Check Point IPS ist ein Intrusion Prevention System (IPS). Während Sie mit der Security Gateway-Firewall den Datenverkehr basierend auf Quell-, Ziel- und Portinformationen blockieren können, bietet IPS eine weitere Verteidigungslinie, indem der Datenverkehrsinhalt analysiert wird, um zu überprüfen, ob er ein Risiko für Ihr Netzwerk darstellt. IPS schützt sowohl Clients als auch Server und ermöglicht es Ihnen, die Netzwerknutzung bestimmter Anwendungen zu steuern. Die neue, hybride IPS-Erkennungs-Engine bietet mehrere Verteidigungsschichten, die eine hervorragende Erkennung und Prävention bekannter Bedrohungen und in vielen Fällen auch zukünftiger Angriffe ermöglichen. Es ermöglicht auch eine beispiellose Bereitstellungs- und Konfigurationsflexibilität und hervorragende Leistung.
Check Point IPS ist in zwei Bereitstellungsmethoden verfügbar:
- IPS Software Blade – integriert in das Check Point Security Gateway, um neben der Check Point Firewall-Technologie eine weitere Sicherheitsebene bereitzustellen.
- IPS-1 Sensor – installiert ohne Check Point Firewall und zum Schutz von Netzwerksegmenten vor Eindringlingen.
Schutzschichten
Die Schichten der IPS-Engine umfassen:
- Erkennung und Verhinderung bestimmter bekannter Exploits.
- Erkennung und Vorbeugung von Schwachstellen, einschließlich bekannter und unbekannter Exploit-Tools, z. B. Schutz vor bestimmten CVEs.
- Erkennung und Verhinderung von Protokollmissbrauch, der in vielen Fällen auf böswillige Aktivitäten oder potenzielle Bedrohungen hinweist. Beispiele für häufig verwendete Protokolle sind HTTP, SMTP, POP und IMAP.
- Erkennung und Verhinderung ausgehender Malware-Kommunikation.
- Erkennung und Verhinderung von Tunnelversuchen. Diese Versuche können auf Datenlecks hinweisen oder auf Versuche, andere Sicherheitsmaßnahmen wie die Webfilterung zu umgehen.
- Erkennung, Verhinderung oder Einschränkung bestimmter Anwendungen, die in vielen Fällen Bandbreite verbrauchen oder Sicherheitsbedrohungen für das Netzwerk verursachen können, wie Peer-to-Peer- und Instant-Messaging-Anwendungen.
- Erkennung und Verhinderung generischer Angriffstypen ohne vordefinierte Signaturen, wie z. B. Malicious Code Protector.
Insgesamt bietet IPS eine umfassende Abdeckung von Dutzenden von Protokollen mit Tausenden von Schutzfunktionen. Check Point aktualisiert die Schutzbibliothek ständig, um den Bedrohungen immer einen Schritt voraus zu sein.
Funktionen von IPS
Zu den einzigartigen Funktionen der Check Point IPS-Engine gehören:
- Klare, einfache Verwaltungsoberfläche
- Reduzierter Verwaltungsaufwand durch Verwendung einer Verwaltungskonsole für alle Check Point-Produkte
- Einheitliche Steuerung der IPS-1-Sensoren und des integrierten IPS-Software-Blades
- Einfache Navigation von der Übersicht auf Geschäftsebene bis zur Paketerfassung für einen einzelnen Angriff
- Durchsatz von bis zu 15 Gbit/s bei optimierter Sicherheit und bis zu 2.5 Gbit / s Durchsatz bei aktiviertem IPS-Schutz
- #1 Sicherheitsabdeckung für Microsoft- und Adobe-Schwachstellen
- Ressourcendrosselung, damit eine hohe IPS-Aktivität keine Auswirkungen auf andere Blade-Funktionen hat
- Vollständige Integration mit Check Point-Konfigurations- und Überwachungstools wie SmartEvent, SmartView Tracker und SmartDashboard, damit Sie basierend auf IPS-Informationen sofort Maßnahmen ergreifen können
Beispielsweise kann Malware von einem Benutzer unwissentlich heruntergeladen werden, wenn er auf eine legitime Website zugreift, die auch als ein Drive-by-Download. Die Malware kann eine Browser-Sicherheitsanfälligkeit ausnutzen, indem sie eine spezielle HTTP-Antwort erstellt und an den Client sendet. IPS können diese Art von Angriff identifizieren und blockieren, obwohl die Firewall so konfiguriert sein kann, dass der HTTP-Datenverkehr passieren kann.
Rundgang durch IPS
Der IPS-Baum in bietet einfachen Zugriff auf IPS-Funktionen, spezifische Schutzfunktionen und Expertenkonfigurationen. Der Baum ist in folgende Abschnitte unterteilt:
Overview |
Dashboard for viewing IPS status, activity and updates |
Enforcing Gateways |
List of gateways enforcing IPS protections |
Profiles |
Settings for IPS profiles |
Protections |
Settings for individual protections |
Geo Protection |
Protection enforcement by source or destination country |
Network Exceptions |
Resources that are not subject to IPS inspection |
Download Updates |
Manual or Automatic updates to IPS protections |
Follow Up |
Protections marked for follow up aktion |
Zusätzliche Einstellungen |
HTTP- und HTTPS-Inspektion |
IPS-Terminologie
Die folgenden Begriffe werden in diesem Handbuch verwendet:
Erzwingen von Gateways
- IPS-Software-Blade: Das Software-Blade, das auf einem Sicherheitsgateway installiert werden kann, um den Schutz von IPS-Software-Blades durchzusetzen.
- IPS-1-Sensor: Ein Gerät, auf dem nur die IPS-1-Sensorsoftware zur Durchsetzung des IPS-1-Sensorschutzes installiert ist. Ein Sensor verfügt nicht über Routing-Funktionen.
Schutz
- Schutz: Ein konfigurierbarer Satz von Regeln, mit denen IPS den Netzwerkverkehr analysiert und vor Bedrohungen schützt
Aktivierungseinstellungen
- Aktiv: Die Schutzaktion, die einen Schutz aktiviert, um den Datenverkehr zu erkennen oder zu verhindern
- Detect: Die Schutzaktion, mit der identifizierter Datenverkehr durch das Gateway geleitet werden kann, der Datenverkehr jedoch gemäß den vom Benutzer konfigurierten Einstellungen protokolliert oder verfolgt wird
- Inaktiv: die Schutzaktion, die einen Schutz deaktiviert
- Verhindern: Die Schutzaktion, die identifizierten Datenverkehr blockiert und den Datenverkehr gemäß den vom Benutzer konfigurierten Einstellungen protokolliert oder verfolgt
Schutzarten
- Anwendungssteuerelemente: Die Schutzgruppe, die die Verwendung bestimmter Endbenutzeranwendungen verhindert
- Engine-Einstellungen: Die Schutzgruppe, die Einstellungen enthält, die das Verhalten anderer Schutzfunktionen ändern
- Protokollanomalien: die Schutzgruppe, die Datenverkehr identifiziert, der nicht den Protokollstandards entspricht
- Signaturen: Die Schutzgruppe, die Datenverkehr identifiziert, der versucht, eine bestimmte Sicherheitsanfälligkeit auszunutzen
Schutzparameter
- Konfidenzniveau: Wie sicher IPS ist, dass erkannte Angriffe tatsächlich unerwünschter Datenverkehr sind
- Auswirkungen auf die Leistung: Wie stark sich ein Schutz auf die Leistung des Gateways auswirkt
- Schutztyp: Ob ein Schutz für serverbezogenen Datenverkehr oder clientbezogenen Datenverkehr gilt
- Schweregrad: die Wahrscheinlichkeit, dass ein Angriff Ihrer Umgebung Schaden zufügen kann; Beispielsweise wird ein Angriff, der es dem Angreifer ermöglichen könnte, Code auf dem Host auszuführen, als kritisch angesehen
Funktionen zur Überwachung
- Follow-up: Eine Methode zur Identifizierung von Schutzfunktionen, die weitere Konfiguration oder Aufmerksamkeit erfordern
- Netzwerkausnahme: Eine Regel, mit der Datenverkehr basierend auf Schutzfunktionen, Quelle, Ziel, Dienst und Gateway von der IPS-Inspektion ausgeschlossen werden kann.
Profile
- IPS-Modus: die Standardaktion Erkennen oder Verhindern, die ein aktivierter Schutz ausführt, wenn er eine Bedrohung identifiziert
- IPS-Richtlinie: Eine Reihe von Regeln, die bestimmen, welche Schutzfunktionen für ein Profil aktiviert werden
- Profil: eine Reihe von Schutzkonfigurationen, die auf dem IPS-Modus und der IPS-Richtlinie basieren und auf die Durchsetzung von Gateways angewendet werden können
- Fehlerbehebung: Optionen, mit denen das Verhalten von IPS-Schutzfunktionen vorübergehend geändert werden kann, z. B. Detect-Only für die Fehlerbehebung
SmartDashboard Toolbar
Sie können die SmartDashboard-Symbolleiste verwenden, um diese Aktionen auszuführen:
Symbol |
Beschreibung |
---|---|
Öffnen Sie das SmartDashboard-Menü. Wenn Sie aufgefordert werden, Menüoptionen auszuwählen, klicken Sie auf diese Schaltfläche, um das Menü anzuzeigen. Wenn Sie beispielsweise angewiesen werden, > Benutzer und Administratoren verwalten auszuwählen, klicken Sie auf diese Schaltfläche, um das Menü Verwalten zu öffnen, und wählen Sie dann die Option Benutzer und Administratoren. |
|
Save current policy and all system objects. |
|
Open a policy package, which is a collection of Policies saved together with the same name. |
|
Refresh policy from the Security Management Server. |
|
Open the Database Revision Control window. |
|
Change global properties. |
|
Verify Rule Base consistency. |
|
Install the policy on Security Gateways or VSX Gateways. |
|
Open SmartConsoles. |
IPS Overview
The IPS Overview page provides quick access to the latest and most important information.
In My Organization
IPS in My Organization summarizes gateway and profile information.
In der Tabelle der konfigurierten Profile werden die folgenden Informationen angezeigt:
- Profil — der Name des Profils
- IPS—Modus — ob das Profil so eingestellt ist, dass es nur Angriffe erkennt oder auch verhindert
- Aktivierung — die Methode zum Aktivieren des Schutzes; entweder IPS-Richtlinie oder Manuell
- Gateways – die Anzahl der Gateways, die das Profil erzwingen
Ein Doppelklick auf ein Profil öffnet das Eigenschaftenfenster des Profils.
Nachrichten und Aktionselemente
Nachrichten und Aktionselemente ermöglicht den schnellen Zugriff auf:
- Informationen zur Schutzaktualisierung
- Für Follow-up markierte Schutzfunktionen
- IPS-Vertragsstatus
- Links zu Ereignissen und Berichten
Sicherheitsstatus
Sicherheitsstatus bietet eine minutengenaue Anzeige der Anzahl der Ereignisse zum Erkennen und Verhindern, die IPS in einem ausgewählten Zeitraum behandelt hat, abgegrenzt nach Schweregrad. Sie können das Diagramm mit den neuesten Statistiken neu erstellen, indem Sie auf Aktualisieren klicken.
Hinweis – Sicherheitsstatusdiagramme kompilieren Daten von Gateways der Version R70 und höher. |
Der Durchschnitt zeigt die Anzahl der behandelten Angriffe an, die für den ausgewählten Zeitraum in Ihrem Unternehmen durchschnittlich sind.
Wenn Sie beispielsweise den Status von Angriffen in den letzten 24 Stunden anzeigen möchten und der Durchschnitt kritischer Angriffe 45 beträgt. Dies bedeutet, dass in Ihrer Organisation die durchschnittliche Anzahl von Angriffen während eines Zeitraums von 24 Stunden 45 beträgt.
- Wenn die aktuelle Anzahl der Angriffe viel höher als der Durchschnitt ist, kann dies auf ein Sicherheitsproblem hinweisen, das Sie sofort beheben sollten. Wenn beispielsweise in den letzten 24 Stunden mehr als 500 kritische Angriffe von IPS behandelt wurden und der Durchschnitt bei 45 liegt, können Sie schnell feststellen, dass Ihre Organisation dauerhaft mit kritischen Angriffen angegriffen wurde, und Sie sollten dies dringend tun.
- Wenn die aktuelle Anzahl der Angriffe viel niedriger als der Durchschnitt ist, kann dies auf ein Problem mit der IPS-Nutzung hinweisen, das Sie beheben sollten. Wenn beispielsweise weniger als 10 kritische Angriffe von IPS in den letzten 24 Stunden behandelt wurden, mit einem Durchschnitt von 45, können Sie sehen, dass es ein mögliches Problem mit der IPS-Konfiguration gibt; Möglicherweise wurde ein Gateway mit einer Richtlinie installiert, die kein IPS-Profil enthielt.
Security Center
Security Center ist eine Liste der verfügbaren Schutzmaßnahmen gegen neue Sicherheitslücken. Über den Link Öffnen neben einem Sicherheitscenter-Element gelangen Sie zur zugehörigen Checkpoint-Empfehlung.