Check Point IPS-ratkaisu

Check Point IPS on Intrusion Prevention System (IPS). Siinä missä Security Gateway-palomuurin avulla voit estää liikenteen lähde -, kohde-ja porttitietojen perusteella, IPS lisää toisen puolustuslinjan analysoimalla liikenteen sisältöä tarkistaaksesi, onko se riski verkollesi. IPS suojaa sekä asiakkaita että palvelimia ja antaa sinun hallita tiettyjen sovellusten verkon käyttöä. Uusi, Hybridi IPS detection engine tarjoaa useita puolustuskerroksia, mikä mahdollistaa erinomaiset havaitseminen ja ehkäisy valmiudet tunnettujen uhkien, ja monissa tapauksissa tulevia hyökkäyksiä samoin. Se mahdollistaa myös ennennäkemättömän käyttöönoton ja kokoonpanon joustavuuden ja erinomaisen suorituskyvyn.

Check Point IPS on saatavilla kahdella käyttöönottomenetelmällä:

IPS Software Blade – integroitu Check Point Security Gateway-portaaliin, joka tarjoaa toisen suojakerroksen Check Point firewall-tekniikan lisäksi.
IPS-1 – anturi-asennettu ilman Check Point-palomuuria ja omistettu suojaamaan verkon osia tunkeutumiselta.

suojauskerrokset

IPS-Moottorin kerroksia ovat:

tiettyjen tunnettujen hyväksikäyttöjen havaitseminen ja ehkäisy.
haavoittuvuuksien havaitseminen ja ehkäisy, mukaan lukien sekä tunnetut että tuntemattomat hyödyntämistyökalut, esimerkiksi suojaus tietyiltä CVEs: ltä.
protokollan väärinkäytön havaitseminen ja ehkäisy, joka monissa tapauksissa viittaa haitalliseen toimintaan tai mahdolliseen uhkaan. Esimerkkejä yleisesti manipuloiduista protokollista ovat HTTP, SMTP, POP ja IMAP.
lähtevän haittaohjelmaviestinnän havaitseminen ja estäminen.
tunnelointiyritysten havaitseminen ja estäminen. Nämä yritykset voivat viitata tietovuotoon tai yrittää kiertää muita turvatoimia, kuten web-suodatusta.
tiettyjen sovellusten havaitseminen, estäminen tai rajoittaminen, jotka monissa tapauksissa kuluttavat kaistanleveyttä tai voivat aiheuttaa tietoturvauhkia verkolle, kuten vertaisverkkosovellukset ja Pikaviestinsovellukset.
yleishyökkäystyyppien havaitseminen ja estäminen ilman ennalta määriteltyjä allekirjoituksia, kuten Malicious Code Protector.

kaiken kaikkiaan IPS: llä on syvä kattavuus kymmeniä protokollia tuhansine suojauksineen. Check Point päivittää jatkuvasti suojauskirjastoa pysyäkseen uhkien edellä.

IPS: n ominaisuudet

Check Point IPS-Moottorin ainutlaatuiset ominaisuudet ovat:

selkeä, yksinkertainen hallintaliittymä
pienensi yleiskustannusten hallintaa käyttämällä yhtä hallintakonsolia kaikissa Check Point-tuotteissa
sekä IPS-1-antureiden että integroidun IPS-Ohjelmistoterän yhtenäistä hallintaa
helppo navigointi yritystason yleiskatsauksesta pakettikaappaukseen yksittäistä hyökkäystä varten
jopa 15 Gbps: n läpimeno optimoidulla tietoturvalla ja jopa 2.5 Gbps: n läpimeno kaikkien IPS-suojausten ollessa käytössä
#1 suojauksen kattavuus Microsoftin ja Adoben haavoittuvuuksille
resurssien Kuristaminen siten, että korkea IPS-aktiivisuus ei vaikuta muihin blade-toimintoihin
täydellinen integrointi Check Point-konfigurointiin ja seurantatyökaluihin, kuten SmartEvent, SmartView Tracker ja SmartDashboard, jotta voit ryhtyä välittömiin toimiin IPS-tietojen perusteella

esimerkkinä, käyttäjä voi tietämättään ladata joitain haittaohjelmia selatessaan lailliselle verkkosivustolle, myös tunnetaan nimellä drive-by-download. Haittaohjelma saattaa hyödyntää selaimen haavoittuvuutta luomalla erityisen HTTP-vastauksen ja lähettämällä sen asiakkaalle. IPS voi tunnistaa ja estää tämäntyyppisen hyökkäyksen, vaikka palomuuri voidaan määrittää niin, että HTTP-liikenne kulkee.

IPS-kiertue

IPS-puu in tarjoaa helpon pääsyn IPS-ominaisuuksiin, erityisiin suojauksiin ja asiantuntijakokoonpanoihin. Puu jaetaan seuraaviin osiin:

Overview	Dashboard for viewing IPS status, activity and updates
Enforcing Gateways	List of gateways enforcing IPS protections
Profiles	Settings for IPS profiles
Protections	Settings for individual protections
Geo Protection	Protection enforcement by source or destination country
Network Exceptions	Resources that are not subject to IPS inspection
Download Updates	Manual or Automatic updates to IPS protections
Follow Up	Protections marked for follow up toiminta
Lisäasetukset	HTTP ja HTTPS tarkastus

IPS terminologia

tässä oppaassa käytetään seuraavia termejä:

yhdyskäytävien valvominen

IPS Software Blade: ohjelmistoterä, joka voidaan asentaa suojauskäytävään IPS Software Blade-suojausten valvomiseksi.
IPS-1-anturi: laite, johon on asennettu vain IPS-1-anturiohjelmisto IPS-1-anturien suojausten valvomiseksi. Sensorilla ei ole reititysominaisuuksia.

suojaukset

suojaus: konfiguroitavissa oleva sääntöjoukko, jota IPS käyttää analysoidakseen verkkoliikennettä ja suojautuakseen uhkilta

Aktivointiasetukset

Aktiivinen: suojaustoiminto, joka aktivoi suojauksen joko havaitsemaan tai estämään liikenteen
tunnista: suojaustoiminto, joka mahdollistaa tunnistetun liikenteen kulkemisen yhdyskäytävän läpi, mutta kirjaa liikenteen tai seuraa sitä käyttäjän määrittämien asetusten mukaan
passiivinen: suojaustoiminto, joka deaktivoi suojauksen
Prevent: suojaustoiminto, joka estää tunnistetun liikenteen ja kirjaa liikenteen tai seuraa sitä käyttäjän määrittämien asetusten mukaan

suojaustyypit

Sovelluskontrollit: suojausten ryhmä, joka estää tiettyjen loppukäyttäjän sovellusten käytön
Moottoriasetukset: suojausten ryhmä, joka sisältää asetuksia, jotka muuttavat muiden suojausten käyttäytymistä
Protokollapoikkeamat: suojausryhmä, joka tunnistaa liikenteen, joka ei ole protokollastandardien mukainen
allekirjoitukset: suojausryhmä, joka tunnistaa liikenteen, joka yrittää hyödyntää tiettyä haavoittuvuutta

Suojausparametrit

luottamustaso: kuinka varma IPS on siitä, että tunnistetut hyökkäykset ovat todellisuudessa ei-toivottua liikennettä
suorituskykyvaikutus: kuinka paljon suojaus vaikuttaa yhdyskäytävän suorituskykyyn
Suojaustyyppi: sovelletaanko suojausta palvelimeen liittyvään liikenteeseen vai asiakasliikenteeseen
vakavuus: todennäköisyyttä, että hyökkäys voi aiheuttaa vahinkoa ympäristöllesi; esimerkiksi hyökkäystä, jonka avulla hyökkääjä voi suorittaa koodia isännällä, pidetään kriittisenä

seurantaan tarkoitetut toiminnot

seuranta: menetelmä, jolla tunnistetaan suojaukset, jotka vaativat lisäkokoonpanoa tai huomiota
Verkkopoikkeus: sääntö, jota voidaan käyttää sulkemaan liikenne IPS-tarkastuksen ulkopuolelle suojausten, lähteen, määränpään, palvelun ja yhdyskäytävän perusteella.

profiilit

IPS-tila: oletustoiminto, joko tunnista tai estä, jonka aktivoitu suojaus suorittaa tunnistaessaan uhan
IPS-käytäntö: joukko sääntöjä, jotka määrittävät, mitkä suojaukset on aktivoitu Profiilin
profiili: joukko SUOJAUSKONFIGURAATIOITA, jotka perustuvat IPS-tilaan ja IPS-käytäntöön, joita voidaan käyttää yhdyskäytävien valvomiseen
vianmääritys: asetukset, joita voidaan käyttää väliaikaisesti IPS-suojausten käyttäytymisen muuttamiseen, esimerkiksi tunnista-vain vianmääritykseen

SmartDashboard Toolbar

voit tehdä nämä toiminnot smartdashboard-työkalupalkin avulla:

Icon	kuvaus
	avaa smartdashboard-valikko. Kun valikkoasetuksia kehotetaan valitsemaan, napsauta tätä painiketta näyttääksesi valikon. esimerkiksi, jos sinua on ohjeistettu valitsemaan Hallitse > käyttäjät ja järjestelmänvalvojat, avaa Hallitse-valikko napsauttamalla tätä painiketta ja valitse Käyttäjät ja järjestelmänvalvojat-vaihtoehto.
	Save current policy and all system objects.
	Open a policy package, which is a collection of Policies saved together with the same name.
	Refresh policy from the Security Management Server.
	Open the Database Revision Control window.
	Change global properties.
	Verify Rule Base consistency.
	Install the policy on Security Gateways or VSX Gateways.
	Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

asetettujen profiilien taulukko näyttää seuraavat tiedot:

profiili — profiilin nimi
IPS — tila — onko profiili asetettu vain havaitsemaan hyökkäykset vai estämään myös ne
aktivointi — suojausten aktivointimenetelmä; joko IPS-käytäntö tai manuaalinen
Gateways-profiilia valvovien porttien määrä

Profiilin kaksoisnapsauttaminen avaa profiilin ominaisuudet-ikkunan.

viestit ja toimintokohteet

viestit ja toimintokohteet antavat nopean pääsyn:

suojauksen päivitystiedot
suojaukset, jotka on merkitty seurantaa varten
IPS: n sopimustilanne
linkit tapahtumiin ja Raportteihin

Turvatilanne

Turvatilanne antaa ajantasaisen näytön niiden havaitse-ja Ehkäisytapahtumien määrästä, joita IPS käsitteli valitulla ajanjaksolla, rajattuna vakavuuden mukaan. Voit rakentaa kaavion uusimmilla tilastoilla napsauttamalla Päivitä.

Note – Security Status graphs compiled data from gateways of version R70 tai enemmän.

keskiarvo kertoo käsiteltyjen hyökkäysten määrän, joka on keskimäärin valitulta ajanjaksolta omassa yrityksessä.

esimerkiksi, jos haluaa nähdä hyökkäysten tilan viimeisen 24 tunnin aikana ja kriittisten hyökkäysten keskiarvo on 45. Tämä osoittaa, että teidän organisaatiossanne hyökkäyksiä on 24 tunnin aikana keskimäärin 45.

Jos nykyinen hyökkäysten määrä on paljon keskimääräistä suurempi, se voi kertoa tietoturvaongelmasta, joka kannattaa hoitaa heti. Esimerkiksi jos IPS on käsitellyt yli 500 kriittistä hyökkäystä viimeisen 24 tunnin aikana ja keskiarvo on 45, voit nähdä nopeasti, että organisaatioosi on kohdistettu kriittisiä hyökkäyksiä jatkuvalla tavalla ja sinun pitäisi käsitellä tämä kiireellisesti.
Jos nykyinen hyökkäysten määrä on paljon keskimääräistä pienempi, se voi ilmoittaa IPS: n käytössä olevasta ongelmasta, jonka vianmääritys kannattaa tehdä. Esimerkiksi, jos IPS on käsitellyt alle 10 kriittistä hyökkäystä viimeisten 24 tunnin aikana, keskiarvolla 45, voit nähdä, että IPS-määrityksessä on mahdollinen ongelma; ehkä yhdyskäytävä asennettiin käytännöllä, joka ei sisältänyt IPS-profiilia.

Tietoturvakeskus

Tietoturvakeskus on vierittävä lista saatavilla olevista suojauksista uusia haavoittuvuuksia vastaan. Tietoturvakeskuksen kohteen vieressä oleva avoin linkki vie sinut siihen liittyvään Check Point Advisory-palveluun.

KGSAU