Cети и коммуникации 

3com TippingPoint X505: IPS начального уровня для предприятия

версия для печати послать другу 0
|| Содержание статьи

Показать одной страницей

05.06.2006 00:05 Автор: TECHLABS Team

Концепция

Концепция IPS заключается в том, что она является симбиозом IDS (система обнаружения вторжений) и пакетного фильтра. Т. е. IPS может не только обнаруживать, но и самостоятельно пресекать злонамеренные действия.

В X505, помимо стандартного межсетевого экрана с богатыми настройками, содержится ещё и система обнаружения злонамеренной активности. Обнаружение производится путём анализа проходящего трафика на предмет наличия в нём т. н. цифровых сигнатур, наличие которых может указывать, например, на попытку взлома. При этом база с сигнатурами может постоянно обновляться через Интернет, что делает фильтрацию весьма эффективной.

Интересной возможностью продуктов TippingPoint является способность работать как в режиме маршрутизации (классический межсетевой экран), так и в прозрачном режиме, когда фильтрация производится путём перехвата кадров второго уровня и последующим их анализом уже внутри IPS. Разумеется, анализ уже захваченного кадра производится на всех уровнях от 2 до 7. В случае, если кадр признан доброкачественным, и его передача разрешена правилами фильтрации, он передаётся на соответствующий выходной интерфейс и покидает IPS.

Управление X505 осуществляется через специальный порт "Management". Тем самым реализуется концепция OOBM (управление по отдельной сети), которая позволяет существенно повысить безопасность сети за счёт того, что управление всеми сетевыми устройствами осуществляется по специальной сети, в которую обычные пользователи доступа не имеют.

Первоначальная настройка 

Первоначальная настройка производится через консольный порт, так что стоит иметь в виду необходимость наличия компьютера с интерфейсом RS232 на 9 контактов. 

После серии вопросов относительно настроек активируется веб-интерфейс, и дальнейшая настройка может осуществляться уже непосредственно через него. Обратите внимание, что веб-интерфейс работает только с Internet Explorer версии 6 или выше. 

IPS

3com

Самый важный пункт вынесен в самое начало. Как уже было сказано, IPS – основная отличительная особенность X505 от обычного межсетевого экрана.

Раздел IPS содержит фильтры, которые разделяются на несколько категорий для упрощения настройки:

3com

Для пакетов, на которых будут срабатывать фильтры, IPS может производить различные настраиваемые действия: 

3com

В меры по реакции, в частности, входят:

  • Ограничение скорости потока (может оказаться полезным для предотвращения DOS-атак);
  • Сброс сессии через TCP-reset, помещение атакующего IP в карантин;
  • Для целей постдиагностики X505 может выполнить трассировку маршрута до источника и сохранить результаты в лог;
  • Уведомление об обнаружении атаки.

Особого внимания заслуживают два действия: карантин и уведомление. В случае помещения IP-адреса, с которого обнаружена атака, в карантин пакеты с него блокируются, а пользователь, который с этого адреса пытается попасть в Интернет, получает настраиваемое сообщение. Разумеется, хакеру это сообщение будет ни к чему, но вот если IPS используется для защиты критических точек внутренней сети, то очень даже пригодится.

Функция уведомления поможет не только выслать сообщение об атаке на e-mail или консоль, но также сообщить о вторжении в систему SMS (которая приобретается отдельно). Система SMS – это дополнительное решение TippingPoint, которое позволяет, например, при обнаружении атаки с компьютера в локальной сети автоматически отключить его порт на коммутаторе. 

3com

Не секрет, что настройка системы защиты от атак – работа кропотливая и долгая. Чтобы ускорить процесс первоначальной настройки, X505 предлагает указать действия, основываясь на категории атак, тем самым, администратор может быстро настроить требуемые уровни безопасности не по каждому фильтру, а сразу по их категориям. 

3com

|| Комментарии на форуме 0
Оставить комментарий