Abbiamo testato la soluzione proposta da Symantec avvalendoci dell’ausilio del personale tecnico della filiale italiana, il quale ha provveduto a installare nel nostro laboratorio una soluzione mista basata sui due prodotti sopra citati. Come abbiamo a …
Abbiamo testato la soluzione proposta da Symantec avvalendoci dell’ausilio del personale tecnico della filiale italiana, il quale ha provveduto a installare nel nostro laboratorio una soluzione mista basata sui due prodotti sopra citati.
Come abbiamo accennato nella descrizione della piattaforma del test, per la prova della soluzione Symantec abbiamo adottato una configurazione del laboratorio diversa.
Più precisamente, l’ambiente di test che abbiamo utilizzato era composto dalle seguenti quattro macchine:
Macchina Master: un pc Windows NT Server con installati sia i moduli Host che Network degli IDS di Symantec e cioè; i componenti Console, Manager, Agent di NetProwler; i componenti Manager, Agent di Intruder Alert; il componente SNMP Collector utile per tradurre le trap SNMP inviate da NetProwler in comandi Intruder Alert (per esempio stop di un servizio, o sola semplice segnalazione). Tale macchina, con a bordo due schede di rete, operava sulla LAN, monitorando il traffico in modalità “stealth” sulla DMZ (subnet 192.168.101.0) e attuando eventuali contromisure (per esempio, hardening del firewall).
Macchina Jolly: un pc Windows 2000 Server installato in DMZ con i componenti Administrative, Event, Manager, Agent di Intruder Alert che gli consentivano di monitorare in tempo reale attraverso la componente Event le attività in corso su vari host in svariati formati (testo, istogrammi, diagrammi a torte e così via) e di eseguire contromisure su se stessa o su altri host in relazione all’evento accorso.
Macchina Linux: un pc Linux Suse 7.0 in DMZ, definito con il modulo Agent di Intruder Alert. Tale modulo inviava al suo Manager (Jolly) le segnalazioni su eventi specifici (per esempio creazione utente, file tampering e così via). Inoltre questo host che ospitava un Web/FTP/Telnet server è stato utilizzato come obiettivo per gli attacchi provenienti dalla Rete.
Macchina Server: un pc Windows NT Server col modulo sia Agent di NetProwler che di Intruder Alert. Questo host, che rapprentava il file server della LAN, ospitava anche un Web/FTP Server oggetto di attacchi ripetuti con segnalazioni inviate al modulo Master.
I prodotti hanno dimostrato di essere i più complessi tra quelli utilizzati ma, allo stesso tempo, i più potenti. Si è avuta dimostrazione del primo fattore in fase di configurazione degli agenti e degli alert. Tra le varie caratteristiche di questo prodotto va sottolineata quella (a dire il vero presente anche in altre soluzioni analizzate) di creazione di signature personalizzate. In questo caso la granularità appare quanto mai evidente.
Alcune difficoltà di installazione ci sono state per il prodotto Intruder Alert, legate alla gestione di DAO (Data Access Object). Questo ci ha costretto a ripetere il setup di quel componente. Sempre a proposito di Intruder Alert, inoltre, si faccia particolare attenzione a consultare la documentazione a corredo, indicante le patch da installare per ogni sistema operativo.
L’aggiornamento delle signature avviene con un wizard e con cadenza media quindicinale. Il processo ricorda quello del live update, proprio degli antivirus della Symantec.
La gestione degli alert, come abbiamo appena detto, è apparsa essere molto articolata. Lo stesso prodotto è in grado di generare delle prospettive di monitoraggio dell’attività intercettata , con delle rappresentazioni grafiche che si sono dimostrate essere molto utili.
Superiore al prodotto di Cisco, ma in linea con quello di Internet Security Systems, il generatore di report. La sua caratteristica peculiare, oltre al fatto che si tratta di report molto dettagliati, è la possibilità di schedularne la generazione. Una nota positiva, infine, sulla documentazione, risultata essere la più dettagliata del pool.
Axent, successivamente acquistata da Symantec, ha sempre avuto dei prodotti molto potenti e complessi da utilizzare. Quelli che abbiamo testato, atteso che Netprowler ci è parso il più affidabile dei due, hanno confermato la nostra impressione.
Riteniamo, dunque, che se Symantec sarà in grado di affiancare a questi prodotti una divisione servizi adeguata potrà dire la sua, anche a voce alta.
Caratteristiche