Check Point IPS este un sistem de prevenire a intruziunilor (IPS). În timp ce firewall-ul Security Gateway vă permite să blocați traficul pe baza informațiilor despre sursă, destinație și port, IPS adaugă o altă linie de apărare analizând conținutul traficului pentru a verifica dacă este un risc pentru rețeaua dvs. IPS protejează atât clienții, cât și serverele și vă permite să controlați utilizarea în rețea a anumitor aplicații. Noul motor hibrid de detectare IPS oferă mai multe straturi de apărare, ceea ce îi permite capacități excelente de detectare și prevenire a amenințărilor cunoscute și, în multe cazuri, atacuri viitoare. De asemenea, permite flexibilitate de implementare și configurare de neegalat și performanțe excelente.
Check Point IPS este disponibil în două metode de implementare:
- software IPS Blade – integrat cu Check Point Security Gateway pentru a oferi un alt nivel de securitate pe lângă tehnologia Check Point firewall.
- senzor IPS-1-instalat fără firewall-ul Check Point și dedicat protejării segmentelor de rețea împotriva intruziunilor.
straturi de protecție
straturile motorului IPS includ:
- detectarea și prevenirea exploatărilor specifice cunoscute.
- detectarea și prevenirea vulnerabilităților, incluzând atât instrumente de exploatare cunoscute, cât și necunoscute, de exemplu protecția împotriva CV-urilor specifice.
- detectarea și prevenirea abuzului de protocol care, în multe cazuri, indică o activitate rău intenționată sau o potențială amenințare. Exemple de protocoale manipulate în mod obișnuit sunt HTTP, SMTP, POP și IMAP.
- detectarea și prevenirea comunicațiilor malware de ieșire.
- detectarea și prevenirea încercărilor de tunelare. Aceste încercări pot indica scurgeri de date sau încercări de a eluda alte măsuri de securitate, cum ar fi filtrarea web.
- detectarea, prevenirea sau restricționarea anumitor aplicații care, în multe cazuri, consumă lățime de bandă sau pot provoca amenințări la adresa securității rețelei, cum ar fi aplicațiile de mesagerie Peer to Peer și Instant.
- detectarea și prevenirea tipurilor de atacuri generice fără semnături predefinite, cum ar fi protectorul de cod rău intenționat.
în total, IPS are o acoperire profundă a zeci de protocoale cu mii de Protecții. Check Point actualizează în mod constant biblioteca de Protecții pentru a rămâne în fața amenințărilor.
capabilitățile IPS
capabilitățile unice ale motorului IPS Check Point includ:
- interfață clară și simplă de gestionare
- reducerea cheltuielilor generale de gestionare utilizând o consolă de gestionare pentru toate produsele Check Point
- control unificat atât al senzorilor IPS-1, cât și al software-ului integrat IPS Blade
- navigare ușoară de la prezentarea generală la nivel de afaceri la o captură de pachete pentru un singur atac
- până la 15 Gbps cu securitate optimizată și până la 2.Transfer de 5 Gbps cu toate protecțiile IPS activate
- #1 acoperire de securitate pentru vulnerabilitățile Microsoft și Adobe
- limitarea resurselor, astfel încât activitatea IPS ridicată să nu afecteze alte funcționalități ale blade
- integrare completă cu instrumente de configurare și monitorizare a punctelor de control, cum ar fi SmartEvent, Smartview Tracker și SmartDashboard, pentru a vă permite să luați măsuri imediate pe baza informațiilor IPS
ca exemplu, unele programe malware pot fi descărcate de un utilizator fără să știe când navighează pe un site web legitim, de asemenea cunoscut ca un drive-by-download. Malware-ul poate exploata o vulnerabilitate a browserului prin crearea unui răspuns HTTP special și trimiterea acestuia către client. IP – urile pot identifica și bloca acest tip de atac, chiar dacă Paravanul de protecție poate fi configurat pentru a permite trecerea traficului HTTP.
turul IPS
arborele IPS Din oferă acces ușor la caracteristicile IPS, protecții specifice și configurații expert. Arborele este împărțit în următoarele secțiuni:
|
Overview |
Dashboard for viewing IPS status, activity and updates |
|
Enforcing Gateways |
List of gateways enforcing IPS protections |
|
Profiles |
Settings for IPS profiles |
|
Protections |
Settings for individual protections |
|
Geo Protection |
Protection enforcement by source or destination country |
|
Network Exceptions |
Resources that are not subject to IPS inspection |
|
Download Updates |
Manual or Automatic updates to IPS protections |
|
Follow Up |
Protections marked for follow up acțiune |
|
setări suplimentare |
HTTP și HTTPS inspecție |
IPS terminologie
următorii termeni sunt folosiți în acest ghid:
enforcing gateways
- lama software-ului IPS: lama software care poate fi instalată pe un gateway de securitate pentru aplicarea protecțiilor lamei software IPS.
- senzor IPS-1: un dispozitiv care are doar software-ul senzorului IPS-1 instalat pentru aplicarea protecțiilor senzorului IPS-1. Un senzor nu are capacități de rutare.
Protecții
- protecție: un set configurabil de reguli pe care IPS le folosește pentru a analiza traficul de rețea și pentru a proteja împotriva amenințărilor
Setări de activare
- activ: acțiunea de protecție care activează o protecție pentru a detecta sau preveni traficul
- Detect: acțiunea de protecție care permite traficului identificat să treacă prin gateway, dar înregistrează traficul sau îl urmărește în funcție de setările configurate de utilizator
- : acțiunea de protecție care dezactivează o protecție
- Prevent: acțiunea de protecție care blochează traficul identificat și înregistrează traficul sau îl urmărește în funcție de setările configurate de utilizator
tipuri de Protecții
- Controale ale aplicației: grupul de protecții care împiedică utilizarea aplicațiilor specifice utilizatorului final
- Setări motor: grupul de protecții care conțin setări care modifică comportamentul altor Protecții
- anomalii ale protocolului
- : grupul de protecții care identifică traficul care nu respectă standardele protocolului
- semnături: grupul de protecții care identifică traficul care încearcă să exploateze o vulnerabilitate specifică
parametri de protecție
- nivel de încredere: cât de sigur este IP-urile că atacurile recunoscute sunt de fapt trafic nedorit
- impact asupra performanței: cât de mult afectează o protecție performanța gateway-ului
- tip de protecție: dacă o protecție se aplică traficului legat de server sau traficului legat de client
- severitate: probabilitatea ca un atac să provoace daune mediului dvs.; de exemplu, un atac care ar putea permite atacatorului să execute cod pe gazdă este considerat critic
funcții de monitorizare
- urmărire: o metodă de identificare a protecțiilor care necesită configurare sau atenție suplimentară
- excepție de rețea: o regulă care poate fi utilizată pentru a exclude traficul de la inspecția IPS bazată pe Protecții, sursă, destinație, serviciu și gateway.
profile
- modul IPS:
- Politica IPS: un set de reguli care determină ce protecții sunt activate pentru un profil
- profil: un set de configurații de protecție, bazate pe modul IPS și Politica IPS, care pot fi aplicate la aplicarea gateway-urilor
- depanare: opțiuni care pot fi utilizate pentru a schimba temporar comportamentul protecțiilor IPS, de exemplu, Detect-Only for Troubleshooting
bara de instrumente SmartDashboard
puteți utiliza bara de instrumente smartdashboard pentru a efectua aceste acțiuni:
|
Icon |
descriere |
|---|---|
|
|
deschideți meniul smartdashboard. Când vi se cere să selectați opțiunile meniului, faceți clic pe acest buton pentru a afișa meniul. de exemplu, dacă sunteți instruit să selectați Gestionare> utilizatori și administratori, faceți clic pe acest buton pentru a deschide meniul Gestionare și apoi selectați opțiunea Utilizatori și administratori. |
|
|
Save current policy and all system objects. |
|
|
Open a policy package, which is a collection of Policies saved together with the same name. |
|
|
Refresh policy from the Security Management Server. |
|
|
Open the Database Revision Control window. |
|
|
Change global properties. |
|
|
Verify Rule Base consistency. |
|
|
Install the policy on Security Gateways or VSX Gateways. |
|
|
Open SmartConsoles. |
IPS Overview
The IPS Overview page provides quick access to the latest and most important information.
In My Organization
IPS in My Organization summarizes gateway and profile information.
tabelul profilurilor configurate afișează următoarele informații:
- profil — Numele profilului
- modul IPS — dacă profilul este setat doar pentru a detecta atacurile sau pentru a le preveni, de asemenea
- activare — metoda de activare a protecțiilor; fie Politica IPS, fie manualul
- gateway — uri-numărul de gateway-uri care aplică profilul
făcând dublu clic pe un profil deschide fereastra de proprietăți a profilului.
mesaje și elemente de acțiune
mesaje și elemente de acțiune oferă acces rapid la:
- informații de actualizare a protecției
- Protecții marcate pentru urmărire
- starea contractului IPS
- legături către evenimente și rapoarte
Starea securității
Starea securității oferă o afișare actualizată a numărului de detectare și prevenire a evenimentelor pe care IPS le-a gestionat într-o perioadă de timp selectată, delimitată de severitate. Puteți reconstrui graficul cu cele mai recente statistici făcând clic pe Reîmprospătare.
|
|
notă – grafice de stare de securitate compila date de la gateway-uri de versiune R70 și mai sus. |
media arată numărul de atacuri gestionate care este mediu pentru perioada de timp selectată în compania dvs.
de exemplu, dacă alegeți să vedeți starea atacurilor din ultimele 24 de ore și media atacurilor critice este de 45. Acest lucru indică faptul că în organizația dvs. numărul mediu de atacuri pe o perioadă de 24 de ore este de 45.
- dacă numărul actual de atacuri este mult mai mare decât media, poate indica o problemă de securitate pe care ar trebui să o rezolvați imediat. De exemplu, dacă mai mult de 500 de atacuri critice au fost gestionate de IP-uri în ultimele 24 de ore, iar media este de 45, puteți vedea rapid că organizația dvs. a fost vizată cu atacuri critice într-o manieră persistentă și ar trebui să vă ocupați de acest lucru urgent.
- dacă numărul actual de atacuri este mult mai mic decât media, poate indica o problemă cu utilizarea IPS pe care ar trebui să o depanați. De exemplu, dacă mai puțin de 10 atacuri critice au fost gestionate de IPS în ultimele 24 de ore, cu media de 45, puteți vedea că există o posibilă problemă cu configurația IPS; poate a fost instalat un gateway cu o politică care nu a inclus un profil IPS.
Security Center
Security Center este o listă de defilare a protecțiilor disponibile împotriva noilor vulnerabilități. Legătura deschisă de lângă un element al Centrului de securitate vă duce la consultanța asociată punctului de verificare.
