Check Point IPS es un Sistema de Prevención de Intrusiones (IPS). Mientras que el firewall de puerta de enlace de seguridad le permite bloquear el tráfico en función de la información de origen, destino y puerto, IPS agrega otra línea de defensa al analizar el contenido del tráfico para verificar si es un riesgo para su red. IPS protege tanto a los clientes como a los servidores, y le permite controlar el uso de la red de ciertas aplicaciones. El nuevo motor de detección IPS híbrido proporciona múltiples capas de defensa que le permiten una excelente capacidad de detección y prevención de amenazas conocidas y, en muchos casos, también de ataques futuros. También permite una flexibilidad de implementación y configuración sin precedentes y un excelente rendimiento.
Check Point IPS está disponible en dos métodos de implementación:
- Hoja de software IPS integrada con la puerta de enlace de seguridad de Check Point para proporcionar otra capa de seguridad además de la tecnología de firewall de Check Point.
- Sensor IPS-1: instalado sin el firewall de Check Point y dedicado a proteger los segmentos de red contra intrusiones.
Capas de protección
Las capas del motor IPS incluyen:
- Detección y prevención de exploits conocidos específicos.
- Detección y prevención de vulnerabilidades, incluidas herramientas de exploits conocidas y desconocidas, por ejemplo, protección contra CVE específicos.
- Detección y prevención del uso indebido del protocolo, que en muchos casos indica actividad maliciosa o amenaza potencial. Ejemplos de protocolos comúnmente manipulados son HTTP, SMTP, POP e IMAP.
- Detección y prevención de comunicaciones de malware salientes.
- Detección y prevención de intentos de tunelización. Estos intentos pueden indicar fugas de datos o intentos de eludir otras medidas de seguridad, como el filtrado web.
- Detección, prevención o restricción de ciertas aplicaciones que, en muchos casos, consumen ancho de banda o pueden causar amenazas de seguridad a la red, como aplicaciones de punto a Punto y de Mensajería Instantánea.
- Detección y prevención de tipos de ataques genéricos sin firmas predefinidas, como Malicious Code Protector.
En total, IPS tiene una cobertura profunda de docenas de protocolos con miles de protecciones. Check Point actualiza constantemente la biblioteca de protecciones para mantenerse a la vanguardia de las amenazas.
Capacidades de IPS
Las capacidades únicas del motor Check Point IPS incluyen:
- Interfaz de administración clara y sencilla
- Reducción de la sobrecarga de administración mediante el uso de una consola de administración para todos los productos de Check Point
- Control unificado de los sensores IPS-1 y el software Blade IPS integrado
- Fácil navegación desde la descripción general a nivel empresarial hasta la captura de paquetes para un solo ataque
- Rendimiento de hasta 15 Gbps con seguridad optimizada y hasta 2.Rendimiento de 5 Gbps con todas las protecciones IPS activadas
- cobertura de seguridad#1 para vulnerabilidades de Microsoft y Adobe
- Limitación de recursos para que la alta actividad de IPS no afecte a otras funcionalidades de blade
- Integración completa con herramientas de configuración y supervisión de Check Point, como SmartEvent, SmartView Tracker y SmartDashboard, para permitirle tomar medidas inmediatas basadas en información de IPS
Por ejemplo, un usuario puede descargar un drive-by-download. El malware puede explotar una vulnerabilidad del navegador creando una respuesta HTTP especial y enviándola al cliente. Las IPS pueden identificar y bloquear este tipo de ataque aunque el firewall esté configurado para permitir el paso del tráfico HTTP.
Tour de IPS
El árbol de IPS en proporciona un fácil acceso a las funciones de IPS, protecciones específicas y configuraciones de expertos. El árbol se divide en las siguientes secciones:
Overview |
Dashboard for viewing IPS status, activity and updates |
Enforcing Gateways |
List of gateways enforcing IPS protections |
Profiles |
Settings for IPS profiles |
Protections |
Settings for individual protections |
Geo Protection |
Protection enforcement by source or destination country |
Network Exceptions |
Resources that are not subject to IPS inspection |
Download Updates |
Manual or Automatic updates to IPS protections |
Follow Up |
Protections marked for follow up acción |
Ajustes adicionales |
Inspección HTTP y HTTPS |
Terminología IPS
En esta guía se utilizan los siguientes términos:
Cumplimiento de puertas de enlace
- Hoja de software IPS: la Hoja de software que se puede instalar en una puerta de enlace de seguridad para hacer cumplir las protecciones de hoja de Software IPS.
- Sensor IPS-1: un dispositivo que solo tiene instalado el software del sensor IPS-1 para hacer cumplir las protecciones del sensor IPS-1. Un sensor no tiene ninguna capacidad de enrutamiento.Protección
Protecciones
- Protección: un conjunto configurable de reglas que IPS utiliza para analizar el tráfico de red y proteger contra amenazas
Configuración de activación
- Activo: la acción de protección que activa una protección para Detectar o Prevenir el tráfico
- Detección: la acción de protección que permite que el tráfico identificado pase a través de la puerta de enlace, pero registra el tráfico o lo rastrea de acuerdo con la configuración configurada por el usuario
- Inactivo: la acción de protección que desactiva una protección
- Prevenir: la acción de protección que bloquea el tráfico identificado y registra el tráfico o lo rastrea de acuerdo con la configuración configurada por el usuario
Tipos de protecciones
- Controles de aplicación: el grupo de protecciones que impide el uso de aplicaciones específicas de usuario final
- Configuración del motor: el grupo de protecciones que contiene configuraciones que alteran el comportamiento de otras protecciones
- Anomalías de protocolo: el grupo de protecciones que identifica el tráfico que no cumple con los estándares de protocolo
- Firmas: el grupo de protecciones que identifica el tráfico que intenta explotar una vulnerabilidad específica
Parámetros de protección
- Nivel de confianza: qué tan seguras están las IP de que los ataques reconocidos son realmente tráfico indeseable
- Impacto en el rendimiento: cuánto afecta una protección al rendimiento de la puerta de enlace
- Tipo de protecciones: si una protección se aplica al tráfico relacionado con el servidor o al tráfico relacionado con el cliente
- Gravedad: la probabilidad de que un ataque pueda causar daño a su entorno; por ejemplo, un ataque que podría permitir al atacante ejecutar código en el host se considera crítico
Funciones para monitorear
- Seguimiento: un método para identificar protecciones que requieren una configuración o atención adicionales
- Excepción de red: una regla que se puede usar para excluir el tráfico de la inspección IPS en función de las protecciones, el origen, el destino, el servicio y la puerta de enlace.
Perfiles
- Modo de IPS: la acción predeterminada, Detectar o Prevenir, que toma una protección activada cuando identifica una amenaza
- Política IPS: un conjunto de reglas que determina qué protecciones se activan para un perfil
- Perfil: un conjunto de configuraciones de protección, basadas en el Modo IPS y la Política IPS, que se pueden aplicar a la aplicación de pasarelas
- Solución de problemas: opciones que se pueden usar para cambiar temporalmente el comportamiento de las protecciones IPS, por ejemplo, Solo Detección para solución de problemas
Barra de herramientas SmartDashboard
Puede usar la barra de herramientas de SmartDashboard para realizar estas acciones:
Icono |
Descripción |
---|---|
Abra el SmartDashboard menú. Cuando se le indique seleccionar opciones de menú, haga clic en este botón para mostrar el menú. Por ejemplo, si se le indica que seleccione Administrar > Usuarios y administradores, haga clic en este botón para abrir el menú Administrar y, a continuación, seleccione la opción Usuarios y administradores. |
|
Save current policy and all system objects. |
|
Open a policy package, which is a collection of Policies saved together with the same name. |
|
Refresh policy from the Security Management Server. |
|
Open the Database Revision Control window. |
|
Change global properties. |
|
Verify Rule Base consistency. |
|
Install the policy on Security Gateways or VSX Gateways. |
|
Open SmartConsoles. |
IPS Overview
The IPS Overview page provides quick access to the latest and most important information.
In My Organization
IPS in My Organization summarizes gateway and profile information.
La tabla de los perfiles configurados muestra la siguiente información:
- Perfil — el nombre del perfil
- Modo IPS — si el perfil está configurado para detectar ataques o para prevenirlos también
- Activación — el método de activación de las protecciones; ya sea Directiva IPS o Manual
- Puertas de enlace — el número de puertas de enlace que aplican el perfil
Haciendo doble clic en un perfil se abre la ventana de propiedades del perfil.
Mensajes y Elementos de Acción
Mensajes y elementos de Acción da acceso rápido a:
- Información de actualización de protección
- Protecciones marcadas para seguimiento
- Estado del contrato IPS
- Enlaces a eventos e informes
Estado de seguridad
El estado de seguridad proporciona una visualización actualizada al minuto del número de eventos de detección y prevención que IPS manejó durante un período de tiempo seleccionado, delineado por gravedad. Puede reconstruir el gráfico con las últimas estadísticas haciendo clic en Actualizar.
Nota: Los gráficos de estado de seguridad recopilan datos de pasarelas de la versión R70 y superiores. |
El Promedio muestra el número de ataques manejados que es el promedio para el período de tiempo seleccionado en su empresa.
Por ejemplo, si elige ver el estado de los ataques en las últimas 24 horas y el promedio de ataques críticos es de 45. Esto indica que en su organización el número promedio de ataques durante un período de 24 horas es de 45.
- Si el número actual de ataques es mucho mayor que el promedio, puede indicar un problema de seguridad que debe manejar de inmediato. Por ejemplo, si más de 500 ataques críticos fueron manejados por IPS en las últimas 24 horas, y el promedio es de 45, puede ver rápidamente que su organización ha sido atacada con ataques críticos de manera persistente y debe manejar esto con urgencia.
- Si el número actual de ataques es mucho menor que el promedio, puede indicar un problema con el uso de IPS que debe solucionar. Por ejemplo, si IPS ha manejado menos de 10 ataques críticos en las últimas 24 horas, con un promedio de 45, puede ver que existe un posible problema con la configuración de IPS; tal vez se instaló una puerta de enlace con una política que no incluía un perfil de IPS.
Centro de seguridad
El Centro de seguridad es una lista de protecciones disponibles contra nuevas vulnerabilidades. El enlace Abierto junto a un elemento del Centro de seguridad lo lleva al aviso del Punto de control asociado.