ponto de controlo IPS é um sistema de prevenção de intrusões (IPS). Enquanto o firewall do gateway de segurança permite bloquear o tráfego com base na informação de origem, destino e porto, a IPS adiciona outra linha de defesa, analisando os conteúdos do tráfego para verificar se é um risco para a sua rede. IPS protege tanto clientes quanto servidores, e permite que você controle o uso de rede de certas aplicações. O novo motor híbrido de detecção IPS fornece múltiplas camadas de defesa que lhe permite excelentes capacidades de detecção e prevenção de ameaças conhecidas, e em muitos casos futuros ataques também. Ele também permite uma implantação sem paralelo e flexibilidade de configuração e excelente desempenho.
Ponto de verificação IPS está disponível em dois métodos de implantação:
- Lâmina de Software IPS – integrado com a porta de segurança do ponto de verificação para fornecer outra camada de segurança, além da tecnologia de Firewall do ponto de verificação. Sensor IPS – 1 instalado sem a Firewall do ponto de controlo e dedicado à protecção dos segmentos de rede contra a intrusão.
camadas de protecção
As camadas do motor IPS incluem:
- detecção e prevenção de façanhas específicas conhecidas.detecção e prevenção de vulnerabilidades, incluindo ferramentas de exploração conhecidas e desconhecidas, por exemplo, proteção contra CVE específicas.detecção e prevenção de má utilização do protocolo que, em muitos casos, indica actividade maliciosa ou potencial ameaça. Exemplos de protocolos comumente manipulados são HTTP, SMTP, POP e IMAP.detecção e prevenção de comunicações de malware.detecção e prevenção de tentativas de tunelamento. Estas tentativas podem indicar fugas de dados ou tentativas de contornar outras medidas de segurança, como a filtragem na web.
- detecção, prevenção ou restrição de certas aplicações que, em muitos casos, consomem largura de banda ou podem causar ameaças à segurança da rede, tais como aplicações Peer to Peer e Instant Messaging.
- detecção e prevenção de tipos de ataque genéricos sem quaisquer assinaturas pré-definidas, tais como protetor de código malicioso.
Ao todo, a IPS tem uma ampla cobertura de dezenas de protocolos com milhares de proteções. Check Point constantemente atualiza a biblioteca de proteções para ficar à frente das ameaças.capacidades do IPS
As capacidades únicas do motor de IPS do ponto de verificação incluem::
- Clara, simples interface de gerenciamento
- Redução de sobrecarga de gerenciamento por meio de um console de gerenciamento para todos os produtos Check Point
- Unificação de controle de ambos os IPS-1 Sensores e integrado de IPS Software Blade
- navegação Fácil de negócios-visão geral para uma captura de pacotes para um único ataque
- Até 15 Gbps de taxa de transferência otimizada de segurança, e 2.5 Gbps de taxa de transferência com todos os IPS proteções ativadas
- #1 cobertura de segurança para a Microsoft e a Adobe vulnerabilidades
- a otimização de Recursos, de modo que os IPS de alta atividade não terá impacto sobre outros lâmina funcionalidade
- integração Completa com o Ponto de Verificação de configuração e ferramentas de monitoramento, como SmartEvent, SmartView Tracker e SmartDashboard, para que tome medidas imediatas com base em IPS informações
Como um exemplo, algum malware pode ser baixado por um usuário, sem saber, quando está a navegar para um web site legítimo, também conhecido como drive-by-download. O malware pode explorar uma vulnerabilidade do navegador criando uma resposta HTTP especial e enviando-a para o cliente. IPS pode identificar e bloquear este tipo de ataque, mesmo que o firewall pode ser configurado para permitir que o tráfego HTTP passe.
Tour of IPS
The IPS tree in provides easy access to IPS features, specific protections, and expert configurations. A árvore é dividida nas seguintes secções::
|
Overview |
Dashboard for viewing IPS status, activity and updates |
|
Enforcing Gateways |
List of gateways enforcing IPS protections |
|
Profiles |
Settings for IPS profiles |
|
Protections |
Settings for individual protections |
|
Geo Protection |
Protection enforcement by source or destination country |
|
Network Exceptions |
Resources that are not subject to IPS inspection |
|
Download Updates |
Manual or Automatic updates to IPS protections |
|
Follow Up |
Protections marked for follow up a ação |
|
Configurações Adicionais |
Inspeção de HTTP e HTTPS |
IPS Terminologia
Os seguintes termos são usados neste manual:
Gateways de Aplicação
- IPS Software Blade: o Software Lâmina que pode ser instalado em um Gateway de Segurança para o cumprimento de IPS Software Lâmina de proteções.Sensor IPS-1: um dispositivo que possui apenas o software de sensor IPS-1 instalado para fazer cumprir as proteções de sensores IPS-1. Um sensor não tem nenhuma capacidade de roteamento.
Proteções
- Proteção: um conjunto configurável de regras que IPS usa para analisar o tráfego de rede e proteger contra as ameaças
Configurações de Ativação
- Active a protecção de ação que ativa um sistema de proteção para Detectar ou Evitar o tráfego
- Detectar: a ação para a proteção que permite que identificou a passagem de tráfego através do gateway, mas registra o tráfego ou faixas de acordo com as definições configuradas pelo utilizador
- Inativo: a ação para a proteção de que desativa a proteção
- Evitar: a ação para a proteção que bloqueia identificados tráfego e registra o tráfego ou faixas de acordo com as definições configuradas pelo utilizador
Tipos de Proteções
- Controles de Aplicação: o grupo de proteção que impede o uso de determinados aplicativos de usuário final
- Definições do Motor: o grupo de proteções que contêm configurações que alteram o comportamento de outras proteções
- Protocolo de Anomalias: o grupo de proteções que identifica o tráfego que não estejam de acordo com os padrões do protocolo
- Assinaturas: o grupo de proteções que identifica o tráfego que tenta explorar uma vulnerabilidade específica
Parâmetros de Proteção
- Nível de Confiança: quão confiante IPS é reconhecido que os ataques são, na verdade, indesejável de trânsito
- o Impacto no Desempenho: o quanto uma proteção afeta o gateway de desempenho
- Proteções Tipo: se uma proteção aplica-se ao servidor de tráfego de ou relacionados com o cliente de trânsito
- Gravidade: a probabilidade de que um ataque pode causar danos para o ambiente; por exemplo, um ataque que poderia permitir que um invasor execute código no host é considerada Crítica
Funções de Monitoramento
- acompanhamento: um método de identificação de proteções que exija configuração adicional ou atenção
- Rede de Exceção: uma regra que pode ser usado para excluir o tráfego de IPS de inspeção baseado em proteções, a origem, o destino, serviço, e o gateway.
perfis
- modo IPS: a ação padrão, ou Detectar ou Impedir, que um activada a protecção toma quando identifica uma ameaça
- IPS de Políticas: um conjunto de regras que determina quais proteções estão ativadas para um perfil
- Perfil: um conjunto de configurações de proteção, com base em IPS Modo e IPS Política, que pode ser aplicado para o cumprimento de gateways
- Resolução de problemas: as opções que podem ser usadas para alterar temporariamente o comportamento de IPS proteções, por exemplo, Apenas detecção para a Resolução de problemas
SmartDashboard barra de Ferramentas
Você pode usar o SmartDashboard barra de ferramentas para realizar essas ações:
|
Ícone |
Descrição |
|---|---|
|
|
Abra o SmartDashboard menu. Quando estiver instruído para seleccionar as opções do menu, carregue neste botão para mostrar o menu. Por exemplo, se você estiver instruído para selecionar gerencie > usuários e administradores, clique neste botão para abrir o menu Gerenciar e, em seguida, selecione a opção de Usuários e administradores. |
|
|
Save current policy and all system objects. |
|
|
Open a policy package, which is a collection of Policies saved together with the same name. |
|
|
Refresh policy from the Security Management Server. |
|
|
Open the Database Revision Control window. |
|
|
Change global properties. |
|
|
Verify Rule Base consistency. |
|
|
Install the policy on Security Gateways or VSX Gateways. |
|
|
Open SmartConsoles. |
IPS Overview
The IPS Overview page provides quick access to the latest and most important information.
In My Organization
IPS in My Organization summarizes gateway and profile information.
A tabela de perfis configurados apresenta a seguinte informação:
- Perfil — o nome do perfil
- IPS Modo — se o perfil é definido apenas para Detectar ataques ou para impedi-los como bem
- Ativação — o método de ativação de proteções; quer IPS Política ou Manual
- Gateways — o número de gateways de aplicação do perfil
duas vezes em um perfil abre o perfil da janela de Propriedades.
mensagens e itens de Acção
mensagens e itens de Acção dá acesso rápido a:
- actualização da Protecção da informação
- Proteções marcados para acompanhamento
- IPS contrato de status
- Links para eventos e relatórios
de Estado de Segurança
de Estado de Segurança fornece um up-to-the-minute de exibição do número de Detectar e Prevenir os eventos que o IPS tratados ao longo de um período de tempo selecionado, delineada por gravidade. Você pode reconstruir o gráfico com as últimas estatísticas, clicando em Actualizar.
|
|
Nota – Segurança gráficos de Estado de compilação de dados de gateways de versão R70 e acima. |
a média mostra o número de ataques tratados que é média para o período de tempo seleccionado na sua empresa.por exemplo, se optar por ver o estado dos ataques nas últimas 24 horas e a média dos ataques críticos for de 45. Isso indica que em sua organização o número médio de ataques durante um período de 24 horas é de 45.
- Se o número atual de ataques é muito maior do que a média, pode indicar um problema de segurança que você deve lidar imediatamente. Por exemplo, se mais de 500 ataques críticos foram tratados pela IPS nas últimas 24 horas, e a média é de 45, Você pode ver rapidamente que sua organização foi alvo de ataques críticos de forma persistente e você deve lidar com isso urgentemente.
- Se o número atual de ataques é muito menor do que a média, ele pode indicar um problema com o uso do IPS que você deve resolver. Por exemplo, se a menos de 10 ataques críticos foram feitos por IPS nas últimas 24 horas, com uma média de 45, você pode ver que há um possível problema com a configuração de IPS; talvez um gateway foi instalado com uma política que não inclua um IPS perfil.
Centro de segurança
Centro de segurança é uma lista de protecções disponíveis contra novas vulnerabilidades. O link aberto ao lado de um item do centro de segurança leva-o ao Aviso do ponto de verificação associado.
