La soluzione Check Point IPS

admin

Check Point IPS è un sistema di prevenzione delle intrusioni (IPS). Mentre il firewall Security Gateway consente di bloccare il traffico in base alle informazioni di origine, destinazione e porta, IPS aggiunge un’altra linea di difesa analizzando il contenuto del traffico per verificare se è un rischio per la rete. IPS protegge sia i client che i server e consente di controllare l’utilizzo della rete di determinate applicazioni. Il nuovo motore di rilevamento IPS ibrido offre più livelli di difesa che consente eccellenti capacità di rilevamento e prevenzione delle minacce note e, in molti casi, anche degli attacchi futuri. Consente inoltre una flessibilità di implementazione e configurazione senza precedenti e prestazioni eccellenti.

Check Point IPS è disponibile in due metodi di distribuzione:

  • IPS Software Blade – integrato con il Check Point Security Gateway per fornire un altro livello di sicurezza in aggiunta alla tecnologia firewall Check Point.
  • Sensore IPS-1-installato senza il Firewall Check Point e dedicato alla protezione dei segmenti di rete dalle intrusioni.

Livelli di protezione

I livelli del motore IPS includono:

  • Rilevamento e prevenzione di specifici exploit noti.
  • Rilevamento e prevenzione delle vulnerabilità, inclusi strumenti di exploit noti e sconosciuti, ad esempio protezione da CVE specifici.
  • Rilevamento e prevenzione dell’uso improprio del protocollo che in molti casi indica attività dannose o potenziali minacce. Esempi di protocolli comunemente manipolati sono HTTP, SMTP, POP e IMAP.
  • Rilevamento e prevenzione delle comunicazioni malware in uscita.
  • Rilevamento e prevenzione dei tentativi di tunneling. Questi tentativi possono indicare perdite di dati o tentativi di eludere altre misure di sicurezza come il filtraggio web.
  • Rilevamento, prevenzione o restrizione di alcune applicazioni che, in molti casi, consumano larghezza di banda o possono causare minacce alla sicurezza della rete, come le applicazioni Peer to Peer e di messaggistica istantanea.
  • Rilevamento e prevenzione di tipi di attacco generici senza firme predefinite, come Malicious Code Protector.

In tutto, IPS ha una copertura profonda di decine di protocolli con migliaia di protezioni. Check Point aggiorna costantemente la libreria di protezioni per stare al passo con le minacce.

Funzionalità di IPS

Le funzionalità uniche del motore IPS Check Point includono:

  • Chiaro, semplice interfaccia di gestione
  • Riduzione dei costi di gestione utilizzando una console di gestione per tutti i prodotti Check Point
  • controllo Unificato di entrambi IPS-1 Sensori e il sistema integrato di IPS Software Blade
  • Facile navigazione business a livello panoramica di una acquisizione di pacchetti per un singolo attacco
  • Fino a 15 Gbps di throughput con sicurezza ottimizzata, e fino a 2.5 Gbps di throughput con tutti gli ip protezioni attivato
  • #1 copertura della protezione per Microsoft e vulnerabilità di Adobe
  • limitazione Risorse in modo che ad alta IPS attività non avrà un impatto di altri lama funzionalità
  • integrazione Completa con Controllo di configurazione del Punto di strumenti di monitoraggio e, come SmartEvent, SmartView Tracker e SmartDashboard, per poter prendere un’azione immediata, basata su IPS informazione;

ad esempio, alcuni malware può essere scaricato da un utente inconsapevolmente durante la navigazione di un sito web legittimo, noto anche come un drive-by-download. Il malware può sfruttare una vulnerabilità del browser creando una risposta HTTP speciale e inviandola al client. Gli IPS possono identificare e bloccare questo tipo di attacco anche se il firewall può essere configurato per consentire il passaggio del traffico HTTP.

Tour di IPS

L’albero IPS in fornisce un facile accesso alle funzioni IPS, protezioni specifiche e configurazioni di esperti. L’albero è diviso nelle seguenti sezioni:

Overview

Dashboard for viewing IPS status, activity and updates

Enforcing Gateways

List of gateways enforcing IPS protections

Profiles

Settings for IPS profiles

Protections

Settings for individual protections

Geo Protection

Protection enforcement by source or destination country

Network Exceptions

Resources that are not subject to IPS inspection

Download Updates

Manual or Automatic updates to IPS protections

Follow Up

Protections marked for follow up azione

altre Impostazioni

HTTP e HTTPS Ispezione

IPS Terminologia

I seguenti termini sono usati in questa guida:

Applicazione Gateway

  • IPS Software Blade: il Software Lama che può essere installato su un Gateway di Sicurezza per l’applicazione di IPS Software Blade protezioni.
  • Sensore IPS-1: un dispositivo che ha installato solo il software del sensore IPS-1 per far rispettare le protezioni del sensore IPS-1. Un sensore non ha alcuna capacità di routing.

Protezioni

  • Protezione: una serie di regole configurabili quali ip utilizza per analizzare il traffico di rete e la protezione contro le minacce

Impostazioni di Attivazione

  • Attiva: l’azione di protezione che si attiva una protezione in grado di Rilevare o Impedire il traffico
  • Rileva: l’azione di protezione che permette identificato il traffico di passare attraverso il gateway, ma registra il traffico o i brani in base a utente configurato le impostazioni
  • Inattivo: l’azione di protezione che disattiva una protezione
  • Evitare: l’azione di protezione che blocca identificato traffico e registra il traffico o i brani in base a utente configurato le impostazioni

Tipi di Protezioni

  • Applicazione dei Controlli: il gruppo di protezione che impedisce l’utilizzo di specifiche applicazioni per l’utente finale
  • Impostazioni del Motore: il gruppo di protezioni che contengono le impostazioni per modificare il comportamento di altre protezioni
  • le Anomalie di Protocollo: il gruppo di protezioni che identifica il traffico che non è conforme con standard di protocollo
  • Firme: il gruppo di protezioni che identifica il traffico che tenta di sfruttare una vulnerabilità specifica

Parametri di Protezione

  • Livello di Confidenza: quanta fiducia IPS è riconosciuto che gli attacchi sono in realtà traffico indesiderato
  • Impatto sulle Prestazioni: quanto a protezione colpisce il gateway prestazioni
  • Protezioni Tipo: se la protezione si applica ai server di traffico connessi o relativi al client di traffico
  • Gravità: la probabilità che un attacco può causare danni all’ambiente; per esempio, un attacco che potrebbe consentire ad un aggressore di eseguire codice sul host è considerato Critico

Funzioni per il Monitoraggio

  • Follow-Up: un metodo di identificazione di una serie di protezioni che richiedono ulteriori operazioni di configurazione o attenzione
  • Rete Eccezione: una regola che può essere utilizzato per escludere il traffico di controllo IPS base di protezioni, di origine, di destinazione il servizio e il gateway.

Profili

  • Modalità IPS: l’azione di default, sia per Individuare o Prevenire, che è attivata la protezione quando si identifica una minaccia
  • IPS Politica: un insieme di regole che determinano quali protezioni sono attivato per un profilo
  • Profilo: un insieme di configurazioni di protezione, basato su IPS Modalità e IPS Politica, che può essere applicato a far rispettare gateway
  • Risoluzione dei problemi: le opzioni che possono essere utilizzati per modificare temporaneamente il comportamento di IPS protezioni, per esempio, Rilevare Solo per la Risoluzione dei problemi

SmartDashboard Barra degli strumenti

È possibile utilizzare il SmartDashboard barra degli strumenti per eseguire queste azioni:

Icona

Descrizione

Aprire il SmartDashboard menu. Quando viene richiesto di selezionare le opzioni del menu, fare clic su questo pulsante per visualizzare il menu.

Ad esempio, se viene richiesto di selezionare Gestisci > Utenti e amministratori, fare clic su questo pulsante per aprire il menu Gestisci e quindi selezionare l’opzione Utenti e amministratori.

Save current policy and all system objects.

Open a policy package, which is a collection of Policies saved together with the same name.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

La tabella dei profili configurati visualizza le seguenti informazioni:

  • Profilo — il nome del profilo
  • IPS Modalità — se il profilo è impostato su solo di Rilevare gli attacchi o per impedire loro di
  • Attivazione — il metodo di attivazione delle protezioni; sia IPS Politica o Manuale
  • Gateway — il numero di gateway di far rispettare il profilo

Doppio clic su un profilo apre le Proprietà del profilo della finestra.

Messaggi e elementi di azione

Messaggi e elementi di azione dà un rapido accesso a:

  • Informazioni sull’aggiornamento della protezione
  • Protezioni contrassegnate per il follow-up
  • Stato del contratto IPS
  • Collegamenti a eventi e report

Stato di sicurezza

Stato di sicurezza fornisce una visualizzazione aggiornata del numero di eventi di rilevamento e prevenzione gestiti da IPS in un periodo di tempo selezionato, delineato È possibile ricostruire il grafico con le statistiche più recenti facendo clic su Aggiorna.

Note – I grafici sullo stato della sicurezza compilano i dati dai gateway della versione R70 e sopra.

La media mostra il numero di attacchi gestiti che è la media per il periodo di tempo selezionato nella vostra azienda.

Ad esempio, se si sceglie di visualizzare lo stato degli attacchi nelle ultime 24 ore e la media degli attacchi critici è 45. Ciò indica che nella tua organizzazione il numero medio di attacchi durante un periodo di 24 ore è 45.

  • Se il numero attuale di attacchi è molto più alto della media, potrebbe indicare un problema di sicurezza che dovresti gestire immediatamente. Ad esempio, se più di 500 attacchi critici sono stati gestiti dagli IP nelle ultime 24 ore e la media è di 45, puoi vedere rapidamente che la tua organizzazione è stata bersagliata da attacchi critici in modo persistente e dovresti gestirli urgentemente.
  • Se il numero attuale di attacchi è molto inferiore alla media, potrebbe indicare un problema con l’utilizzo di IPS che è necessario risolvere. Ad esempio, se meno di 10 attacchi critici sono stati gestiti da IPS nelle ultime 24 ore, con la media di 45, puoi vedere che c’è un possibile problema con la configurazione IPS; forse è stato installato un gateway con una politica che non includeva un profilo IPS.

Security Center

Security Center è un elenco a scorrimento delle protezioni disponibili contro le nuove vulnerabilità. Il collegamento aperto accanto a un elemento del Centro di sicurezza ti porta all’avviso Check Point associato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.