Il nuovo tool, basato su sistema operativo Linux e dotata di un sottosistema di dischi Raid 5, agisce intercettando il traffico di rete memorizzando tutte le informazioni su un dispositivo hardware chiamato Capture Engine.
11 febbraio 2003 Un nuovo set di strumenti “autoptici” per gli utilizzatori dei prodotti Sniffer Technologies di Network Associates consentirà all’amministratore di rete di catturare e riprodurre gli eventi al contorno dei tentativi di intrusione, in modo da identificare l’origine e la causa dei problemi di sicurezza messi in luce da un attacco esterno. Il nuovo tool si chiama Infinistream e agisce intercettando il traffico di rete memorizzando tutte le informazioni su un dispositivo hardware chiamato Capture Engine. Si tratta di una appliance basata su sistema operativo Linux e dotata di un sottosistema di dischi Raid 5 in grado di custodire fino a 2,8 terabyte di dati provenienti da flussi Http, Ftp, Irc, e Voip. Il sistema è dimensionato per i volumi di traffico che transitano nell’arco di un paio di giornate e mezza su una rete gigabit con un carico medio full duplex del 5%. In questo modo è anche possibile analizzare gli eventi che si verificano nel fine settimana, anche nel caso un tentativo di intrusione o un attacco non venga identificato prima della mattinata del successivo lunedì.
Due applicativi installati su Infinistream, la “mining console” e il “reconstruction/replay software” assistono l’amministratore di rete nell’analisi dei flussi e permettono di replicare le esatte condizioni degli attacchi. La console è anche l’interfaccia principale di controllo del sistema e permette di gestire il traffico in base alla tipologia dei flussi e altri parametri interni o esterni alla rete. L’interfaccia di mining, invece, permette di entrare nel dettaglio degli eventi, rivelando per esempio l’ora di arrivo di un messaggio di posta infettato da un virus, in modo che sia possibile individuarlo ed eliminarlo. Quando il registratore del Capture Engine si riempie, i dischi vengono man mano riscritti con le nuove informazioni. Nai non propone questa soluzione come rimedio contro i tentativi di intrusione, ma come strumento analitico che aiuta a individuare i punti deboli di una rete e delle sue policy, intervenendo con successive misure correttive.
