Innowacyjny moduł wykrywania i blokowania włamań (IPS)
NETASQ po raz kolejny udowadnia, że jest w stanie wyznaczać nowe standardy jeśli chodzi o zabezpieczanie przed niepożądanym dostępem do wrażliwych zasobów sieci. Jako pierwszy na rynku zaprezentował moduł IPS, który może nie tylko zablokować podejrzany kod HTML, ale również oczyścić go z zagrożeń i udostępnić użytkownikowi. Usuwanie zagrożeń ze stron internetowych (HTML) zamiast ich prostego blokowania, jak w przypadku innych IPSów, oszczędzi administratorowi problemów z niedziałającymi stronami internetowymi, z których chcą korzystać użytkownicy. Biorąc pod uwagę, jak duży procent całego ruchu sieciowego stanowi ruch webowy, łatwo sobie uświadomić, jak pomocny może być w sieci tak działający moduł IPS.
Porównaj architekturę klasycznego urządzenia UTM z
architekturą urządzeń NETASQ UTM z technologią ASQ.
System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków ASQ.
Technologia ASQ (Active Security Qualification) bazuje na tzw. kontekstowej analizie ruchu przechodzącego przez urządzenie, która dokonywana jest bezpośrednio w jądrze systemu operacyjnego (kernel mode), a nie, jak to jest w przypadku innych urządzeń UTM, w trybie proxy (proxy mode). Możliwość prowadzenia analizy w trybie kernel mode
pozwala osiągnąć niespotykaną w innych urządzeniach UTM szybkość działania, niezależną od liczby uruchomionych serwisów czy zdefiniowanych w danym momencie reguł.
Analizie w poszukiwaniu zagrożeń i ataków poddawany jest cały ruch sieciowy
od trzeciej do siódmej warstwy modelu OSI. Stosowane są trzy podstawowe metody: analiza protokołów, analiza heurystyczna oraz sygnatury kontekstowe.
Analiza protokołów
Podczas
analizy protokołów kontrolowana jest zgodność ruchu sieciowego przechodzącego przez urządzanie ze
standardami RFC. Tylko ruch zgodny z tym standardem może zostać przepuszczony. Kontroli poddawane są nie tylko poszczególne pakiety, ale także połączenia i sesje. W ramach technologii ASQ dla poszczególnych typów ruchu sieciowego warstwy aplikacji opracowane zostały specjalne
plug-iny (wtyczki programowe) pracujące w trybie kernel-mode. Po wykryciu określonego typu ruchu (np. HTTP, FTP, SMTP, TELNET itp.) automatycznie
uruchamiany jest odpowiedni plug-in, który specjalizuje się w ochronie danego protokołu. Tym samym, rodzaj stosowanych zabezpieczeń jest w sposób dynamiczny dostosowywany do rodzaju przepływającego ruchu.
Analiza heurystyczna
W analizie heurystycznej podstawę stanowi statystyka oraz analiza zachowań. Na podstawie dotychczasowego ruchu i pewnych założeń dotyczących możliwych zmian określa się, czy dany ruch jest uznawany za dopuszczalne odchylenie od normy czy też powinien już zostać uznany za atak.
Sygnatury kontekstowe
Ostatni z elementów to systematycznie aktualizowane
sygnatury kontekstowe. Pozwalają na wykrycie znanych już ataków, które zostały sklasyfikowane i dla których zostały opracowane odpowiednie sygnatury. W tym przypadku zasadnicze znaczenie ma kontekst, w jakim zostały wykryte pakiety charakterystyczne dla określonego ataku - tzn. rodzaj połączenia, protokół, port. Wystąpienie sygnatury ataku w niewłaściwym dla tego ataku kontekście nie powoduje reakcji systemu IPS. Dzięki temu zastosowanie sygnatur kontekstowych pozwala na znaczne
zwiększenie skuteczności wykrywania ataków przy jednoczesnym ograniczeniu niemal do zera ilości fałszywych alarmów.
drukuj stronę
Materiały informacyjne