовы приложений на соответствие политике безопасности.



Когда приложению необходим доступ к системным ресурсам оно создаёт вызов к ядру. CSA перехватывает эти вызовы и проверяет их на соответствие политике безопасности. Если запрос не нарушает политику, то он передаётся ядру для выполнения.
В случае нарушения:
Вызов блокируется, сообщение об ошибке возвращается приложению
  • Создается алерт и отсылается в MC
  • CSA кореллирует этот вызов с остальными, сделанными этим же приложением, для обнаружения злонамеренной активности.
CSA содержит четыре перехватчика
  • файловой системы
  • сетевой - контроль изменения драйверов сетевых адаптеров и сетевых соединений. Также могут ограничиваться типы и количество сетевых соединений
  • конфигурации - контролирует попытки чтения/записи системного реестра или файлов rc в юниксе
  • исполняемого пространства - поддерживает целостность динамического исполняемого пространства каждого приложения, обнаруживая и блокируя запросы записи в память других приложений, попытки внедрения динамических библиотек (DLL), попытки переполнения буфера.



С помощью этих возможностей CSA предотвращает атаки на всех стадиях распространения (5P)
-Probe
-Penetrate
-Persist
-Propagate
-Paralyze

CSA может устанавливаться как на серверы, так и на АРМЫ, на следующие ОС: Red Hat Linux, Solaris, Win

на 15:27 0 коммент.
Тэги: , ,
Подписаться на: Сообщения (Atom)