Contato  Glossário
   
 
 
   
  Produtos
  BlackDiamond 8800
  BlackDiamond 10808
  BlackDiamond 12800R
  BlackDiamond 12804C
  BlackDiamond 20808
  Summit48si
  SummitX150
  SummitX250e
  Summit X350
  Summit X450e
  Summit X450a
  Summit X650
  Alpine
  Summit WM200 / WM2000
  Altitude 350-2
  Altitude 450 / 451
  Summit WM20
  EPICenter
  ServiceWatch
  ExtremeWare
  ExtremeXOS
  SentriantAG200
  SentriantNG300
  ReachNXT 100-8t

Produtos

Sentriant NG300

 

 

Detecta e Controla Ameaças antes de Iniciarem

·          Criar uma rede de íscas virtuais no espaço de endereço IP não utilizado assim que o sistema de alerta o avisa quando um alvo virtual é chamado

·          Imitar respostas básicas a solicitações de TCP, UDP e ICMP e tornar difícil para um hacker determinar que dispositivos são reais e quais não são, permitindo que as máquinas válidas se escondam entre as íscas virtuais

Isola e Retarda o Ataque com Precisão

·          Isolar a origem dos ataques e evitar que se comunique com o restante da rede

·          Engana um host que está efetuando um ataque atuando na fase de reconhecimento que normalmente precede uma ameaça, retardando significativamente o ataque

 

Cobertura Multi-Gigabit de Alta Disponibilidade

·          A tecnologia CLEAR-Flow dos switches ExtremeXOS detecta e espelha apenas o tráfego que constitui uma ameaça ao Sentriant NG300, permitindo taxas mais altas de inspeção e eliminação

·          Detectar e defender ativamente a rede contra ameaças sem interferir no tráfego da rede. O Sentriant NG300 não é um dispositivo inline, portanto não pode ser um gargalo de largura de banda nem um ponto de falha

 

O Sentriant NG300 é um dispositivo de segurança que complementa as soluções de segurança internas existentes de hosts e perímetros permitindo controle às ameaças de propagação rápida, incluindo ataques Dia-Zero. O Sentriant NG300 é projetado para permitir:

 

·          Monitoramento contínuo de todos os hosts como ameaças disparando ataques internos

·          Análise profunda de tráfego suspeito sem impactar na operação da rede

·          Aplicação rápida de ações de bloqueio contra a origem dos ataques na rede corporativa

 

O Sentriant NG300 não utiliza softwares nos desktops, TCP resets ou vlan específica no switch para isolar um host infectado. O Sentriant NG300 é uma solução poderosa de detecção e controle de ameaças. Quando utilizado com o CLEAR-Flow (mecanismo com regras avançadas de segurança) disponível nos switches ExtremeXOS, um único Sentriant NG300 pode proteger redes multi-gigabit.

 

O Sentriant NG300 não é um dispositivo inline, não causa nenhum impacto no desempenho da rede e não prejudica a disponibilidade da rede, o que é especialmente crítico quando uma rede está sob ataque.

 

Proteger a sua rede contra:

·          Vírus/worms: Zotob, Sasser, Welchia, SQL Slammer, Blaster MyDoom e outros

·          Negação de serviço (DoS): Falsificação de IP (spoofing), falsificação de MAC, Smurf, Ping of Death, Ping Sweep, Ping Flood, Port Sweep, SYN Flood, TCP Xmas, Syn/Fin, Null, All Flags

·          Ataques de Dia Zero, de multivetores, combinados, vírus polimorfos

·          Ataques dirigidos a recursos de telefonia por IP  

 

Detecta Ameaças antes de Iniciarem

Em uma rede comum que utiliza um grupo de endereço IPs privados, aproximadamente 80% deste grupo não é utilizado. O Sentriant NG300 utiliza este recurso para identificar ameaças como mostrado na figura 1. Como a maioria dos worms realizam o reconhecimento da rede para a propagação, existe uma grande probabilidade da atividade do worm atingir as íscas virtuais no espaço dos IPs não utilizados. Consequentemente, os administradores têm mais chance de serem alertados sobre essa atividade maliciosa mais rapidamente, permitindo que eles tenham  maior tempo de resposta.

 

 

O Sentriant NG300 monitora a atividade do pacote em um domínio de broadcast e utiliza seu  mapeamento em tempo real para verificar os pacotes que estão sendo enviados entre hosts reais e conhecidos. Reconhecimento de pacotes enviados por um host tentando efetuar um ataque sempre “perde” alguns endereços IP reais. Pacotes enviados para um IP não utilizado geram requisições ARP pelo host ou gateway. Se estas requisições ARP forem detectadas e as respostas não, isso indica reconhecimento. O Sentriant NG300 busca requisições para IPs não utilizados e avalia suas origens para potencial ameaça.

 

Controle Ativo

Active Deception é uma tecnologia avançada que o Sentriant NG300 aplica para espaço de endereços IPs não utilizados. O Sentriant NG300 pré-popula a rede com íscas virtuais que ocupam o espaço de IPs não utilizados. Com isso, o Sentriant NG300 reponderá ao tráfego de ataques enviados para uma ísca virtual com respostas verdadeiras. Ameaças gastam um tempo considerável tentando infectar computadores que não estão presentes na rede. Enquanto isso, o Sentriant NG300 coleta informações importantes sobre a origem do ataque, portas e protocolos utilizados e a origem dos pacotes de ataque e reporta estas informações para a Console de Gerenciamento do Sentriant.

 

O Sentriant NG300 também fornece informações falsas sobre a topologia da rede com o objetivo de enganar um malware projetado para prover informações precisas sobre sistemas operacionais e versões de aplicativos presentes na rede. Isto faz com que seja mais difícil para o malware atacar a rede efetivamente.

 

Detecção de Ameaça baseada em Comportamento

O Sentriant NG300 utiliza métodos de detecção de ameaças baseados em comportamento (não há atualização de assinatura). Inclui também um sistema sofisticado de alerta, que ocupa o  espaço de IP não utilizado para identificar ameaças. O Sentriant NG300 vem com um conjunto de regras de comportamento utilizadas para detectar pacotes maliciosos, tráfego de reconhecimento, ataques DoS, ataques contra dispositivos de telefonia IP e violação de protocolos. Os administradores podem criar regras individuais personalizadas em seus ambientes, se necessário. A combinação das íscas virtuais com monitoramento de tráfego contínuo com as regras de comportamento resultam em rápida detecção de ameaças na rede.

 

Isola e Retarda o Ataque com Precisão

Isola a origem do ataque e previne que eles se comuniquem com o restante da rede.

 

Cloaking

O Sentriant NG300 pode se colocar logicamente entra uma ou mais máquinas que estão efetuando ataques e as vítimas, redirecionando a comunicação dos atacantes para o próprio NG300. O Sentriant NG300 pode então passar ou descartar os pacotes baseado no potencial do ataque, isolando os computadores infectados, permitindo que outras comunicações continuem a fluir normalmente na rede. O processo chamado Cloaking ocorre na Camada 2 e Camada 3.

 

O que torna o Cloaking mais eficaz comparado à outras tecnologias de prevenção de ameaças, é que ele é uma tecnologia de detecção e controle de Camada 2. O Cloaking utiliza o protocolo ARP, forçando os atacantes a redirecionarem os pacotes de ataque para o Sentriant NG300 e longe dos alvos pretendidos. O Cloaking é transparente para a rede, pois trabalha com qualquer tipo de dispositivo Ethernet conectado. Ele trabalha sem a necessidade de instalar nenhum software no host que se conecta à rede.

 

Todas as regras do Sentriant NG300 definem ação de resposta com “Track ou Cloak”. Track permite cloaking manual através da Console de Gerenciamento do Sentriant e Cloak executa o cloaking automaticamente quando uma regra é atingida.

 

Snaring/Slow Scan

O Sentriant NG300 pode também proteger a rede contra um atacante durante a fase de reconhecimento da rede que geralmente precede o ataque, diminuindo significativamente o processo de varredura como mostrado na figura 2. Isto garante aos administradores tempo suficiente para identificar e frustrar o ataque.

 

 

Snaring/Slow Scan são tecnologias avançadas que o Sentriant NG300 utiliza para bloquear rapidamente a propagação de ameaças. Assim que o ataque é detectado, o Sentriant NG300 controla a ameaça trabalhando com a troca de pacotes verdadeiros.

 

Snaring opera realizando o TCP 3-way handshake durante uma tentativa de conexão do atacante. O Sentriant NG300 envia uma mensagem à partir da ísca virtual que configura o tamanho da janela TCP para zero, forçando o atacante enviar somente um pacote por vez, fazendo com que a máquina que está efetuando os ataques pare de enviar diversos pacotes de ataque na rede. O Sentriant NG300 também limita o tamanho do pacote configurando o MSS (Maximum Segment Size) para 10. Isto mantém a quantidade de banda utilizada menor possível.

 

O Slow Scan “segura” a ameaça o tempo máximo possível de acordo com o protocolo TCP, de 4 minutos. Quando o ataque envia um “Windows Probe” para o alvo ou para as íscas virtuais neste caso, o Sentriant NG300 responde e reinicia o Snaring/Slow Scan handshake.

 

Snaring/Slow Scan tem um efeito de “segurar” as ameaças de ataque, previnindo que a ameaça seja reutilizada pode outro SO. Como os computadores possuem vários mecanismos de ataque, a funcionalidade de Snaring/Slow Scan irá eventualmente consumir todos eles, interrompendo o ataque durante a busca.

 

Maior Proteção de seu Investimento

O Sentriant NG300 pode ser conectado com switches de outros fabricantes via portas espelhadas em seu modo de implementação autônomo. Neste modo, o Sentriant NG300 pode monitorar até 1 gigabit por segundo do tráfego broadcast de até 64 VLANs. O Sentriant NG300 é projetado para operar com produtos de segurança de host e perímetro no modo de implementação autônomo.

 

O Sentriant NG300 pode ser implementado em um segundo modo chamado de modo integrado quando ele trabalha com os switches ExtremeXOS da Extreme Networks que suporta a funcionalidade de CLEAR-Flow. Neste modo, um único Sentriant NG300 pode proteger redes multi-gigabit.

 

O Sentriant NG300 possui um conjunto avançado de funcionalidades em ambos os modos autônomo e integrado. A diferença principal é a quantidade de tráfego que ele pode monitorar de ameaças.

 

Integração com o CLEAR-Flow

Quando integrado com os switches ExtremeXOS que suportam o CLEAR-Flow conforme mostrado na figura 3, o Sentriant NG300 oferece os seguintes benefícios:

 

·          Melhor desempenho: Como o CLEAR-Flow detecta e filtra ataques DoS, o Sentriant NG300 pode focar seus recursos apenas em tráfegos suspeitos e na cobertura da rede.

·          Maior escalabilidade: O Sentriant NG300 pode analizar o tráfego espelhado. Acesso ao tráfego espelhado de todas as origens das ameaças permitem um tempo de resposta rápido para possíveis ataques.

·          Controle Dinâmico de Mitigação: O Sentriant NG300 pode adicionar ou modificar ACLs e regras CLEAR-Flow para inspecionar tráfegos adicionais ou alterar os limites/valores de inspeção, permitindo então um sistema automatizado com regras de inspeção avançadas em tempo real.

 

Sem Impacto na Disponibilidade da Rede

O Sentriant NG300 geralmente é implementado em uma porta do switch configurada como espelhamento, como se fosse um analizador de protocolos. Entretanto, diferente destes analizadores, o Sentriant NG300 pode deter e finalizar um comportamento malicioso na rede utilizando as tecnologia de Cloaking e Snaring/Slow Scan. Este modelo de desenvolvimento proporciona aos administradores do sistema controle avançado de segurança sobre a rede interna sem riscos de latência e ponto único de falha associados aos dispositivos inline.

 

Controle automático de ataque no modo de implantação integrado

1.      Uma origem infectada entra na rede.

2.      ACLs estáticas ExtremeXOS e regras CLEAR-Flow filtram ataques de DoS, classificam o tráfego como "suspeito".

3.      Fazem o espelhamento seletivo de porta para o Sentriant NG300 para análise mais profunda.

4.      O Sentriant NG300 continua a vigiar o tráfego suspeito e usa as suas regras internas para escalar a classe do tráfego de "suspeito" para um alerta de alto nível.

5.      O Sentriant NG300 inicia uma ACL dinâmica no switch* ExtremeXOS. O switch aplica a ACL dinâmica em tempo real e continua a espelhar portas para tráfego suspeito.

* Switches das séries Summit X450a, BlackDiamond 8800c, BlackDiamond 10808 e BlackDiamond 12800.

 

 

 

Especificações Técnicas

 

Desempenho

Traffic Level (Inspection, Mitigation) 1 gigabit/sec aggregate traffic
Protected Endpoints 1000 end-points protected (Typical)
Protected IP Space 16K of used and unused IP addresses (Typical)
Number of VLANs Up to 64 VLANs


Partes Internas do Equipamento

Processor Two Intel® Xeon Processors (2.8 Ghz/ea)
Memory 2GB of ECC DRAM
Hard Drive 80GB
Network Interfaces

Four 10/100/1000BASE-T Ports

One 10/100BASE-T Management Port
Power Supply Single 400W Power Supply
Power Connection 120V/50/60Hz, U.S. Connectivity (U.S. cable only)
Startup Access Serial RJ-45 Access


Chassis

Height 2RU (3.5 inches)
Depth 20.5 inches
Width 17.0 inches
Mounting Bracket-based front mount
Certifications

UL 6950-1--IEC 6950 (U.S./Canada/Europe)

FCC Part15/ISES003 Class A Emissions ––(U.S./Canada)

CE (European Union

VCCI Class 1 ITE (Japan)


Sentriant NG300 Operations Console (SOC)

Platform Requirements

Operating System: Windows XP/2000/Server 2003

Processor: Intel Pentium 4 (or equivalent)

Memory: 512 MB

Hard Drive Space: 1 GB (minimum)

 

 

Garantia do Sentriant NG300

Hardware Limited 1-year

 

 

Ordering Information

Part
Number		 Description
72051 Sentriant NG300 Apliance (1 Gbps, 2RU chassis) includes:
• Sentriant NG300 Console Manager
• Sentriant NG300 SOC (Sentriant Operations Console)

• CLEAR-Flow security policy files library (Software package for Sentriant NG300 in Integrated

Deployment Mode)
90534 Onsite Installation for Sentriant NG

 

 


Contato
Nome:
Email:
Telefone:

Msg:
© Copyright 2002 Extreme Networks