A check Point IPS megoldás

admin

A Check Point IPS egy Behatolásmegelőző rendszer (IPS). Míg a Security Gateway tűzfal lehetővé teszi a forgalom blokkolását a forrás, a rendeltetési hely és a kikötői információk alapján, az IPS egy másik védelmi vonalat ad hozzá a forgalom tartalmának elemzésével, hogy ellenőrizze, hogy ez kockázatot jelent-e a hálózatra. Az IPS védi mind az ügyfeleket, mind a kiszolgálókat, és lehetővé teszi bizonyos alkalmazások hálózati használatának ellenőrzését. Az új, hibrid IPS detection engine több védelmi réteget biztosít, amely lehetővé teszi az ismert fenyegetések és sok esetben a jövőbeni támadások kiváló észlelését és megelőzését. Páratlan telepítési és konfigurációs rugalmasságot és kiváló teljesítményt tesz lehetővé.

a Check Point IPS két telepítési módszerrel érhető el:

  • IPS Software Blade – integrálva a Check Point Security Gateway-vel, hogy a Check Point firewall technológián kívül egy másik biztonsági réteget biztosítson.
  • IPS-1 érzékelő – a Check Point tűzfal nélkül telepítve, és a hálózati szegmensek behatolás elleni védelmére szolgál.

védelmi rétegek

az IPS motor rétegei a következők:

  • specifikus ismert kihasználások észlelése és megelőzése.
  • sebezhetőségek észlelése és megelőzése, beleértve mind az ismert, mind az ismeretlen kihasználó eszközöket, például a specifikus CVE-k elleni védelmet.
  • a protokollokkal való visszaélés észlelése és megelőzése, amely sok esetben rosszindulatú tevékenységre vagy potenciális fenyegetésre utal. Gyakran manipulált protokollok például a HTTP, az SMTP, a POP és az IMAP.
  • felderítése és megelőzése kimenő malware kommunikáció.
  • alagútkísérletek észlelése és megelőzése. Ezek a kísérletek adatszivárgást vagy más biztonsági intézkedések, például a webszűrés megkerülésére tett kísérleteket jelezhetnek.
  • bizonyos alkalmazások észlelése, megelőzése vagy korlátozása, amelyek sok esetben sávszélességet igényelnek, vagy biztonsági fenyegetéseket okozhatnak a hálózaton, mint például a Peer to Peer és az azonnali üzenetküldő alkalmazások.
  • általános támadási típusok észlelése és megelőzése előre meghatározott aláírások nélkül,mint például a rosszindulatú Kódvédő.

összességében az IPS több tucat protokollt fed le, több ezer védelemmel. A Check Point folyamatosan frissíti a védelmi könyvtárat, hogy megelőzze a fenyegetéseket.

Az IPS képességei

a Check Point IPS motor egyedi képességei a következők:

  • tiszta, egyszerű kezelőfelület
  • csökkentett kezelési költség egy felügyeleti konzol használatával az összes Check Point termékhez
  • mind az IPS-1 érzékelők, mind az integrált IPS Software Blade egységes vezérlése
  • egyszerű navigáció az üzleti szintű áttekintéstől a csomagrögzítésig egyetlen támadáshoz
  • akár 15 Gbps átviteli sebesség optimalizált biztonsággal, akár 2-ig.5 Gbps átviteli sebesség az összes IPS védelem aktiválva
  • #1 biztonsági lefedettség a Microsoft és az Adobe biztonsági réseihez
  • erőforrás-szabályozás, hogy a magas IP-aktivitás ne befolyásolja a blade egyéb funkcióit
  • teljes integráció a Check Point konfigurációs és felügyeleti eszközökkel, mint például a SmartEvent, a SmartView Tracker és a SmartDashboard, hogy azonnali lépéseket tegyen az IPS információk alapján

példaként említhetjük, hogy néhány rosszindulatú programot a felhasználó tudatlanul letölthet egy törvényes webhelyre történő böngészés során, továbbá ismert, mint egy drive-by-download. A malware kihasználhatja a böngésző biztonsági rését egy speciális HTTP válasz létrehozásával és elküldésével az ügyfélnek. Az IPS képes azonosítani és blokkolni az ilyen típusú támadásokat, még akkor is, ha a tűzfal úgy van konfigurálva, hogy lehetővé tegye a HTTP forgalom áthaladását.

Tour of IPS

az IPS tree in könnyű hozzáférést biztosít az IPS funkciókhoz, speciális védelemhez és szakértői konfigurációkhoz. A fa a következő szakaszokra oszlik:

Overview

Dashboard for viewing IPS status, activity and updates

Enforcing Gateways

List of gateways enforcing IPS protections

Profiles

Settings for IPS profiles

Protections

Settings for individual protections

Geo Protection

Protection enforcement by source or destination country

Network Exceptions

Resources that are not subject to IPS inspection

Download Updates

Manual or Automatic updates to IPS protections

Follow Up

Protections marked for follow up action

További beállítások

HTTP és HTTPS ellenőrzés

IPS terminológia

ebben az útmutatóban a következő kifejezéseket használjuk:

átjárók érvényesítése

  • IPS software Blade: a biztonsági átjáróra telepíthető Szoftverpenge az IPS software Blade védelem érvényesítéséhez.
  • IPS-1 érzékelő: olyan eszköz, amelyre csak az IPS-1 érzékelő szoftver van telepítve az IPS-1 érzékelő védelmének érvényesítéséhez. Az érzékelőnek nincs útválasztási képessége.

védelem

  • védelem: konfigurálható szabálykészlet, amelyet az IPS a hálózati forgalom elemzésére és a fenyegetések elleni védelemre használ

aktiválási Beállítások

  • aktív: az a védelmi művelet, amely aktiválja a védelmet a forgalom észlelése vagy megakadályozása érdekében
  • Detect: az a védelmi művelet, amely lehetővé teszi az azonosított forgalom áthaladását az átjárón, de naplózza a forgalmat, vagy nyomon követi azt a felhasználó által konfigurált beállítások szerint
  • inaktív: a védelmet deaktiváló védelmi művelet
  • Prevent: az a védelmi művelet, amely blokkolja az azonosított forgalmat, és naplózza a forgalmat, vagy nyomon követi azt a felhasználó által konfigurált beállítások szerint

A védelem típusai

  • Alkalmazásvezérlők: a védelem azon csoportja, amely megakadályozza az adott végfelhasználói alkalmazások használatát
  • Motorbeállítások: a védelem azon csoportja, amely olyan beállításokat tartalmaz, amelyek megváltoztatják a többi védelem viselkedését
  • protokoll anomáliák: a protokollszabványoknak nem megfelelő forgalmat azonosító védelem csoportja
  • aláírások: a védelem azon csoportja, amely egy adott biztonsági rést kihasználó forgalmat azonosít

védelmi paraméterek

  • megbízhatósági szint: mennyire biztos az IPS abban, hogy a felismert támadások valójában nemkívánatos forgalom
  • Teljesítményhatás: mennyire befolyásolja a védelem az átjáró teljesítményét
  • védelem típus: a védelem a kiszolgálóval vagy az ügyféllel kapcsolatos forgalomra vonatkozik
  • súlyosság: annak a valószínűsége, hogy egy támadás károsíthatja a környezetet; például egy olyan támadás, amely lehetővé teszi a támadó számára, hogy kódot hajtson végre a gazdagépen, kritikusnak tekinthető

funkciók figyeléséhez

  • nyomon követés: a további konfigurációt vagy figyelmet igénylő védelem azonosítására szolgáló módszer
  • hálózati kivétel: olyan szabály, amely felhasználható a forgalom kizárására az IPS-ellenőrzésből a védelem, a forrás, a cél, a szolgáltatás és az átjáró alapján.

profilok

  • IPS mód:
  • IPS Policy: olyan szabálykészlet, amely meghatározza, hogy mely védelem van aktiválva egy profilhoz
  • profil: IPS módon és IPS házirenden alapuló védelmi konfigurációk halmaza, amelyek alkalmazhatók az átjárók érvényesítésére
  • hibaelhárítás: olyan beállítások, amelyek ideiglenesen módosíthatják az IPS-védelem viselkedését, például Detect-Only hibaelhárításhoz

SmartDashboard Toolbar

a smartdashboard eszköztár segítségével elvégezheti ezeket a műveleteket:

ikon

leírás

nyissa meg a smartdashboard menüt. Amikor utasítást kapott a menüopciók kiválasztására, kattintson erre a gombra a menü megjelenítéséhez.

ha például azt az utasítást kapja, hogy válassza a Manage > felhasználók és rendszergazdák lehetőséget, kattintson erre a gombra a Manage menü megnyitásához, majd válassza a Users and Administrators lehetőséget.

Save current policy and all system objects.

Open a policy package, which is a collection of Policies saved together with the same name.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

a konfigurált profilok táblázata a következő információkat jeleníti meg:

  • profil — a profil neve
  • IPS mód — hogy a profil csak a támadások észlelésére vagy megelőzésére van — e beállítva
  • aktiválás — a védelem aktiválásának módja; IPS házirend vagy kézi
  • átjárók-a profilt végrehajtó átjárók száma

ha duplán kattint egy profilra, megnyílik a profil tulajdonságai ablak.

üzenetek és műveleti elemek

üzenetek és műveleti elemek gyors hozzáférést biztosít:

  • Protection update information
  • Protections marked for Follow Up
  • IPS contract status
  • Links to events and reports

Security Status

Security Status az IP-k által egy kiválasztott időszakban kezelt események észlelésének és megelőzésének számát mutatja, súlyosság szerint körülhatárolva. A Frissítés gombra kattintva újraépítheti a diagramot a legfrissebb statisztikákkal.

Megjegyzés és felette.

az átlag a kezelt támadások számát mutatja, amely Átlagos a vállalat kiválasztott időszakában.

például, ha úgy dönt, hogy megtekinti a támadások állapotát az elmúlt 24 órában, és a kritikus támadások átlaga 45. Ez azt jelzi, hogy a szervezetében a támadások átlagos száma egy 24 órás időszak alatt 45.

  • Ha a támadások jelenlegi száma sokkal magasabb az átlagnál, akkor ez olyan biztonsági problémát jelezhet, amelyet azonnal kezelnie kell. Például, ha az IP-k több mint 500 kritikus támadást kezeltek az elmúlt 24 órában, és az átlag 45, akkor gyorsan láthatja, hogy a szervezetét folyamatosan kritikus támadásokkal célozták meg, és ezt sürgősen kezelnie kell.
  • ha a támadások jelenlegi száma jóval alacsonyabb az átlagnál, akkor az IPS használatával kapcsolatos problémát jelezhet, amelyet hibaelhárítással kell megoldania. Például, ha kevesebb, mint 10 kritikus támadást kezeltek az IP-k az elmúlt 24 órában, átlagosan 45-tel, akkor láthatja, hogy lehetséges probléma van az IPS konfigurációjával; talán egy átjárót telepítettek olyan házirenddel, amely nem tartalmazott IPS-profilt.

Biztonsági Központ

a Biztonsági Központ az új biztonsági rések elleni elérhető védelem görgethető listája. A Biztonsági Központ elem melletti Megnyitás hivatkozás a hozzá tartozó ellenőrzőpont-tanácsadóhoz vezet.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.