IPS - Ochrona przed atakami

Funkcje
Zarządzanie
Monitoring
Raportowanie
Modele
Przetestuj
Cennik

Wielofunkcyjne urządzenia NETASQ UTM wyposażone są w unikalną, stworzoną w laboratoriach firmy technologię wykrywania i blokowania ataków o nazwie ASQ (Active Security Qualification). Technologia ASQ oferuje wysoką wydajność jednocześnie zapewniając wysoki poziom bezpieczeństwa. Efektywność rozwiązania uzyskiwana jest dzięki analizie przesyłanych pakietów na poziomie jądra systemu operacyjnego o nazwie NETASQ Secured BSD (NS-BSD).

Analizie w poszukiwaniu zagrożeń i ataków poddawany jest cały ruch sieciowy od trzeciej do siódmej warstwy modelu OSI.

Wydajność NETASQ

Klasyczne rozwiązania UTM dodają system blokowania włamań do już istniejącej architektury firewalla (zapory ogniowej). W takich systemach IPS traktowany jest jako dedykowany moduł pośredniczący proxy. Tam kierowane są połączenia. Jaka jest tego wada? To rozwiązanie powoduje konieczność ponownego analizowania pakietów przez IPS oraz tworzenia kopii zapasowych danych przesyłanych między modułami w pamięci systemu operacyjnego. Wpływa to na czas w jakim pakiety poddawane są analizie. W konsekwencji system ASQ firmy NETASQ w konfrontacji z rozwiązaniami pozostałych producentów systemów IPS uzyskuje niespotykaną w innych urządzeniach UTM szybkość działania. Wydajność NETASQ nie jest zależna od liczby uruchomionych serwisów czy zdefiniowanych w danym momencie reguł.

Skuteczność IPS

Silnik IPS zapewnia również wysoką skuteczność w wykrywaniu zagrożeń dla firmowej sieci. Cały ruch na styku sieci lokalnej z siecią WAN skanowany jest przy pomocy trzech metod analizy:

  • analizy protokołu,
  • analiza heurystyczna,
  • sygnatury kontekstowe.

Analiza protokołu

Podczas analizy protokołów kontrolowana jest zgodność ruchu sieciowego przechodzącego przez urządzanie ze standardami RFC. Tylko ruch zgodny z tym standardem może zostać przepuszczony. Kontroli poddawane są nie tylko poszczególne pakiety, ale także połączenia i sesje. W ramach technologii ASQ dla poszczególnych typów ruchu sieciowego warstwy aplikacji opracowane zostały specjalne plug-iny (wtyczki programowe) pracujące w trybie kernel-mode. Po wykryciu określonego typu ruchu (np. HTTP, FTP, SMTP, TELNET itp.) automatycznie uruchamiany jest odpowiedni plug-in, który specjalizuje się w ochronie danego protokołu. Tym samym, rodzaj stosowanych zabezpieczeń jest w sposób dynamiczny dostosowywany do rodzaju przepływającego ruchu.

Analiza heurystyczna

W analizie heurystycznej podstawę stanowi statystyka oraz analiza zachowań. Na podstawie dotychczasowego ruchu i pewnych założeń dotyczących możliwych zmian określa się, czy dany ruch jest uznawany za dopuszczalne odchylenie od normy czy też powinien już zostać uznany za atak.

Sygnatury kontekstowe

Sygnatury kontekstowe pozwalają na wykrycie znanych już ataków, które zostały sklasyfikowane i dla których zostały opracowane odpowiednie sygnatury. W tym przypadku zasadnicze znaczenie ma kontekst, w jakim zostały wykryte pakiety charakterystyczne dla określonego ataku - tzn. rodzaj połączenia, protokół, port. Wystąpienie sygnatury ataku w niewłaściwym dla tego ataku kontekście nie powoduje reakcji systemu IPS. Dzięki temu zastosowanie sygnatur kontekstowych pozwala na znaczne zwiększenie skuteczności wykrywania ataków przy jednoczesnym ograniczeniu niemal do zera ilości fałszywych alarmów.