Biuro Rachunkowe COMMERCIAL rachunkowość  informatyka                                   

                  Home ] Up ] Zapytanie ] O nas ] Kontakt ] Prasa ] Software ] DELL ] Usługi ]  [ Sklep ]                              

 

 

 

 

 

 

 

        

NETKEEPER - INTRUSION  PREVENTION SYSTEM   podstawowe funkcje

 

NetKeeper AIDP (Advanced Intrusion Detection & Prevention) autorstwa firmy BroadWeb to sprzętowe rozwiązanie Intrusion Detection & Prevention chroniące sieć firmową przed atakami z Internetu. Jest to niezbędne uzupełnienie ochrony firewallowej.  

 

  • zapobiega włamaniom
  • eliminuje wirusy sieciowe
  • odpiera ataki typu DoS / DDoS
  • blokuje komunikatory i połączenia P2P
  • pozwala na tworzenie oddzielnych reguł dla różnych grup

NETKEEPER - INTRUSION PREVENTION SYSTEM  opis urządzenia

 

 

Powszechnie stosowane systemy firewallowe, przy obecnej różnorodności i wyrafinowaniu ataków przychodzących z Internetu, nie zawsze mogą zapewnić wystarczającą ochronę. Powstałą lukę wypełniają systemy Network Intrusion Detection and Prevention. Pozwalają one skutecznie przeciwstawić się takim zagrożeniom jak ataki Denial of Service (DoS), Distributed Denial of Service (DDoS) oraz wielu innych typów, powstrzymać rozprzestrzenianie się wirusów oraz robaków internetowych, zablokować niepożądane połączenia typu Peer-to-Peer oraz programy typu Instant Messenger, powstrzymać spam oraz blokować dostęp do wybranych stron internetowych.

Ograniczone możliwości systemów firewallowych wynikają z faktu, że nie są one zdolne do skutecznej analizy pakietów powyżej czwartej warstwy systemu OSI (Open System Interconnection) tzw. transport layer, co powoduje, że wiele typów ataków jest przez firewalle przepuszczanych. W przypadku systemu firewallowego ograniczamy się do blokowania poszczególnych protokołów oraz portów, które mogą być wykorzystane przez atakujący program. Oznacza to konieczność zamknięcia wszystkich portów, które mogą być wykorzystane do przeprowadzenia ataku a tym samym staną się one także niedostępne dla "legalnego" ruchu. Jest to zatem metoda bardzo restrykcyjna a przy tym niewystarczająco skuteczna.

W przypadku NetKeeper AIDP inspekcja przechodzących przez urządzenie pakietów dokonywana jest na poziomie warstwy czwartej (transport layer) oraz na poziomie warstwy siódmej (application layer). Pozwala to na skuteczne rozróżnienie pakietów wrogich aplikacji od pakietów zwykłych programów użytkowych, co bez analizy na poziomie warstwy siódmej nie jest możliwe.

Metody wykorzystywane do wykrywania ataku

 

Wykrywanie anomalii

Najczęściej stosowaną techniką wykrywania anomalii jest metoda statystyczna, polegająca na porównywaniu chwilowego ruchu w sieci do tzw. ruchu normalnego. Jej słabością jest podatność na błędy związane z chwilowym gwałtownym wzrostem ilości legalnego ruchu w sieci oraz z błędami związanymi z ustalaniem poziomu odniesienia oraz progu, powyżej którego włączany jest alarm. Z drugiej strony jest to metoda pozwalająca na wykrycie nowych typów ataków, których sygnatury nie zostały jeszcze zidentyfikowane. Jest to metoda najczęściej wykorzystywana do wykrywania ataków typu DDoS. Typowe systemy firewallowe oraz systemy IDS (Intrusion Detection System) rozpoznają atak DDoS właśnie na podstawie nagłego wzrostu ruchu przychodzącego. W chwili, gdy ilość przychodzących danych gwałtownie przekracza ustalony pułap, włączany jest alarm. NetKeeper AIDP w takim przypadku sprawdza dodatkowo pakiety kontrolne docierające wraz z danymi i na ich podstawie blokuje komunikację ze źródłem ataku. Dzięki tego typu działaniom możliwe jest zablokowanie całego szeregu ataków takich jak SYN Flooding, TCP Flooding, ICMP Flooding, UDP Flooding, IGMP Flooding, UDP Smurfing, ICMP Smurfing, Port Scan oraz pakiety Bad IP.

NetKeeper AIDP poza klasyczną metodą porównywania ilości ruchu w danej chwili do poziomu odniesienia stosuje także bardziej szczegółowe metody jak Protocol Anomaly Detection (analiza statystyczna dotycząca poszczególnych protokołów), Port Scan Detection (informacje statystyczne dotyczące skanowania portów) oraz Fragmented Packet Reassemble Detection (detekcja przypadków fragmentacji pakietów). Ich zastosowanie pozwala na wyeliminowanie większości przypadków fałszywych alarmów powodowanych przez metody statystyczne.

Identyfikacja ataków na postawie sygnatur

Drugą metodą, wykorzystywaną przez NetKeeper AIDP, jest metoda identyfikacji ataków na podstawie ich sygnatur. Jest to metoda zbliżona koncepcyjnie do metod stosowanych w programach antywirusowych. Przechodzący przez NetKeeper AIDP ruch jest porównywany z bazą sygnatur znanych ataków. W przypadku wykrycia ataku, jego źródło jest blokowane. Baza sygnatur jest systematycznie aktualizowana przez producenta urządzenia. Dzięki zastosowaniu metody identyfikacji sygnatur możliwe jest blokowanie nie tylko typowych ataków hackerskich, ale także większości koni trojańskich, robaków oraz wirusów internetowych na znacznie wcześniejszym etapie, niż robią to typowe programu antywirusowe. Istotne jest podkreślenie faktu, że w przypadku urządzenia NetKeeper AIDP użytkownik ma także możliwość uzupełnienia bazy o własne sygnatury ataków. Oczywistą wadą tej metody jest uzależnienie jej skuteczności od aktualności wykorzystywanej bazy sygnatur.

 

Definiowanie polityk (reguł)

NetKeeper AIDP pracuje w oparciu o system polityk (reguł) określających, jaki rodzaj ruchu powinien być traktowany jako atak, jaka powinna być reakcja na poszczególne rodzaje ataków. Urządzenie posiada ponad 1.700 predefiniowanych polis. Dotyczą one ochrony określonych systemów operacyjnych (Windows 95/98, Windows NT/2000XP, Linux FreeBSD, Solaris, SGI itp.), określonych urządzeń sieciowych oraz aplikacji używanych w sieci (bind, sendmail, MS Exchange itp.). W zależności od konkretnej konfiguracji sieci i wymaganego poziomu bezpieczeństwa administrator sieci może wybrać określony zestaw. Wstępnie zestawy polityk podzielone są według poziomu ryzyka, jakie nieść mogą  poszczególne ataki. Wybierając określony zestaw, wybieramy mniej lub bardziej restrykcyjną politykę ochrony sieci. Podobnie jak w przypadku sygnatur, administrator ma możliwość zdefiniowania własnych polis (reguł) bezpieczeństwa - wymaga to jednak dogłębnej znajomości sieci oraz polityki bezpieczeństwa firmy.

Instalacja w sieci

 

NetKeeper AIDP jest urządzeniem transparentnym z trójwarstwową strukturą administracyjną. Warstwę pierwszą stanowią same urządzenia NetKeeper AIDP, drugą serwer polityk bezpieczeństwa oraz trzecią serwer zarządzający. Podłączenie urządzenia NetKeeper AIDP do sieci nie wymaga zmiany jej struktury.

 

SPECYFIKACJA TECHNICZNA:

 

     
  • Sesje równoległe: 10.000 - 500.000
  • Przepustowość: 30 - 800 Mbps
  • Praca w trybie: In-Line, Monitor, Bypass
  • ACL-based firewall policy:
    • layer 4 Access Control (TCP/UDP/ICMP/IGMP)
    • dwukierunkowość skanowania (LAN to WAN; WAN to LAN)
  • Intrusion Detection and Prevention System  
    • ponad 1.700 sygnatur
  • Wielopoziomowa analiza anomalii sieciowych
  • Aktywna filtracja niebezpiecznych pakietów TCP/UDP/ICMP/IGMP oraz resetowanie połączeń TCP
  • Ochrona w czasie rzeczywistym systemu operacyjnego urządzenia
  • Obsługa Unlimited VLAN Tagging
  • Konfiguracja parametrów dopasowująca urządzenie do środowiska sieciowego
  • Możliwość zdefiniowania wzorców ataków, sygnatur i polityki bezpieczeństwa przez użytkownika
  • Obsługa Stealth Mode
  • Obsługa SNMP
  • Java Graphical User Interface:
    • szczegółowy monitoring zdarzeń w czasie rzeczywistym
    • skuteczna identyfikacja ataku: adres źródłowy, adres docelowy, numery portów, protokoły, czas zdarzenia
    • alerty przesyłane na e-mail lub FTP
  • Automatyczna aktualizacja bazy sygnatur
  • Automatyczna aktualizacja Kernela
  • Konfiguracja oprogramowania - w oparciu o Bypass Function
 

       Home ] Up ] Zapytanie ] O nas ] Kontakt ] [Home] [Up] [Zapytanie] [O nas] [Kontakt] [ Sklep ]         

Copyright © 2006 Biuro Rachunkowe COMMERCIAL Kraków
Last modified: lutego 24, 2010