El software puede ser administrado desde una consola central, mientras que los agentes pueden ser distribuidos por toda la red.
La mejor forma de describir cómo funciona el sistema es compararlo con un firewall. Cada agente tiene una lista de reglas asociadas con él y una lista de cuándo deben ser aplicadas. Por ejemplo, la política por defecto es aplicar todas las reglas a todo el tráfico. Sin embargo, es posible personalizarlo y definir que direcciones IP a verificar.
El único problema que tuvimos con el sistema es que las reglas eran tan numerosas que pronto se volvieron excesivas. Afortunadamente, la interfaz hace que todas ellas sean muy legibles, lo que permite que el sistema no se nos vaya de las manos.
Asociado con cada regla existe una opción a tomar. CA dispone de una gran cantidad de opciones, incluyendo bloquear el tráfico, reconfigurar un router, o mandar un mensaje a una consola NT. Las actualizaciones de la base de datos se realizan automáticamente a través de la consola, y el software es lo suficientemente amable como para avisarnos de que estamos algo desfasados.
Con el sistema en marcha decidimos lanzar tráfico contra los servidores. En primer lugar intentamos un escaneo de puertos, el cual predeciblemente lanzo alarmas por doquier. A continuación, intentamos la vulnerabilidad de Unicode, y se nos avisó de qué técnicas de evasión del IDS se estaban efectuando, aunque no mostró exactamente el problema. De todas formas, la consola registró que estábamos ejecutando un servidor web y que la máquina atacante estaba solicitando ficheros.
Examinando el listado de ficheros descargados, pudimos ver un listado de los directorios del servidor web enviado y que se subió un fichero, mostrando que el servidor había sido comprometido. Instalamos BO2k pero, otra vez, la aplicación no pudo detectarla.
Aun con esto, los otros aspectos de esta solución nos impresionaron, como por ejemplo las estadísticas recogidas sobre la utilización de la red. Ésta es una muestra de la información que el sniffer recoge y oferta información como la distribución de los protocolos y los más ávidos de recursos en la red.
