Iris
Анализатор пакетов eEye Iris – это настоящая революция в области сетевого мониторинга. Помимо стандартных функций сбора, фильтрации и поиска пакетов, а также построения отчетов, программа Iris предлагает уникальные возможности для реконструирования данных. Теперь с помощью нажатия одной кнопки администратор может воспроизвести любые действия сотрудников предприятия, и отобразить на экране своего компьютера именно то, что видел и делал пользователь. eEye Iris – это мощный и простой инструмент для оптимизации производительности сети и укрепления информационной безопасности.
Реконструирование данных
Iris помогает детально воспроизвести сеансы работы пользователей с различными web-ресурсами и даже позволяет имитировать отправку паролей для доступа к защищенным web-серверам с помощью cookies. Уникальная технология реконструирования данных, реализованная в модуле дешифрования (decode module), преобразует сотни собранных двоичных сетевых пакетов в привычные глазу электронные письма, web-страницы, сообщения ICQ и др. Iris позволяет просматривать незашифрованные сообщения web-почты и программ мгновенного обмена сообщениями, расширяя возможности имеющихся средств мониторинга и аудита.
Фильтры и оповещения
Анализатор пакетов Iris обеспечивает фильтрацию пакетов по таким критериям, как используемые протоколы прикладного уровня, MAC- и IP-адреса, порты TCP/UDP, размеры пакетов и содержащиеся в них ключевые слова. Программа позволяет создать фильтры для выявления в потоке информации признаков активизации таких сетевых угроз, как CodeRed и Nimda. Вы можете настроить программу на сбор пакетов, отвечающих только заданным условиям, или же заставить Iris сохранять весь трафик и помечать сетевые сеансы, содержащие определенные слова. Кроме того, компания eEye предлагает пользователям программы Iris ряд дополнительных бесплатных фильтров: Фильтр SNMP позволяет отбирать пакеты SNMP. Администраторы могут использовать фильтр для обнаружения и идентификации SNMP-устройств, чтобы выяснить необходимость обновления их программного обеспечения. (В настоящее время фильтр обеспечивает сбор всех SNMP-пакетов, но не проверяет правильность пакетов и не тестирует уязвимость устройств). Фильтр UPNP переводит программу Iris в режим сбора пакетов службы UPNP (Universal Plug and Play), использующей UDP-порт 1090. Фильтр AOL Instant Messenger предназначен для сбора пакетов, генерируемых программами мгновенного обмена сообщениями AOL IM. Анализируя пакеты, администратор может выявить все случаи использования устаревших версий клиентской программы Instant Messenger. Фильтр Nimda выделяет пакеты HTTP. В режиме дешифрования данных все пакеты, сгенерированные червем Nimda, помечаются восклицательным знаком. Фильтр CodeRed выделяет пакеты HTTP. В режиме дешифрования данных все пакеты, сгенерированные червем CodeRed, помечаются восклицательным знаком. Модуль защиты (guard module), используемый совместно с фильтрами, наблюдает за активностью на указанных портах TCP/IP и оперативно оповещает администратора о любых попытках подключения к ним. При необходимости может быть включен также звуковой сигнал тревоги. Модуль защиты фиксирует такую информацию, как дата и время, IP-адреса и DNS-имена компьютеров, а также порты, которые использовались при попытке установить соединение. Iris предоставляет сетевым администраторам мощные и удобные средства фильтрации, которые позволяют выделить важную информацию из общего потока данных.
Генерация пакетов
Сетевой анализатор Iris позволяет генерировать различные тестовые пакеты (в том числе содержащие фиктивные сетевые адреса) и отправлять их как в Интернет, так и в сеть предприятия. Таким образом, вы сможете проверить эффективность работы межсетевого экрана или проанализировать поведение отдельных компонентов сети при изменении нагрузки.
