Gerenciar uma rede de forma segura não é uma tarefa fácil. Quando não se tem as ferramentas necessárias para realizar esta tarefa, o trabalho se torna uma missão quase impossível. O Defense Layer Central Console (DLCC) tem como objetivo ajudar os administradores e empresas que atuam na área de segurança das redes na difícil tarefa de administrar vários sensores IDS (Snort) distribuídos em vários pontos de uma LAN ou WAN.

Facilidade para monitorar diversos pontos da rede de forma centralizada ;
Maior conhecimento do comportamento da rede;
Identificar variações do comportamento da rede;
Identificar eventos com reflexo local;
Identificar eventos com reflexo distribuído;
Facilitar análise de desastres;
Diminuição do tempo de resposta na análise de eventos.

O DLCC é composto de quatro módulos: Defense Layer Central Console, Integrator, Agente, IDS Report Generator (IDSRG).

1 - Defense Layer Central Console -> Responsável pelo gerenciamento dos sensores. Através desta console é possível:

•  Configurar Sensores IDS (snort) de forma centralizada;
•  Configurações de Inicialização
•  Configurações gerais do Snort:
•  Variáveis
•  Preprocessadores
•  Plugins de Saída para Log e Alerta de eventos
•  Seleção dos conjuntos de regras para inicialização
•  Outros arquivos para serem incluidos na configuração

•  Gerenciamento do banco de Regras
•  Adicionar Grupos
•  Adicionar Regras
•  Desabilitar Regras
•  Habilitar o reset de conexões para regras específicas
•  Editar regras;
•  Controle de versão de regras

•  Configuração de Updates
•  Informações sobre como o Agente deve proceder para atualizar seu banco de regras;

•  Visualizar o estado dos agentes, dos sensores e da conectividade das maquinas
•  Estatísticas sobre o Sensor, utilizando o Preprocessador Performance Monitor (em fase de testes)
•  Importar configurações para um agente;
•  Possibilidade de armazenamento das configurações dos agentes localmente;

2 – Integrator -> Recebe alertas de sensores IDS (Snort), podendo aplicar regras dinâmicas e temporizadas ao firewall (IPTABLES), envio de relatórios por e-mail sobre os eventos, recorrência dos eventos, relatórios dos eventos ocorridos nos últimos minutos*, e detecção de anomalias (quando um grande número* de eventos é gerado em um curto espaço de tempo*).

* Valores customizáveis pelo cliente;

3 – Agente -> O agente recebe conexões da Console, que por sua vez se autentica, bloqueando o acesso de outras consoles, para controle do envio das configurações, evitando sobrescrita e perda de configurações. O trafego de dados entre a console e o agente é criptografado.

3.1 – O Agente é reponsável por baixar as novas regras do servidor da TRIFORSEC para os sensores;
3.2 – O Agente também pode ser utilizado como servidor de regras;
3.3 – O Agente pode restartar o sensor (snort)

4 – IDS report Generator -> Responsável por prover relatórios referentes aos eventos detectados pelo Snort. Suas opções de relatórios são:

- Por evento
- Por IP de origem
- Por IP de destino
- Por porta de destino (TCP)
- Por porta de destino (UDP)
- Por protocolo
- Por sensor
- Pesquisa

4.1 - A pesquisa pode ser realizada em um agente apenas, ou em vários ao mesmo tempo
4.2 - Os campos pesquisados podem ser: SID, IP de Origem, IP de Destino, Protocolo, Porta de Origem, Porta de Destino