De controlepunt IPS oplossing

admin

controlepunt IPS is een Intrusion Prevention System (IPS). Terwijl de Security gateway firewall kunt u verkeer blokkeren op basis van bron, bestemming en poort informatie, IPS voegt een andere lijn van verdediging door het analyseren van de inhoud van het verkeer om te controleren of het een risico voor uw netwerk. IPS beschermt zowel clients als servers en stelt u in staat het netwerkgebruik van bepaalde toepassingen te beheren. De nieuwe, hybride IPS detectie engine biedt meerdere verdedigingslaag waardoor het uitstekende detectie en preventie mogelijkheden van bekende bedreigingen, en in veel gevallen toekomstige aanvallen ook. Het maakt ook ongeëvenaarde inzet-en configuratieflexibiliteit en uitstekende prestaties mogelijk.

controlepunt IPS is beschikbaar in twee implementatiemethoden:

  • IPS Software Blade – geà ntegreerd met de controlepunt Security Gateway om een andere beveiligingslaag te bieden naast de controlepunt firewall-technologie.
  • IPS-1 Sensor-geïnstalleerd zonder de Firewall van het controlepunt en gewijd aan het beschermen van netwerksegmenten tegen inbraak.

beschermingslagen

De lagen van de IPS-Motor omvatten:

  • detectie en preventie van specifieke bekende exploits.
  • detectie en preventie van kwetsbaarheden, met inbegrip van zowel bekende als Onbekende exploit tools, bijvoorbeeld bescherming tegen specifieke CVE ‘ s.
  • detectie en preventie van misbruik van het protocol, wat in veel gevallen wijst op kwaadaardige activiteiten of potentiële bedreigingen. Voorbeelden van vaak gemanipuleerde protocollen zijn HTTP, SMTP, POP en IMAP.
  • detectie en preventie van uitgaande malwarecommunicatie.
  • detectie en preventie van tunnelpogingen. Deze pogingen kunnen duiden op het weglekken van gegevens of pogingen om andere beveiligingsmaatregelen zoals webfiltering te omzeilen.
  • detectie, preventie of beperking van bepaalde toepassingen die in veel gevallen bandbreedte verbruiken of beveiligingsrisico ‘ s voor het netwerk kunnen veroorzaken, zoals Peer-to-Peer-en Instant Messaging-toepassingen.
  • detectie en preventie van generieke aanvalstypen zonder vooraf gedefinieerde handtekeningen, zoals de bescherming van kwaadaardige Code.

in totaal heeft IPS een diepe dekking van tientallen protocollen met duizenden beveiligingen. Check Point werkt voortdurend de bibliotheek van beveiligingen om de bedreigingen voor te blijven.

mogelijkheden van IPS

de unieke mogelijkheden van de controlepunt IPS-engine omvatten:

  • duidelijke, eenvoudige beheerinterface
  • verminderde beheeroverhead door gebruik te maken van één beheerconsole voor alle producten met controlepunten
  • uniforme controle van zowel de IPS-1-sensoren als het geïntegreerde IPS-Softwareblad
  • Eenvoudige navigatie van overzicht op bedrijfsniveau naar een pakketopname voor een enkele aanval
  • tot 15 Gbps doorvoer met geoptimaliseerde beveiliging, en tot 2.5 Gbps doorvoersnelheid met alle IPS-beschermingen geactiveerd
  • #1 zekerheid voor Microsoft en Adobe kwetsbaarheden
  • Bron smoren, zodat een hoge IPS-activiteit heeft geen invloed op andere blade functionaliteit
  • Volledige integratie met Check Point configuratie-en monitoring tools, zoals SmartEvent, SmartView Tracker en SmartDashboard, zodat u onmiddellijk actie ondernemen op basis van IPS-informatie

Als voorbeeld sommige malware kan worden gedownload door een gebruiker zonder het te weten wanneer u bladert naar een legitieme website, ook wel bekend als een drive-by-download. De malware kan een browser kwetsbaarheid te exploiteren door het creëren van een speciale HTTP-reactie en het verzenden naar de client. IPS kan identificeren en blokkeren van dit type aanval, hoewel de firewall kan worden geconfigureerd om het HTTP-verkeer te passeren.

Tour van IPS

de IPS-boom in biedt gemakkelijke toegang tot IPS-functies, specifieke beveiligingen en expert-configuraties. De boom is verdeeld in de volgende secties:

Overview

Dashboard for viewing IPS status, activity and updates

Enforcing Gateways

List of gateways enforcing IPS protections

Profiles

Settings for IPS profiles

Protections

Settings for individual protections

Geo Protection

Protection enforcement by source or destination country

Network Exceptions

Resources that are not subject to IPS inspection

Download Updates

Manual or Automatic updates to IPS protections

Follow Up

Protections marked for follow up actie

Aanvullende Instellingen

HTTP-en HTTPS-Inspectie

IPS Terminologie

De volgende termen worden gebruikt in deze handleiding worden:

Enforcing Gateways

  • IPS-Software Blade: de Software Blade die kan worden geïnstalleerd op een Security Gateway voor de handhaving van de IPS-Software Blade-bescherming.
  • IPS-1 Sensor: een apparaat dat alleen de IPS-1 sensorsoftware heeft geïnstalleerd voor het afdwingen van IPS-1 sensorbeveiliging. Een sensor heeft geen routeringsmogelijkheden.

Protections

  • Protection: een configureerbare set regels die IPS gebruikt om netwerkverkeer te analyseren en te beschermen tegen bedreigingen

activatie-Instellingen

  • actief: de beveiligingsactie die een beveiliging activeert om verkeer te detecteren of te voorkomen
  • detecteren: de beveiligingsactie die geà dentificeerd verkeer door de gateway laat passeren, maar het verkeer registreert of traceert volgens door de gebruiker geconfigureerde instellingen
  • inactief: de beveiligingsactie die een beveiliging deactiveert
  • voorkomen: de beveiligingsactie die geïdentificeerd verkeer blokkeert en het verkeer registreert of volgt volgens door de gebruiker geconfigureerde instellingen

typen beveiligingen

  • Toepassingsbesturingen: de groep beveiligingen die het gebruik van specifieke eindgebruikerstoepassingen verhindert
  • Engine-instellingen: de groep beveiligingen die Instellingen bevatten die het gedrag van andere beveiligingen veranderen
  • Protocolafwijkingen: de groep beveiligingen die verkeer identificeert dat niet voldoet aan de protocolnormen
  • Signatures: de groep beveiligingen die verkeer identificeert dat probeert een specifieke kwetsbaarheid te exploiteren

Beschermingsparameters

  • betrouwbaarheidsniveau: hoe zeker IPS is dat herkende aanvallen eigenlijk ongewenst verkeer zijn
  • Performance Impact: hoeveel een bescherming de prestaties van de gateway beïnvloedt
  • protection Type: of een bescherming van toepassing is op servergerelateerd verkeer of clientgerelateerd verkeer
  • ernst: de kans dat een aanval schade kan veroorzaken aan uw omgeving; bijvoorbeeld, een aanval die de aanvaller in staat zou kunnen stellen om code uit te voeren op de host wordt beschouwd als kritisch

functies voor Monitoring

  • Follow-Up: een methode voor het identificeren van beveiligingen die verdere configuratie of aandacht vereisen
  • Netwerkuitzondering: een regel die kan worden gebruikt om verkeer uit te sluiten van IPS-inspectie op basis van beveiligingen, bron, bestemming, service en gateway.

profielen

  • IPS-modus: de standaardactie, detecteren of voorkomen, die een geactiveerde bescherming neemt wanneer deze een bedreiging identificeert
  • IPS-beleid: een set regels die bepaalt welke beveiligingen worden geactiveerd voor een profiel
  • profiel: een set beveiligingsconfiguraties, gebaseerd op IPS-modus en IPS-beleid, die kunnen worden toegepast op het afdwingen van gateways
  • probleemoplossing: opties die kunnen worden gebruikt om het gedrag van IPS-beveiligingen tijdelijk te wijzigen, bijvoorbeeld Detect-Only voor probleemoplossing

smartdashboard Toolbar

U kunt de SMARTDASHBOARD Toolbar gebruiken om deze acties uit te voeren:

het Pictogram

Beschrijving

Open de SmartDashboard menu. Wanneer u de opdracht krijgt om menu-opties te selecteren, klikt u op deze knop om het menu weer te geven.

Als u bijvoorbeeld de opdracht krijgt om > gebruikers en beheerders te selecteren, klik dan op deze knop om het menu Beheren te openen en selecteer vervolgens de optie Gebruikers en beheerders.

Save current policy and all system objects.

Open a policy package, which is a collection of Policies saved together with the same name.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

de tabel van de geconfigureerde profielen toont de volgende informatie:

  • profiel — de naam van het profiel
  • IPS — modus — of het profiel is ingesteld om alleen aanvallen te detecteren of om ze ook te voorkomen
  • activering — de methode om beveiligingen te activeren; IPS-beleid of handmatige
  • Gateways-het aantal gateways dat het profiel afdwingt

dubbelklikken op een profiel opent de eigenschappen van het profiel raam.

berichten en actie-Items

berichten en actie-Items geeft snelle toegang tot:

  • beveiligingsupdate informatie
  • beveiligingen gemarkeerd voor Follow-Up
  • IPS ContractStatus
  • koppelingen naar gebeurtenissen en rapporten

beveiligingsstatus

beveiligingsstatus geeft een actuele weergave van het aantal gebeurtenissen detecteren en voorkomen dat IPS gedurende een geselecteerde periode heeft afgehandeld, afgebakend door de ernst. U kunt de grafiek opnieuw opbouwen met de laatste statistieken door op Vernieuwen te klikken.

Note – Veiligheidsstatusgrafieken compileren gegevens van gateways van versie R70 en hoger.

Het gemiddelde toont het aantal behandelde aanvallen dat gemiddeld is voor de geselecteerde periode in uw bedrijf.

bijvoorbeeld, als u ervoor kiest om de status van aanvallen in de afgelopen 24 uur te zien en het gemiddelde van kritieke aanvallen is 45. Dit geeft aan dat in uw organisatie het gemiddelde aantal aanvallen gedurende een periode van 24 uur 45 is.

  • als het huidige aantal aanvallen veel hoger is dan het gemiddelde, kan dit een beveiligingsprobleem aangeven dat u onmiddellijk moet afhandelen. Bijvoorbeeld, als meer dan 500 kritieke aanvallen werden behandeld door IPS in de afgelopen 24 uur, en het gemiddelde is 45, kunt u snel zien dat uw organisatie is gericht met kritieke aanvallen op een aanhoudende manier en je moet dit dringend te behandelen.
  • als het huidige aantal aanvallen veel lager is dan het gemiddelde, kan dit wijzen op een probleem met IPS-gebruik dat u moet oplossen. Bijvoorbeeld, als minder dan 10 kritieke aanvallen werden behandeld door IPS in de afgelopen 24 uur, met een gemiddelde van 45, kunt u zien dat er een mogelijk probleem met IPS configuratie; misschien een gateway is geïnstalleerd met een beleid dat geen IPS-profiel bevatten.

Beveiligingscentrum

Beveiligingscentrum is een scrollende lijst van beschikbare beveiligingen tegen nieuwe kwetsbaarheden. De Open link naast een Security Center item brengt u naar de bijbehorende Check Point Advisory.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.