Kontrolní bod IPS řešení

admin

Check Point IPS je systém prevence narušení (IPS). Vzhledem k tomu, že Bezpečnostní Brána firewall umožňuje blokovat provoz na základě zdroje, cíle a portu informací, IPS přidává další linii obrany na základě analýzy provozu obsah zkontrolovat, zda je riziko pro vaši síť. IPS chrání klienty i servery a umožňuje řídit používání určitých aplikací v síti. Nový hybridní detekční modul IPS poskytuje více obranných vrstev, což mu umožňuje vynikající detekční a preventivní schopnosti známých hrozeb a v mnoha případech i budoucích útoků. Umožňuje také bezkonkurenční flexibilitu nasazení a konfigurace a vynikající výkon.

Check Point IPS je k dispozici ve dvou nasazení metody:

  • IPS Software Blade, integrované s Check Point Security Gateway poskytovat další vrstvu zabezpečení, kromě Check Point firewall technologií.
  • senzor IPS-1-nainstalován bez brány firewall Check Point a věnován ochraně síťových segmentů proti vniknutí.

vrstvy ochrany

vrstvy IPS motoru zahrnují:

  • detekci a prevenci specifických známých exploitů.
  • detekce a prevence zranitelností, včetně známých i neznámých nástrojů zneužití, například ochrana před specifickými CVE.
  • detekce a prevence zneužití protokolu, které v mnoha případech naznačuje škodlivou aktivitu nebo potenciální hrozbu. Příklady běžně manipulovaných protokolů jsou HTTP, SMTP, POP a IMAP.
  • detekce a prevence odchozí komunikace malwaru.
  • detekce a prevence pokusů o tunelování. Tyto pokusy mohou naznačovat únik dat nebo pokusy obejít jiná bezpečnostní opatření, jako je filtrování webu.
  • rozpoznání, prevenci nebo omezení některých aplikací, které v mnoha případech jsou na šířku pásma náročné nebo může způsobit ohrožení bezpečnosti sítě, jako jsou Peer-to-Peer a Instant Messaging aplikace.
  • detekce a prevence generických typů útoků bez předdefinovaných podpisů, jako je například škodlivý kód Protector.

ve všech IPS má hluboké pokrytí desítek protokolů s tisíci ochran. Check Point neustále aktualizuje knihovnu ochrany, aby zůstal před hrozbami.

Možnosti IPS

jedinečné schopnosti IPS motoru Check Point zahrnují:

  • Jasné, jednoduché rozhraní pro správu
  • Snížení režie správy pomocí konzoly pro správu pro všechny Check Point produktů
  • Jednotné ovládání obou IPS-1 Senzory a integrované IPS Software Blade
  • Snadná navigace od obchodní úrovni přehled na zachycování paketů pro jeden útok.
  • Až 15 Gb / s propustnost s optimalizovanou bezpečnost, a do 2.5 Gbps propustnost s IPS ochrana aktivována,
  • #1 zabezpečení pro Microsoft a Adobe zranitelnosti
  • Zdroj škrcení tak, že vysoké IPS činnost nebude mít vliv na další čepel funkčnost
  • Kompletní integrace s Check Point konfigurační a monitorovací nástroje, jako je SmartEvent, SmartView Tracker a SmartDashboard, aby vám přijmout okamžitá opatření na základě IPS informací

Jako příklad, některé malware může být stažen uživatelem nevědomky, při procházení na legitimní webové stránky, také známý jako drive-by-download. Malware může zneužít zranitelnost prohlížeče vytvořením speciální odpovědi HTTP a jejím odesláním klientovi. IP adresy mohou identifikovat a blokovat tento typ útoku, i když brána firewall může být nakonfigurována tak, aby umožňovala průchod HTTP provozu.

prohlídka IPS

strom IPS V poskytuje snadný přístup k funkcím IPS, specifickým ochranám a odborným konfiguracím. Strom je rozdělen do následujících sekcí:

Overview

Dashboard for viewing IPS status, activity and updates

Enforcing Gateways

List of gateways enforcing IPS protections

Profiles

Settings for IPS profiles

Protections

Settings for individual protections

Geo Protection

Protection enforcement by source or destination country

Network Exceptions

Resources that are not subject to IPS inspection

Download Updates

Manual or Automatic updates to IPS protections

Follow Up

Protections marked for follow up akce

Další Nastavení

HTTP a HTTPS Inspekcí,

IPS Terminologie

Následující termíny jsou používány v celé příručce:

Prosazování Brány

  • IPS Software Blade: Software Blade, který může být instalován na Bezpečnostní Brána pro prosazování IPS Software Blade ochran.
  • senzor IPS-1: zařízení, které má nainstalován pouze software senzorů IPS-1 pro vynucení ochrany senzorů IPS-1. Senzor nemá žádné směrovací schopnosti.

Ochrana

  • Ochrana: konfigurovatelné nastavení pravidel, která IPS používá k analýze síťového provozu a chrání před hrozbami

Aktivace Nastavení

  • Aktivní: ochrana akci, která aktivuje ochranu buď Odhalit nebo Předejít dopravní
  • Odhalit: ochrana akci, která umožňuje identifikovat provoz projít přes bránu, ale záznamy o provozu, nebo sleduje to podle uživatelského nastavení
  • Neaktivní: ochrana akci, která deaktivuje ochrana
  • Zabránit: ochrana akci, která blokuje zjištěné dopravní a záznamy o provozu, nebo sleduje to podle uživatelského nastavení

Typy Ochran

  • Aplikace Ovládání: skupiny ochrany, které brání použití specifických uživatelských aplikací
  • Motor Nastavení: skupiny ochrany, které obsahují nastavení, které změnit chování jiných ochran
  • Protokol Anomálie: skupiny ochrany, který identifikuje provoz, který není v souladu se standardy protokolu
  • Podpisy: skupiny ochrany, který identifikuje provoz, že pokusy o zneužití konkrétní zranitelnosti

Ochrana Parametry

  • Úroveň Spolehlivosti: jak si jisti, IPS je, že uznal útoky jsou vlastně nežádoucí provoz
  • Dopad na Výkon: jak moc ovlivňuje ochranu brány výkon
  • Ochran Typu: zda se ochrana vztahuje se na server-související dopravní nebo klienta související s provozem
  • Závažnost: pravděpodobnost, že útok může způsobit škody na životní prostředí; například útok, která by mohla umožnit útočníkovi spustit kód na hostitelském je považováno za Kritické

Funkce pro Monitorování

  • Sledovat: způsob identifikace, ochrany, které vyžadují další konfiguraci nebo pozornost
  • Síť Výjimka: pravidlo, které lze použít k vyloučení návštěvnosti z IPS inspekce na základě ochrany, zdroj, cíl, služby, a gateway.

profily

  • IPS režim: výchozí akce, a to buď Zjistit, nebo Zabránit, že aktivní ochrana trvá, když to identifikuje škodlivý
  • IPS Politika: soubor pravidel, který určuje, jaké ochrany jsou aktivovány pro profil
  • Profil: sada ochrany konfigurace, na základě IPS Režimu a IPS Politiky, které mohou být použity k prosazování brány
  • řešení Problémů: možnosti, které mohou být použity, aby dočasně změnit chování IPS ochran, například, Zjištění-Pouze pro řešení Problémů

SmartDashboard Toolbar

můžete použít SmartDashboard toolbar dělat tyto akce:

Ikona

Popis

Otevřít SmartDashboard menu. Po pokynu k výběru možností nabídky klikněte na toto tlačítko pro zobrazení nabídky.

Pokud máte například pokyn vybrat spravovat > uživatelé a administrátoři, kliknutím na toto tlačítko otevřete nabídku spravovat a poté vyberte možnost Uživatelé a administrátoři.

Save current policy and all system objects.

Open a policy package, which is a collection of Policies saved together with the same name.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

tabulka nakonfigurované profily se zobrazí následující informace:

  • Profil — název profilu
  • IPS Režim — zda je profil nastaven na jen Detekovat útoky nebo jim předcházet, stejně
  • Aktivace — způsob aktivace ochran; buď IPS Politiky nebo Ruční
  • Brány — počet bran prosazování profil

Double-kliknutím na profil se otevře profilu je okno Vlastnosti.

zprávy a akční položky

zprávy a akční položky poskytují rychlý přístup k:

  • Ochrana aktualizovat informace
  • Ochrana označen pro zpracování
  • IPS smlouvu stav
  • Odkazy na události a zprávy

Bezpečnostní Stav

Stav Zabezpečení poskytuje up-to-the-minute zobrazení počtu Detekci a Prevenci událostí, které IPS zpracovány na zvolené časové období, vymezené podle závažnosti. Graf s nejnovějšími statistikami můžete znovu vytvořit kliknutím na Obnovit.

Poznámka – Stav Bezpečnosti grafy kompilovat data z bran verze R70 a vyšší.

průměr ukazuje počet zpracovaných útoků, který je průměrný pro vybrané časové období ve vaší společnosti.

například pokud se rozhodnete zobrazit stav útoků za posledních 24 hodin a průměr kritických útoků je 45. To znamená, že ve vaší organizaci je průměrný počet útoků během 24 hodin 45.

  • pokud je aktuální počet útoků mnohem vyšší než průměr, může to znamenat bezpečnostní problém, který byste měli okamžitě vyřešit. Pokud například IP za posledních 24 hodin řešilo více než 500 kritických útoků a průměr je 45, můžete rychle vidět, že vaše organizace byla trvale zaměřena na kritické útoky a měli byste to naléhavě zvládnout.
  • pokud je aktuální počet útoků mnohem nižší než průměr, může to znamenat problém s používáním IPS, který byste měli vyřešit. Například, pokud méně než 10 kritické útoky byly zpracovány IPS v posledních 24 hodin, s průměrem 45, můžete vidět, že je možné problém s IPS konfigurace; možná gateway byla instalována s politikou, která nezahrnovala IPS profil.

Centrum Zabezpečení

Centrum Zabezpečení je rolovací seznam dostupných ochran proti nové zranitelnosti. Otevřený odkaz vedle položky Centra zabezpečení vás přenese na související poradenství v oblasti kontrolního bodu.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.