IDP- system wykrywania intruzów i aktywnej ochrony
NetScreen-IDP (dawniej OneSecure) to system
zabezpieczeń sieciowych realizujący zadania wykrywania intruzów oraz
w czasie rzeczywistym blokujący ataki. Należy do nowej kategorii
zabezpieczeń - Intrusion Detection and Prevention (IDP). IDP potrafi
skutecznie blokować ataki w odróżnieniu do zwykłych systemów IDS,
które nasłuchując sieć identyfikują zdarzenia w czasie gdy intruzi
wykonali już ataki na chronione zasoby i w praktyce nie są w stanie
ich zablokować. Nawet jeżeli zwykły IDS powiadomi o zdarzeniu
Firewall to jest to już po fakcie. System IDP funkcjonuje w trybie
in-line jako aktywna brama sieci, bezpośrednio na drodze przepływu
ruchu sieciowego.
System IDP wykrywa i blokuje
intruzów przed uzyskaniem dostępu do chronionych zasobów
IDP umożliwia wykrywanie prób skanowania, penetracji i włamań,
ataków typu Exploit (poziomu sieci i aplikacji), ataków
destrukcyjnych typu (D)DoS oraz innych technik stosowanych przez
hakerów. Jest pierwszym na rynku systemem wykorzystującym osiem
różnych metod detekcji ataków (m.in. Stateful Signatures, Anomaly
Detection, Network Honeypot, Spoofing Detection, Backdoor
Detection).
Do podstawowych własność IDP można
zaliczyć:
- Posiada w pełni trójwarstwową architekturę - sensory, serwer
zarządzania i interfejs GUI, umożliwiającą sprawne wdrożenie
zabezpieczeń i zarządzenie bezpieczeństwem sieci.
- Sensory IDP są dostarczane jako dedykowane, gotowe do
wdrożenia urządzenia Appliance. Przepływność urządzeń IDP wynosi
ponad 400 Mb/s.
- Sensory IDP mogą funkcjonować w trybie in-line (tzn. ruch
sieciowy przepływa przez urządzenie) oraz Sniffer (urządzenie
nasłuchuje ruch sieciowy). Tryb in-line zapewnia, że całość ruchu
jest analizowana przez IDP i nie ma zagrożenia „zgubienia”
pakietów przy większym obciążeniu sieci. Tryb pracy IDP ustala się
w konfiguracji.
- W trybie pracy in-line sensory IDP mogą zostać wdrożone jako
router lub bridge.
- Baza IDP zawiera ponad 1000 sygnatur. Baza ta jest często
aktualizowana przez producenta (min. raz w tygodniu). Nowe
sygnatury ataków są centralnie instalowane na sensory w sieci z
serwera zarządzania.
- Możliwość wykrywania nieprawidłowego działania, bądź
konfiguracji zabezpieczeń Firewall. Działanie jako uzupełniająca i
ubezpieczająca warstwa ochrony dla systemów Firewall.
- Szeroki zakres reakcji IDS na zdarzenia (m.in. zablokowanie
połączenia, reset sesji TCP, zarejestrowanie zdarzenia w logu,
alarm, powiadomienie E-Mail i SNMP). Administratorzy mają
możliwość definiowania własnych reakcji.
- IDP posiada otwarty format sygnatur. Administratorzy mogą
definiować własne sygnatury ataków i innych zdarzeń.
- Elastyczny wybór rozwiązania w zależności od potrzeb (wersje
10, 100 i 500)
- Certyfikat OSEC
- Polityka bezpieczeństwa składa się ze zbioru reguł.
Definiowanie reguł odbywa się za pomocą graficznego edytora
polityki bezpieczeństwa. Reguły automatycznie instalują
odpowiednie sygnatury na sensorach IDP.
- Konsola administratora IDP umożliwia tworzenie graficznych i
tekstowych raportów.
- Pomoc techniczna oraz szkolenia z produktu są dostępne w
Polsce.