Rozwiązanie Check Point IPS

admin

Check Point IPS jest systemem zapobiegania włamaniom (IPS). Podczas gdy Zapora Security Gateway pozwala blokować ruch na podstawie informacji o źródle, miejscu docelowym i porcie, IPS dodaje kolejną linię obrony, analizując zawartość ruchu, aby sprawdzić, czy jest to zagrożenie dla sieci. IPS chroni zarówno klientów, jak i serwery oraz pozwala kontrolować wykorzystanie sieciowe niektórych aplikacji. Nowy, hybrydowy silnik wykrywania IPS zapewnia wiele warstw obronnych, co pozwala mu na doskonałe wykrywanie i zapobieganie znanym zagrożeniom, a w wielu przypadkach także przyszłym atakom. Zapewnia również niezrównaną elastyczność wdrażania i konfiguracji oraz doskonałą wydajność.

Check Point IPS jest dostępny w dwóch metodach wdrażania:

  • IPS Software Blade – zintegrowany z Check Point Security Gateway, aby zapewnić kolejną warstwę zabezpieczeń oprócz technologii Check Point firewall.
  • Czujnik IPS-1 – instalowany bez zapory Check Point i dedykowany do ochrony segmentów sieci przed włamaniem.

warstwy ochrony

warstwy silnika IPS obejmują:

  • wykrywanie i zapobieganie określonym znanym exploitom.
  • wykrywanie i zapobieganie podatnościom, w tym zarówno znanym, jak i nieznanym narzędziom exploitowym, na przykład ochrona przed określonymi CVE.
  • wykrywanie i zapobieganie nadużyciom protokołu, które w wielu przypadkach wskazują na złośliwą aktywność lub potencjalne zagrożenie. Przykładami często manipulowanych protokołów są HTTP, SMTP, POP i IMAP.
  • wykrywanie i zapobieganie wychodzącej komunikacji złośliwego oprogramowania.
  • wykrywanie i zapobieganie próbom tunelowania. Próby te mogą wskazywać na wyciek danych lub próby obejścia innych środków bezpieczeństwa, takich jak filtrowanie sieci.
  • wykrywanie, zapobieganie lub ograniczanie niektórych aplikacji, które w wielu przypadkach zużywają przepustowość lub mogą powodować zagrożenia bezpieczeństwa sieci, takie jak aplikacje Peer to Peer i komunikatory.
  • wykrywanie i zapobieganie typom ataków generycznych bez predefiniowanych sygnatur, takich jak złośliwe zabezpieczenie kodu.

W sumie IPS ma głęboki zasięg dziesiątek protokołów z tysiącami zabezpieczeń. Check Point stale aktualizuje bibliotekę zabezpieczeń, aby być na bieżąco z zagrożeniami.

możliwości IPS

unikalne możliwości silnika Check Point IPS obejmują:

  • przejrzysty, prosty interfejs zarządzania
  • Redukcja kosztów zarządzania dzięki użyciu jednej konsoli zarządzania dla wszystkich produktów Check Point
  • ujednolicona kontrola zarówno czujników IPS-1, jak i zintegrowanego oprogramowania IPS
  • Łatwa nawigacja od przeglądu na poziomie biznesowym do przechwytywania pakietów dla pojedynczego ataku
  • przepustowość do 15 GB / s przy zoptymalizowanym zabezpieczeniu i do 2.Przepustowość 5 Gb/s przy wszystkich aktywowanych zabezpieczeniach IPS
  • #1 Ochrona luk w zabezpieczeniach Microsoft i Adobe
  • ograniczanie zasobów, dzięki czemu wysoka aktywność IPS nie wpłynie na inne funkcje blade
  • Pełna integracja z narzędziami do konfiguracji i monitorowania Check Point, takimi jak SmartEvent, SmartView Tracker i SmartDashboard, aby umożliwić podjęcie natychmiastowych działań w oparciu o informacje o IP

na przykład niektóre złośliwe oprogramowanie może zostać pobrane przez użytkownika nieświadomie podczas przeglądania legalnego strona internetowa, znana również jako drive-by-download. Złośliwe oprogramowanie może wykorzystać lukę w przeglądarce, tworząc specjalną odpowiedź HTTP i wysyłając ją do klienta. Adresy IP mogą identyfikować i blokować tego typu ataki, nawet jeśli zapora sieciowa może być skonfigurowana tak, aby zezwalać na przesyłanie ruchu HTTP.

przegląd IPS

drzewo IPS zapewnia łatwy dostęp do funkcji IPS, określonych zabezpieczeń i konfiguracji ekspertów. Drzewo podzielone jest na następujące sekcje:

Overview

Dashboard for viewing IPS status, activity and updates

Enforcing Gateways

List of gateways enforcing IPS protections

Profiles

Settings for IPS profiles

Protections

Settings for individual protections

Geo Protection

Protection enforcement by source or destination country

Network Exceptions

Resources that are not subject to IPS inspection

Download Updates

Manual or Automatic updates to IPS protections

Follow Up

Protections marked for follow up akcja

dodatkowe ustawienia

Kontrola HTTP i HTTPS

IPS terminologia

następujące terminy są używane w tym przewodniku:

egzekwowanie bram

  • IPS Software Blade: oprogramowanie, które może być zainstalowane na bramce bezpieczeństwa w celu wymuszania zabezpieczeń Blade oprogramowania IPS.
  • Czujnik IPS-1: urządzenie, które ma zainstalowane tylko oprogramowanie czujnika IPS-1 do egzekwowania zabezpieczeń czujników IPS-1. Czujnik nie ma żadnych możliwości routingu.

zabezpieczenia

  • Ochrona: konfigurowalny zestaw reguł, których IPS używa do analizy ruchu sieciowego i ochrony przed zagrożeniami

Ustawienia aktywacji

  • Active: akcja ochrony, która aktywuje ochronę w celu wykrycia lub zapobieżenia ruchowi
  • Detect: akcja ochrony, która pozwala zidentyfikowanemu ruchowi przejść przez bramę, ale rejestruje ruch lub śledzi go zgodnie z ustawieniami skonfigurowanymi przez użytkownika
  • nieaktywny: działanie zabezpieczające, które dezaktywuje ochronę
  • Prevent: działanie zabezpieczające, które blokuje zidentyfikowany ruch i rejestruje ruch lub śledzi go zgodnie z ustawieniami skonfigurowanymi przez użytkownika

rodzaje zabezpieczeń

  • Kontrola aplikacji: grupa zabezpieczeń, która uniemożliwia korzystanie z określonych aplikacji użytkownika końcowego
  • ustawienia silnika: grupa zabezpieczeń, które zawierają ustawienia, które zmieniają zachowanie innych zabezpieczeń
  • anomalie protokołu: grupa zabezpieczeń, która identyfikuje ruch niezgodny ze standardami protokołu
  • sygnatury: grupa zabezpieczeń, która identyfikuje ruch próbujący wykorzystać konkretną lukę

parametry ochrony

  • poziom zaufania: jak pewne są adresy IP, że rozpoznane ataki są w rzeczywistości niepożądanym ruchem
  • wpływ na wydajność: w jakim stopniu Ochrona wpływa na wydajność bramy
  • typ zabezpieczeń: czy ochrona dotyczy ruchu związanego z serwerem lub ruchu związanego z klientem
  • >
  • dotkliwość: prawdopodobieństwo, że atak może spowodować uszkodzenie środowiska; na przykład atak, który może umożliwić atakującemu wykonanie kodu na hoście, jest uważane za krytyczne

funkcje do monitorowania

  • Follow Up: metoda identyfikacji zabezpieczeń, które wymagają dalszej konfiguracji lub uwagi
  • wyjątek sieciowy: reguła, której można użyć do wykluczenia ruchu z inspekcji IPS na podstawie zabezpieczeń, źródła, miejsca docelowego, usługi i bramy.

profile

  • tryb IPS:
  • IPS: zestaw reguł określających, które zabezpieczenia są aktywowane dla profilu
  • profil: zestaw konfiguracji zabezpieczeń, opartych na trybie IPS i Zasadach IPS, które można zastosować do wymuszania bram
  • Rozwiązywanie problemów: opcje, których można użyć do tymczasowej zmiany zachowania zabezpieczeń IPS, na przykład wykrywanie-tylko do rozwiązywania problemów

H2 > pasek narzędzi smartdashboard

możesz użyć paska narzędzi smartdashboard, aby wykonać te czynności:

ikona

opis
tutaj, aby przejść do menu smartdashboard, aby przejść do menu smartdashboard. Po poleceniu wyboru opcji menu, kliknij ten przycisk, aby wyświetlić menu.

na przykład, jeśli zostaniesz poinstruowany, aby wybrać Zarządzaj > Użytkownicy i administratorzy, kliknij ten przycisk, aby otworzyć menu Zarządzaj, a następnie wybierz opcję Użytkownicy i administratorzy.

Save current policy and all system objects.

Open a policy package, which is a collection of Policies saved together with the same name.

Refresh policy from the Security Management Server.

Open the Database Revision Control window.

Change global properties.

Verify Rule Base consistency.

Install the policy on Security Gateways or VSX Gateways.

Open SmartConsoles.

IPS Overview

The IPS Overview page provides quick access to the latest and most important information.

In My Organization

IPS in My Organization summarizes gateway and profile information.

tabela skonfigurowanych profili wyświetla następujące informacje:

  • profil — nazwa profilu
  • tryb IPS — czy profil jest ustawiony tak, aby tylko wykrywał ataki, czy też je zapobiegał
  • Aktywacja — metoda aktywacji zabezpieczeń; Polityka IPS lub Instrukcja
  • bramy — liczba bramek wymuszających profil

dwukrotne kliknięcie profilu otwiera okno właściwości profilu.

wiadomości i elementy akcji

wiadomości i elementy akcji daje szybki dostęp do:

  • informacje o aktualizacji OCHRONY
  • zabezpieczenia oznaczone do śledzenia
  • status umowy IPS
  • linki do zdarzeń i raportów

status bezpieczeństwa

status bezpieczeństwa zapewnia aktualne wyświetlanie liczby zdarzeń wykrywających i zapobiegających obsługiwanych przez IPS w wybranym okresie Czasu, z podziałem na dotkliwość. Możesz odbudować Wykres z najnowszymi statystykami, klikając odśwież.

Uwaga – wykresy stanu bezpieczeństwa kompilują dane z bramek w wersji R70 i wyżej.

Średnia pokazuje liczbę obsługiwanych ataków, która jest średnia dla wybranego okresu w Twojej firmie.

na przykład, jeśli chcesz zobaczyć status ataków w ciągu ostatnich 24 godzin, a średnia ataków krytycznych wynosi 45. Oznacza to, że w Twojej organizacji średnia liczba ataków w ciągu 24 godzin wynosi 45.

  • jeśli aktualna liczba ataków jest znacznie wyższa niż średnia, może to wskazywać na problem bezpieczeństwa, który powinieneś natychmiast rozwiązać. Na przykład, jeśli w ciągu ostatnich 24 godzin IP obsłużyło ponad 500 krytycznych ataków, a średnia wynosi 45, możesz szybko zauważyć, że Twoja organizacja została ukierunkowana na ataki krytyczne w sposób trwały i powinieneś zająć się tym w trybie pilnym.
  • jeśli aktualna liczba ataków jest znacznie niższa niż średnia, może to wskazywać na problem z użyciem adresów IP, który powinieneś rozwiązać. Na przykład, jeśli w ciągu ostatnich 24 godzin adresy IP obsłużyły mniej niż 10 krytycznych ataków, przy średniej 45, można zauważyć, że istnieje możliwy problem z konfiguracją adresów IP; być może Brama została zainstalowana z zasadą, która nie zawierała profilu adresów IP.

Security Center

Security Center to przewijana lista dostępnych zabezpieczeń przed nowymi lukami w zabezpieczeniach. Otwarte łącze obok elementu Centrum zabezpieczeń przenosi cię do powiązanej usługi Check Point Advisory.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.