Spis treści
O firmie macmon
Od 2003 roku macmon secure oferuje niezależne od producentów infrastruktury rozwiązania chroniące heterogeniczne sieci przed nieautoryzowanym dostępem dzięki natychmiastowej widoczności sieci. System macmon NAC jest szybki i łatwy do wdrożenia, oferując realną wartość dodaną dla bezpieczeństwa sieci. To przyjazne dla użytkownika narzędzie zawiera wiele funkcji, takich jak: Advanced Security, Compliance, 802.1X, Guest Service, VLAN Manager, Topology, Switch Viewer, Past Viewer i inne.
Gdy 1+1 daje więcej niż 2
W obliczu rosnącej złożoności środowisk IT i coraz liczniejszych zagrożeń, inżynierowie Sycope i macmon stworzyli wspólne rozwiązanie podnoszące poziom bezpieczeństwa. Sycope oferuje zaawansowany mechanizm analizy ruchu sieciowego i wykrywania naruszeń reguł bezpieczeństwa. System działa w pełni pasywnie, co oznacza, że nie wpływa na ruch ani urządzenia sieciowe. Wadą takiego podejścia jest wydłużony czas reakcji – blokowanie niepożądanego ruchu wymaga ręcznego działania administratora.
Aby przyspieszyć reakcję na incydenty, możliwa jest integracja Sycope z macmon, która pozwala na aktywne zarządzanie naruszeniami bezpieczeństwa. Połączenie obu systemów zwiększa wartość rozwiązania dla użytkownika końcowego.
Łatwa integracja
Sycope wykorzystuje API macmon do przesyłania poleceń mitigacji dla podejrzanych adresów IP. Cały niezbędny kod jest już zaimplementowany – wystarczy jedynie skonfigurować dane uwierzytelniające do systemu macmon. Nie ma potrzeby pisania dodatkowych linii kodu – integracja jest naprawdę prosta.
Jak to działa?
Każda komunikacja między hostami generuje ruch sieciowy. Urządzenia sieciowe wykorzystują NetFlow do przesyłania informacji o ruchu (np. strony komunikacji, protokoły, wolumen ruchu). Sycope jako kolektor NetFlow zapisuje i analizuje te informacje, identyfikując wzorce świadczące o potencjalnych incydentach bezpieczeństwa. Na tym etapie monitoring ma charakter pasywny.
Dzięki integracji z macmon NAC, monitoring może przekształcić się w system aktywny – blokujący niepożądany ruch automatycznie. Gdy Sycope wygeneruje alert, jednym z dostępnych działań jest Mitigacja w macmon. Wówczas Sycope komunikuje się z macmon, pobiera szczegóły dotyczące podejrzanego IP i zleca izolację hosta.
Proces izolacji polega na przeniesieniu podejrzanego hosta do osobnej sieci VLAN z ograniczonym dostępem do zasobów wewnętrznych i Internetu. Administrator zyskuje dzięki temu czas na analizę sytuacji i podjęcie działań naprawczych.
Dodatkowe sposoby blokowania niepożądanych adresów IP
Istnieją dwa sposoby blokowania podejrzanych IP:
Automatycznie – po wystąpieniu alertu można w regule wybrać akcję mitigacji, która automatycznie blokuje adres IP.
Ręcznie – klikając prawym przyciskiem myszy na wewnętrzny adres IP i wybierając opcję Mitigacja w macmon.
