Обзор продукта ISS Proventia Network IPS
25 Aug 2009 | Автор: dd |Система предотвращения вторжений Proventia Network IPS является одним из самых востребованных решений, в области информационной безопасности, из продуктовой линейки ISS Proventia. Система IPS, являясь системой предотвращения вторжений, позволяет защитить сеть от потенциальных угроз, неправомерной активности, коллизий, а также уменьшить последствия от заражения систем сетевыми червями, спам-ботами, троянами и прочим интернет мусором, способным поставить под удар любую систему, как подключенную к глобальной сети интернет, так и не имеющую подключений к публичным сетям. Решение от компании ISS является одним из лучших решений, представленных в сегменте IPS продуктов.
Одной из наиболее важных функциональных особенностей системы Proventia Network IPS является контекстный анализатор. Система мониторит и идентифицирует не зашифрованные персональные данные и другую потенциально конфиденциальную информацию. Анализатор изучает данные передаваемые через сеть с тем, чтобы выделить информацию, несущую в себе потенциальные риски, на основе 16 различных сигнатур. Система поддерживает более 10 различных протоколов, таких как различные messengers, http, irc, ftp, smb, smtp, pop3 и другие; также система способна проверять содержимое различных типов файлов: pdf, zip, gzip и другие.
Устройства Proventia используют технологию Protocol Analysis Module (PAM) для распознания и определения атак. Данный модуль анализирует сетевые протоколы и передаваемые данные. Обрабатывая полученные данные, PAM мгновенно информирует систему о происходящих событиях, подразделяя их на три категории:атака, аудит, статус.
Устройства Proventia Network IPS реализуют следующий функционал:
X-Force технология Virtual Patch protection (технология превентивной защиты, автоматически обновляющаяся и устанавливающая защитные механизмы для уязвимостей, еще до того как будет выпущен эксплоит );
Три типа работы устройства: Inline Protection (активное предотвращение вторжений, мониторинг трафика в-разрыв, блокирование атак и нежелательного трафика); Inline Simulation (имитация модели Inline Protection позволяющий отладить политики; предоставляют пассивный аллертинг, вместо блокировок); Passive Monitoring (обнаружение атак; мониторинг трафика аналогично устройству IDS, но также можно задействовать методику реагирования- блокировать), причем каждый режим можно назначить любой отдельной паре интерфейсов.
Динамические блокировки;
Поддержка правил фаервола (для блокировки или очистки соединения в случае обнаружения нежелательного трафика, правила задаются на основании интерфейсов, VLAN’ов, протоколов или IP адресов и портов отправителя/получателя);
Отклик карантина и блокировки;
Поддержка SNMP;
Технология fail-open (или fail-close)- закрывающая или открывающая прохождение трафика в случае выхода устройства из строя.
Устройства возможно использовать в режиме отказоустойчивости HA, как в режимах Active/Active, так и Active/Passive.
Система поддерживает несколько типов реакции на инцидент: log evidence (реакция при которой система записывает пакет вызвавший событие, для последующего просмотра действий злоумышленника); block (реакция по умолчанию, при которой система сбрасывает TCP сессию); ignore (одна из стандартных реакций, когда система, при обнаружении пакета, не производит никаких действий); информирование администратора по email; snmp реакция (когда на системе, при обнаружении атаки, запускаются механизмы управления по SNMP другими сетевыми устройствами); quarantine (блокировка троянов, червей и атак при их обнаружении); а также возможность задать специфическую реакцию, описанную в shell скрипте.
Proventia Network IPS реализует новейшие механизмы обнаружения и предотвращения атак, дополняя защиту сети, осуществляемую фаерволом и блокируя нежелательный трафик и сетевые атаки. Поскольку все проверки и блокировки происходят в режиме реального времени, то не происходит нарушений и прерываний легитимного трафика.
Обзор продукта ISS Proventia Network IPS,Теги: iss, IT безопасность