Check Point IPS-ratkaisu

Check Point IPS on Intrusion Prevention System (IPS). Siinä missä Security Gateway-palomuurin avulla voit estää liikenteen lähde -, kohde-ja porttitietojen perusteella, IPS lisää toisen puolustuslinjan analysoimalla liikenteen sisältöä tarkistaaksesi, onko se riski verkollesi. IPS suojaa sekä asiakkaita että palvelimia ja antaa sinun hallita tiettyjen sovellusten verkon käyttöä. Uusi, Hybridi IPS detection engine tarjoaa useita puolustuskerroksia, mikä mahdollistaa erinomaiset havaitseminen ja ehkäisy valmiudet tunnettujen uhkien, ja monissa tapauksissa tulevia hyökkäyksiä samoin. Se mahdollistaa myös ennennäkemättömän käyttöönoton ja kokoonpanon joustavuuden ja erinomaisen suorituskyvyn.

Check Point IPS on saatavilla kahdella käyttöönottomenetelmällä:

  • IPS Software Blade – integroitu Check Point Security Gateway-portaaliin, joka tarjoaa toisen suojakerroksen Check Point firewall-tekniikan lisäksi.
  • IPS-1 – anturi-asennettu ilman Check Point-palomuuria ja omistettu suojaamaan verkon osia tunkeutumiselta.

suojauskerrokset

IPS-Moottorin kerroksia ovat:

  • tiettyjen tunnettujen hyväksikäyttöjen havaitseminen ja ehkäisy.
  • haavoittuvuuksien havaitseminen ja ehkäisy, mukaan lukien sekä tunnetut että tuntemattomat hyödyntämistyökalut, esimerkiksi suojaus tietyiltä CVEs: ltä.
  • protokollan väärinkäytön havaitseminen ja ehkäisy, joka monissa tapauksissa viittaa haitalliseen toimintaan tai mahdolliseen uhkaan. Esimerkkejä yleisesti manipuloiduista protokollista ovat HTTP, SMTP, POP ja IMAP.
  • lähtevän haittaohjelmaviestinnän havaitseminen ja estäminen.
  • tunnelointiyritysten havaitseminen ja estäminen. Nämä yritykset voivat viitata tietovuotoon tai yrittää kiertää muita turvatoimia, kuten web-suodatusta.
  • tiettyjen sovellusten havaitseminen, estäminen tai rajoittaminen, jotka monissa tapauksissa kuluttavat kaistanleveyttä tai voivat aiheuttaa tietoturvauhkia verkolle, kuten vertaisverkkosovellukset ja Pikaviestinsovellukset.
  • yleishyökkäystyyppien havaitseminen ja estäminen ilman ennalta määriteltyjä allekirjoituksia, kuten Malicious Code Protector.

kaiken kaikkiaan IPS: llä on syvä kattavuus kymmeniä protokollia tuhansine suojauksineen. Check Point päivittää jatkuvasti suojauskirjastoa pysyäkseen uhkien edellä.

IPS: n ominaisuudet

Check Point IPS-Moottorin ainutlaatuiset ominaisuudet ovat:

  • selkeä, yksinkertainen hallintaliittymä
  • pienensi yleiskustannusten hallintaa käyttämällä yhtä hallintakonsolia kaikissa Check Point-tuotteissa
  • sekä IPS-1-antureiden että integroidun IPS-Ohjelmistoterän yhtenäistä hallintaa
  • helppo navigointi yritystason yleiskatsauksesta pakettikaappaukseen yksittäistä hyökkäystä varten
  • jopa 15 Gbps: n läpimeno optimoidulla tietoturvalla ja jopa 2.5 Gbps: n läpimeno kaikkien IPS-suojausten ollessa käytössä
  • #1 suojauksen kattavuus Microsoftin ja Adoben haavoittuvuuksille
  • resurssien Kuristaminen siten, että korkea IPS-aktiivisuus ei vaikuta muihin blade-toimintoihin
  • täydellinen integrointi Check Point-konfigurointiin ja seurantatyökaluihin, kuten SmartEvent, SmartView Tracker ja SmartDashboard, jotta voit ryhtyä välittömiin toimiin IPS-tietojen perusteella

esimerkkinä, käyttäjä voi tietämättään ladata joitain haittaohjelmia selatessaan lailliselle verkkosivustolle, myös tunnetaan nimellä drive-by-download. Haittaohjelma saattaa hyödyntää selaimen haavoittuvuutta luomalla erityisen HTTP-vastauksen ja lähettämällä sen asiakkaalle. IPS voi tunnistaa ja estää tämäntyyppisen hyökkäyksen, vaikka palomuuri voidaan määrittää niin, että HTTP-liikenne kulkee.

IPS-kiertue

IPS-puu in tarjoaa helpon pääsyn IPS-ominaisuuksiin, erityisiin suojauksiin ja asiantuntijakokoonpanoihin. Puu jaetaan seuraaviin osiin:

Overview

Dashboard for viewing IPS status, activity and updates

Enforcing Gateways

List of gateways enforcing IPS protections

Profiles

Settings for IPS profiles

Protections

Settings for individual protections

Geo Protection

Protection enforcement by source or destination country

Network Exceptions

Resources that are not subject to IPS inspection

Download Updates

Manual or Automatic updates to IPS protections

Follow Up

Protections marked for follow up toiminta

Lisäasetukset

HTTP ja HTTPS tarkastus

IPS terminologia

tässä oppaassa käytetään seuraavia termejä:

yhdyskäytävien valvominen

  • IPS Software Blade: ohjelmistoterä, joka voidaan asentaa suojauskäytävään IPS Software Blade-suojausten valvomiseksi.
  • IPS-1-anturi: laite, johon on asennettu vain IPS-1-anturiohjelmisto IPS-1-anturien suojausten valvomiseksi. Sensorilla ei ole reititysominaisuuksia.

suojaukset

  • suojaus: konfiguroitavissa oleva sääntöjoukko, jota IPS käyttää analysoidakseen verkkoliikennettä ja suojautuakseen uhkilta

Aktivointiasetukset

  • Aktiivinen: suojaustoiminto, joka aktivoi suojauksen joko havaitsemaan tai estämään liikenteen
  • tunnista: suojaustoiminto, joka mahdollistaa tunnistetun liikenteen kulkemisen yhdyskäytävän läpi, mutta kirjaa liikenteen tai seuraa sitä käyttäjän määrittämien asetusten mukaan
  • passiivinen: suojaustoiminto, joka deaktivoi suojauksen
  • Prevent: suojaustoiminto, joka estää tunnistetun liikenteen ja kirjaa liikenteen tai seuraa sitä käyttäjän määrittämien asetusten mukaan

suojaustyypit

  • Sovelluskontrollit: suojausten ryhmä, joka estää tiettyjen loppukäyttäjän sovellusten käytön
  • Moottoriasetukset: suojausten ryhmä, joka sisältää asetuksia, jotka muuttavat muiden suojausten käyttäytymistä
  • Protokollapoikkeamat: suojausryhmä, joka tunnistaa liikenteen, joka ei ole protokollastandardien mukainen
  • allekirjoitukset: suojausryhmä, joka tunnistaa liikenteen, joka yrittää hyödyntää tiettyä haavoittuvuutta

Suojausparametrit

  • luottamustaso: kuinka varma IPS on siitä, että tunnistetut hyökkäykset ovat todellisuudessa ei-toivottua liikennettä
  • suorituskykyvaikutus: kuinka paljon suojaus vaikuttaa yhdyskäytävän suorituskykyyn
  • Suojaustyyppi: sovelletaanko suojausta palvelimeen liittyvään liikenteeseen vai asiakasliikenteeseen
  • vakavuus: todennäköisyyttä, että hyökkäys voi aiheuttaa vahinkoa ympäristöllesi; esimerkiksi hyökkäystä, jonka avulla hyökkääjä voi suorittaa koodia isännällä, pidetään kriittisenä

seurantaan tarkoitetut toiminnot

  • seuranta: menetelmä, jolla tunnistetaan suojaukset, jotka vaativat lisäkokoonpanoa tai huomiota
  • Verkkopoikkeus: sääntö, jota voidaan käyttää sulkemaan liikenne IPS-tarkastuksen ulkopuolelle suojausten, lähteen, määränpään, palvelun ja yhdyskäytävän perusteella.

profiilit

  • IPS-tila: oletustoiminto, joko tunnista tai estä, jonka aktivoitu suojaus suorittaa tunnistaessaan uhan
  • IPS-käytäntö: joukko sääntöjä, jotka määrittävät, mitkä suojaukset on aktivoitu Profiilin
  • profiili: joukko SUOJAUSKONFIGURAATIOITA, jotka perustuvat IPS-tilaan ja IPS-käytäntöön, joita voidaan käyttää yhdyskäytävien valvomiseen
  • vianmääritys: asetukset, joita voidaan käyttää väliaikaisesti IPS-suojausten käyttäytymisen muuttamiseen, esimerkiksi tunnista-vain vianmääritykseen

SmartDashboard Toolbar

voit tehdä nämä toiminnot smartdashboard-työkalupalkin avulla:

Icon

kuvaus

avaa smartdashboard-valikko. Kun valikkoasetuksia kehotetaan valitsemaan, napsauta tätä painiketta näyttääksesi valikon.

esimerkiksi, jos sinua on ohjeistettu valitsemaan Hallitse > käyttäjät ja järjestelmänvalvojat, avaa Hallitse-valikko napsauttamalla tätä painiketta ja valitse Käyttäjät ja järjestelmänvalvojat-vaihtoehto.

Save current policy and all system objects.

Open a policy package, which is a collection of Policies saved together with the same name.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

asetettujen profiilien taulukko näyttää seuraavat tiedot:

  • profiili — profiilin nimi
  • IPS — tila — onko profiili asetettu vain havaitsemaan hyökkäykset vai estämään myös ne
  • aktivointi — suojausten aktivointimenetelmä; joko IPS-käytäntö tai manuaalinen
  • Gateways-profiilia valvovien porttien määrä

Profiilin kaksoisnapsauttaminen avaa profiilin ominaisuudet-ikkunan.

viestit ja toimintokohteet

viestit ja toimintokohteet antavat nopean pääsyn:

  • suojauksen päivitystiedot
  • suojaukset, jotka on merkitty seurantaa varten
  • IPS: n sopimustilanne
  • linkit tapahtumiin ja Raportteihin

Turvatilanne

Turvatilanne antaa ajantasaisen näytön niiden havaitse-ja Ehkäisytapahtumien määrästä, joita IPS käsitteli valitulla ajanjaksolla, rajattuna vakavuuden mukaan. Voit rakentaa kaavion uusimmilla tilastoilla napsauttamalla Päivitä.

Note – Security Status graphs compiled data from gateways of version R70 tai enemmän.

keskiarvo kertoo käsiteltyjen hyökkäysten määrän, joka on keskimäärin valitulta ajanjaksolta omassa yrityksessä.

esimerkiksi, jos haluaa nähdä hyökkäysten tilan viimeisen 24 tunnin aikana ja kriittisten hyökkäysten keskiarvo on 45. Tämä osoittaa, että teidän organisaatiossanne hyökkäyksiä on 24 tunnin aikana keskimäärin 45.

  • Jos nykyinen hyökkäysten määrä on paljon keskimääräistä suurempi, se voi kertoa tietoturvaongelmasta, joka kannattaa hoitaa heti. Esimerkiksi jos IPS on käsitellyt yli 500 kriittistä hyökkäystä viimeisen 24 tunnin aikana ja keskiarvo on 45, voit nähdä nopeasti, että organisaatioosi on kohdistettu kriittisiä hyökkäyksiä jatkuvalla tavalla ja sinun pitäisi käsitellä tämä kiireellisesti.
  • Jos nykyinen hyökkäysten määrä on paljon keskimääräistä pienempi, se voi ilmoittaa IPS: n käytössä olevasta ongelmasta, jonka vianmääritys kannattaa tehdä. Esimerkiksi, jos IPS on käsitellyt alle 10 kriittistä hyökkäystä viimeisten 24 tunnin aikana, keskiarvolla 45, voit nähdä, että IPS-määrityksessä on mahdollinen ongelma; ehkä yhdyskäytävä asennettiin käytännöllä, joka ei sisältänyt IPS-profiilia.

Tietoturvakeskus

Tietoturvakeskus on vierittävä lista saatavilla olevista suojauksista uusia haavoittuvuuksia vastaan. Tietoturvakeskuksen kohteen vieressä oleva avoin linkki vie sinut siihen liittyvään Check Point Advisory-palveluun.

Vastaa

Sähköpostiosoitettasi ei julkaista.