Aktualności
21 maja 2004
Firma Juniper Networks (NetScreen) wprowadza na rynek wersję 3.0 systemu zabezpieczeń NetScreen Intrusion Detection and Prevention (IDP). NetScreen-IDP to pierwsze na rynku i obecnie najbardziej zaawansowane technicznie rozwiązanie aktywnej ochrony przed intruzami. Najnowsza wersja IDP 3.0 zawiera mechanizmy bezpieczeństwa, które wręcz "rewolucjonizują" tą klasę zabezpieczeń. NetScreen-IDP 3.0 posiada zaimplementowany mechanizm Enterprise Security Profiler dostarczający administratorom zabezpieczeń szczegółowych informacji co dzieje się w systemie informatycznym firmy, m.in.: * Security Profiler na bieżąco zbiera i automatycznie aktualizuje informacje na temat występujących w sieciach chronionych komputerów oraz zainstalowanych na nich aplikacjach. Nie są do tego celu wykorzystywane techniki skanowania, a jedynie przezroczysta analiza ruchu sieciowego. System zabezpieczeń odczytuje i poddaje korelacji informacje z wielu, występujących różnych segmentach sieci sensorów IDP. * Wykorzystując Security Profiler system zabezpieczeń IDP podnosi alarm w razie zauważenia nowych komputerów bądź aplikacji w sieciach chronionych. Dodatkowo administrator zabezpieczeń za pomocą dedykowanych graficznych narzędzi może sprawdzić jakie zmiany wystąpiły w sieci w określonym okresie czasu (m.in. nowe komputery, nowe aplikacje i otwarte porty). Dzięki temu może wykryć podłączony do sieci wewnętrznej komputer intruza, bądź zainstalowane aplikacje Backdoor/Trojan. * Administrator zabezpieczeń IDP za pomocą Security Profiler może bez konieczności skanowania sieci dowiedzieć się jakie wersje aplikacji serwerów i stacji roboczych znajdują się w sieciach chronionych. Na tej podstawie może wykonać analizę podatności systemu informatycznego na znane błędy bezpieczeństwa oraz w razie zauważenia ataku zweryfikować, czy atakowany system jest na to zagrożenie podatny. Opis techniczny NetScreen Security Profiler oraz wiele innych dokumentów nt. projektowania i wdrażania zabezpieczeń NetScreen można znaleźć na stronie: http://www.netscreen.pl/html/support.html W systemie zabezpieczeń NetScreen-IDP występuje szereg innych narzędzi analitycznych, wspomagających administratorów w zakresie zarządzania bezpieczeństwem systemu informatycznego: * Security Dashboard - konsola zabezpieczeń IDP w czasie rzeczywistym prezentuje w formie graficznych raportów stan bezpieczeństwa systemu informatycznego (m.in. jakie komputery były atakowane, jakie ataki przeprowadzono, kto wykonał ataki) oraz umożliwia stałe "śledzenie" podejrzanych obiektów - intruzów oraz chronionych komputerów. * Violation Objects Manager - administrator zabezpieczeń IDP ma możliwość zdefiniowania zasad normalnej pracy systemu informatycznego i otrzymywania alarmów o naruszeniach przyjętej polityki bezpieczeństwa firmy (np. wykorzystywanie przez określonych pracowników niedozwolonych aplikacji). * Log Investigator - dane odczytywane z wielu sensorów IDP są poddawane w czasie rzeczywistym korelacji i analizie. Administrator zabezpieczeń IDP bez konieczności generowania raportu z logów historycznych może dowiedzieć się kto wykonywał ataki na określone zasoby w sieciach chronionych, ile takich zdarzeń wystąpiło w określonym czasie oraz jakie ataki i błędy bezpieczeństwa zostały przez intruzów wykorzystane. * Report Manager - konsola zarządzająca IDP w formie graficznej prezentuje tworzone w czasie rzeczywistym zestawienia i statystyki (m.in. najczęściej wykonywane ataki, najczęstsze źródła ataków, najczęstsze cele ataków). Agregacja, korelacja i analiza rejestrowanych zdarzeń oraz prezentacja informacji o wykrywanych naruszeniach bezpieczeństwa odbywa się w czasie rzeczywistym. Administratorzy mają do dyspozycji ponad 20 predefiniowanych raportów. W razie potrzeby mogą definiować własne raporty. * Packet Viewer - konsola zabezpieczeń IDP zawiera graficzne narzędzia umożliwiające przeglądanie zawartości pakietów, w których zidentyfikowane zostały ataki. IDP umożliwia rejestrowanie określonej liczby pakietów przed oraz po wystąpieniu ataku w celu dokładnej analizy całości zdarzenia. Oprócz narzędzi dostępnych w konsoli IDP zarejestrowany ruch może być także przeglądany i analizowany za pomocą innych dostępnych narzędzi (np. Ethereal). System zabezpieczeń NetScreen IDP oprócz przedstawionych powyżej narzędzi do zarządzania bezpieczeństwem posiada także wiele innych narzędzi, unikalnych w klasie zabezpieczeń Network IPS. Do podstawowych z nich można zaliczyć: * Security Policy Editor - polityka bezpieczeństwa IDP składa się ze zbioru reguł jednoznacznie określających zasady funkcjonowania zabezpieczeń (m.in. chronione zasoby systemu informatycznego, rodzaje i źródła zagrożeń, reakcję zabezpieczeń na te ataki). Definiowanie reguł odbywa się za pomocą graficznego edytora polityki bezpieczeństwa. Reguły polityki bezpieczeństwa automatycznie instalują odpowiednie sygnatury ataków na sensorach IDP. * Signature Editor - administratorzy IDP mogą za pomocą graficznego edytora definiować własne sygnatury ataków i innych zdarzeń. System zabezpieczeń IDP posiada otwarty format sygnatur (open signature format). Sygnatury definiowane są z wykorzystaniem powszechnie stosowanej notacji wyrażeń regularnych (regular expressions). * Backdoor Detection - system zabezpieczeń IDP analizuje ruch sieciowy w oparciu o bazę sygnatur (ponad 2,500 rekordów) oraz z wykorzystaniem technik heurystycznych w celu identyfikowania połączeń Backdoor i Trojan. Wykrywane są sesje interakcyjne specyficzne dla połączeń do aplikacji Backdoor i Trojan. * Network Honeypot - system zabezpieczeń IDP przeciwdziała technikom rozpoznawania systemów operacyjnych (TCP/IP Fingerprint) z zastosowaniem mechanizmów ochrony typu Honeypot (tzn. prezentowania intruzom nieprawdziwych informacji o dostępnych serwisach). System zabezpieczeń NetScreen-IDP charakteryzuje się dużą skalowalnością i elastycznością wdrożenia. W zależności od potrzeb sensory IDP działają w trybie in-line (bridge lub router) oraz sniffer (tzn. urządzenie zabezpieczeń nasłuchuje ruch sieciowy). Urządzenia IDP mogą zostać wyposażone w wiele portów Fast Ethernet i Gigabit. Obsługują także sieci wirtualne VLAN (802.1Q Tagging). Jedno urządzenie IDP może zostać podzielone na wirtualne moduły IDP, które poddają kontroli w trybie in-line lub sniffer wiele oddzielnych segmentów sieci (np. sieć LAN i DMZ). Praca w konfiguracjach klastrowych zapewnia odporność zabezpieczeń IDP na awarie oraz podwyższa ich wydajność. Wdrożenie konfiguracji HA nie wymaga zakupu dodatkowych urządzeń. NetScreen-IDP 3.0 został poddany rygorystycznym testom przez NSS Group, gdzie wykazał 100% skuteczność zabezpieczeń oraz odporność na techniki oszukiwania zabezpieczeń. Juniper Networks (NetScreen) według najnowszego raportu firmy Gartner jest obecnie niekwestionowanym liderem rynku zabezpieczeń sieciowych.