La solution Check Point IPS

admin

Check Point IPS est un Système de Prévention des intrusions (IPS). Alors que le pare-feu Security Gateway vous permet de bloquer le trafic en fonction des informations de source, de destination et de port, IPS ajoute une autre ligne de défense en analysant le contenu du trafic pour vérifier s’il représente un risque pour votre réseau. IPS protège à la fois les clients et les serveurs et vous permet de contrôler l’utilisation du réseau de certaines applications. Le nouveau moteur de détection IPS hybride fournit plusieurs couches de défense, ce qui lui permet d’excellentes capacités de détection et de prévention des menaces connues et, dans de nombreux cas, des attaques futures. Il permet également une flexibilité de déploiement et de configuration inégalée et d’excellentes performances.

Check Point IPS est disponible en deux méthodes de déploiement :

  • Lame logicielle IPS intégrée à la passerelle de sécurité Check Point pour fournir une autre couche de sécurité en plus de la technologie de pare-feu Check Point.
  • Capteur IPS-1 – installé sans pare-feu Check Point et dédié à la protection des segments de réseau contre les intrusions.

Couches de protection

Les couches du moteur IPS comprennent :

  • Détection et prévention d’exploits connus spécifiques.
  • Détection et prévention des vulnérabilités, y compris les outils d’exploitation connus et inconnus, par exemple la protection contre des CVE spécifiques.
  • Détection et prévention de l’utilisation abusive du protocole qui, dans de nombreux cas, indique une activité malveillante ou une menace potentielle. Des exemples de protocoles couramment manipulés sont HTTP, SMTP, POP et IMAP.
  • Détection et prévention des communications de malwares sortants.
  • Détection et prévention des tentatives de tunneling. Ces tentatives peuvent indiquer une fuite de données ou des tentatives de contourner d’autres mesures de sécurité telles que le filtrage Web.
  • Détection, prévention ou restriction de certaines applications qui, dans de nombreux cas, consomment de la bande passante ou peuvent menacer la sécurité du réseau, telles que les applications Peer to Peer et de messagerie instantanée.
  • Détection et prévention de types d’attaques génériques sans signatures prédéfinies, telles que Malicious Code Protector.

En tout, IPS a une couverture approfondie de dizaines de protocoles avec des milliers de protections. Check Point met constamment à jour la bibliothèque de protections pour rester en tête des menaces.

Capacités de l’IPS

Les capacités uniques du moteur IPS Check Point incluent:

  • Interface de gestion claire et simple
  • Réduction des frais de gestion en utilisant une console de gestion pour tous les produits Check Point
  • Contrôle unifié des capteurs IPS-1 et de la lame logicielle IPS intégrée
  • Navigation facile de la vue d’ensemble au niveau de l’entreprise à la capture de paquets pour une seule attaque
  • Débit jusqu’à 15 Gbit/s avec une sécurité optimisée, et jusqu’à 2.Débit de 5 Gbps avec toutes les protections IPS activées
  • #1 Couverture de sécurité pour les vulnérabilités Microsoft et Adobe
  • Limitation des ressources afin que l’activité IPS élevée n’affecte pas les autres fonctionnalités de la lame
  • Intégration complète avec les outils de configuration et de surveillance des points de contrôle, tels que SmartEvent, SmartView Tracker et SmartDashboard, pour vous permettre de prendre des mesures immédiates en fonction des informations IPS

À titre d’exemple, certains logiciels malveillants peuvent être téléchargés par un utilisateur sans le savoir lors de la navigation sur un site Web légitime, également connu sous le nom de un téléchargement en voiture. Le logiciel malveillant peut exploiter une vulnérabilité de navigateur en créant une réponse HTTP spéciale et en l’envoyant au client. Les adresses IP peuvent identifier et bloquer ce type d’attaque même si le pare-feu peut être configuré pour permettre au trafic HTTP de passer.

Visite d’IPS

L’arborescence IPS permet d’accéder facilement aux fonctionnalités IPS, aux protections spécifiques et aux configurations expertes. L’arbre est divisé en sections suivantes:

Overview

Dashboard for viewing IPS status, activity and updates

Enforcing Gateways

List of gateways enforcing IPS protections

Profiles

Settings for IPS profiles

Protections

Settings for individual protections

Geo Protection

Protection enforcement by source or destination country

Network Exceptions

Resources that are not subject to IPS inspection

Download Updates

Manual or Automatic updates to IPS protections

Follow Up

Protections marked for follow up l’action

Paramètres supplémentaires

Inspection HTTP et HTTPS

Terminologie IPS

Les termes suivants sont utilisés dans ce guide :

Application des passerelles

  • Lame logicielle IPS : Lame logicielle pouvant être installée sur une passerelle de sécurité pour appliquer les protections de lame logicielle IPS.
  • Capteur IPS-1: un appareil sur lequel seul le logiciel de capteur IPS-1 est installé pour appliquer les protections des capteurs IPS-1. Un capteur n’a aucune capacité de routage.

Protections

  • Protection : un ensemble configurable de règles qu’IPS utilise pour analyser le trafic réseau et se protéger contre les menaces

Paramètres d’activation

  • Active : l’action de protection qui active une protection pour Détecter ou empêcher le trafic
  • Detect : l’action de protection qui permet au trafic identifié de passer par la passerelle mais enregistre le trafic ou le suit selon les paramètres configurés par l’utilisateur
  • Inactive: l’action de protection qui désactive une protection
  • Prevent : l’action de protection qui bloque le trafic identifié et enregistre le trafic ou le suit selon les paramètres configurés par l’utilisateur

Types de protections

  • Contrôles d’application : le groupe de protections qui empêche l’utilisation d’applications utilisateur final spécifiques
  • Paramètres du moteur : le groupe de protections qui contiennent des paramètres qui modifient le comportement d’autres protections
  • Anomalies de protocole: le groupe de protections qui identifie le trafic qui n’est pas conforme aux normes de protocole
  • Signatures : le groupe de protections qui identifie le trafic qui tente d’exploiter une vulnérabilité spécifique

Paramètres de protection

  • Niveau de confiance : Dans quelle mesure les adresses IP sont sûres que les attaques reconnues sont en fait du trafic indésirable
  • Impact sur les performances : dans quelle mesure une protection affecte les performances de la passerelle
  • Type de protections : si une protection s’applique au trafic lié au serveur ou au trafic lié au client
  • Sévérité: la probabilité qu’une attaque puisse endommager votre environnement ; par exemple, une attaque qui pourrait permettre à l’attaquant d’exécuter du code sur l’hôte est considérée comme critique

Fonctions de surveillance

  • Suivi : une méthode d’identification des protections qui nécessitent une configuration ou une attention supplémentaires
  • Exception réseau : une règle qui peut être utilisée pour exclure le trafic de l’inspection IPS en fonction des protections, de la source, de la destination, du service et de la passerelle.

Profils

  • Mode IPS: l’action par défaut, Détecter ou prévenir, qu’une protection activée prend lorsqu’elle identifie une menace
  • Stratégie IPS : un ensemble de règles qui détermine les protections activées pour un profil
  • Profil : un ensemble de configurations de protection, basées sur le mode IPS et la stratégie IPS, qui peuvent être appliquées à l’application des passerelles
  • Dépannage : options pouvant être utilisées pour modifier temporairement le comportement des protections IPS, par exemple, Détecter – Uniquement pour le dépannage

Barre d’outils SmartDashboard

Vous pouvez utiliser la barre d’outils SmartDashboard pour effectuer ces actions:

Icône

Description

Ouvrez le menu SmartDashboard. Lorsque vous êtes invité à sélectionner les options du menu, cliquez sur ce bouton pour afficher le menu.

Par exemple, si vous êtes invité à sélectionner Gérer >Utilisateurs et Administrateurs, cliquez sur ce bouton pour ouvrir le menu Gérer, puis sélectionnez l’option Utilisateurs et administrateurs.

Save current policy and all system objects.

Open a policy package, which is a collection of Policies saved together with the same name.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

Le tableau des profils configurés affiche les informations suivantes :

  • Profil – le nom du profil
  • Mode IPS – si le profil est configuré pour détecter simplement les attaques ou pour les empêcher également
  • Activation – la méthode d’activation des protections ; soit la stratégie IPS, soit le manuel
  • Passerelles — le nombre de passerelles appliquant le profil

Un double-clic sur un profil ouvre la fenêtre des propriétés du profil.

Messages et Éléments d’Action

Messages et Éléments d’action donne un accès rapide à:

  • Informations de mise à jour de la protection
  • Protections marquées pour le suivi
  • État du contrat IPS
  • Liens vers des événements et des rapports

État de la sécurité

L’état de la sécurité affiche à la minute près le nombre d’événements de détection et de prévention traités par IPS sur une période de temps sélectionnée, délimités par gravité. Vous pouvez reconstruire le graphique avec les dernières statistiques en cliquant sur Actualiser.

Note – Les graphiques d’état de sécurité compilent les données des passerelles de la version R70 et supérieure .

La moyenne indique le nombre moyen d’attaques traitées pour la période sélectionnée dans votre entreprise.

Par exemple, si vous choisissez de voir l’état des attaques au cours des dernières 24 heures et que la moyenne des attaques critiques est de 45. Cela indique que dans votre organisation, le nombre moyen d’attaques sur une période de 24 heures est de 45.

  • Si le nombre actuel d’attaques est beaucoup plus élevé que la moyenne, cela peut indiquer un problème de sécurité que vous devez gérer immédiatement. Par exemple, si plus de 500 attaques critiques ont été traitées par des IPS au cours des dernières 24 heures, et que la moyenne est de 45, vous pouvez rapidement constater que votre organisation a été la cible d’attaques critiques de manière persistante et que vous devez gérer cela de toute urgence.
  • Si le nombre actuel d’attaques est bien inférieur à la moyenne, cela peut indiquer un problème d’utilisation des adresses IP que vous devez résoudre. Par exemple, si moins de 10 attaques critiques ont été traitées par IPS au cours des dernières 24 heures, avec une moyenne de 45, vous pouvez constater qu’il existe un problème possible avec la configuration IPS ; peut-être qu’une passerelle a été installée avec une stratégie qui n’incluait pas de profil IPS.

Centre de sécurité

Le Centre de sécurité est une liste déroulante de protections disponibles contre les nouvelles vulnérabilités. Le lien Ouvrir à côté d’un élément du Centre de sécurité vous amène à l’avis de point de contrôle associé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.