Firma Juniper Networks (NetScreen) wprowadza na rynek wersję 3.0 systemu zabezpieczeń NetScreen Intrusion Detection and Prevention (IDP). NetScreen-IDP
Firma Juniper Networks (NetScreen) wprowadza na rynek wersję 3.0 systemu zabezpieczeń NetScreen Intrusion Detection and Prevention (IDP).
NetScreen-IDP to pierwsze na rynku i obecnie najbardziej zaawansowane technicznie rozwiązanie aktywnej ochrony przed intruzami. Najnowsza wersja IDP 3.0 zawiera mechanizmy bezpieczeństwa, które wręcz „rewolucjonizują” tą klasę zabezpieczeń.
NetScreen-IDP 3.0 posiada zaimplementowany mechanizm Enterprise Security Profiler dostarczający administratorom zabezpieczeń szczegółowych informacji co dzieje się w systemie informatycznym firmy, m.in.:
* Security Profiler na bieżąco zbiera i automatycznie aktualizuje informacje na temat występujących w sieciach chronionych komputerów oraz zainstalowanych na nich aplikacjach. Nie są do tego celu wykorzystywane techniki skanowania, a jedynie przezroczysta analiza ruchu sieciowego.
System zabezpieczeń odczytuje i poddaje korelacji informacje z wielu, występujących różnych segmentach sieci sensorów IDP.
* Wykorzystując Security Profiler system zabezpieczeń IDP podnosi alarm w razie zauważenia nowych komputerów bądź aplikacji w sieciach chronionych. Dodatkowo administrator zabezpieczeń za pomocą dedykowanych graficznych narzędzi może sprawdzić jakie zmiany wystąpiły w sieci w określonym okresie czasu (m.in. nowe komputery, nowe aplikacje i otwarte porty). Dzięki temu może wykryć podłączony do sieci wewnętrznej komputer intruza, bądź zainstalowane aplikacje Backdoor/Trojan.
* Administrator zabezpieczeń IDP za pomocą Security Profiler może bez konieczności skanowania sieci dowiedzieć się jakie wersje aplikacji serwerów i stacji roboczych znajdują się w sieciach chronionych. Na tej podstawie może wykonać analizę podatności systemu informatycznego na znane błędy bezpieczeństwa oraz w razie zauważenia ataku zweryfikować, czy atakowany system jest na to zagrożenie podatny.
Opis techniczny NetScreen Security Profiler oraz wiele innych dokumentów nt. projektowania i wdrażania zabezpieczeń NetScreen można znaleźć na
stronie:
http://www.netscreen.pl/html/support.html
W systemie zabezpieczeń NetScreen-IDP występuje szereg innych narzędzi analitycznych, wspomagających administratorów w zakresie zarządzania bezpieczeństwem systemu informatycznego:
* Security Dashboard – konsola zabezpieczeń IDP w czasie rzeczywistym prezentuje w formie graficznych raportów stan bezpieczeństwa systemu informatycznego (m.in. jakie komputery były atakowane, jakie ataki przeprowadzono, kto wykonał ataki) oraz umożliwia stałe „śledzenie”
podejrzanych obiektów – intruzów oraz chronionych komputerów.
* Violation Objects Manager – administrator zabezpieczeń IDP ma możliwość zdefiniowania zasad normalnej pracy systemu informatycznego i otrzymywania alarmów o naruszeniach przyjętej polityki bezpieczeństwa firmy (np. wykorzystywanie przez określonych pracowników niedozwolonych aplikacji).
* Log Investigator – dane odczytywane z wielu sensorów IDP są poddawane w czasie rzeczywistym korelacji i analizie. Administrator zabezpieczeń IDP bez konieczności generowania raportu z logów historycznych może dowiedzieć się kto wykonywał ataki na określone zasoby w sieciach chronionych, ile takich zdarzeń wystąpiło w określonym czasie oraz jakie ataki i błędy bezpieczeństwa zostały przez intruzów wykorzystane.
* Report Manager – konsola zarządzająca IDP w formie graficznej prezentuje tworzone w czasie rzeczywistym zestawienia i statystyki (m.in. najczęściej wykonywane ataki, najczęstsze źródła ataków, najczęstsze cele ataków). Agregacja, korelacja i analiza rejestrowanych zdarzeń oraz prezentacja informacji o wykrywanych naruszeniach bezpieczeństwa odbywa się w czasie rzeczywistym. Administratorzy mają do dyspozycji ponad 20 predefiniowanych raportów. W razie potrzeby mogą definiować własne raporty.
* Packet Viewer – konsola zabezpieczeń IDP zawiera graficzne narzędzia umożliwiające przeglądanie zawartości pakietów, w których zidentyfikowane zostały ataki. IDP umożliwia rejestrowanie określonej liczby pakietów przed oraz po wystąpieniu ataku w celu dokładnej analizy całości zdarzenia. Oprócz narzędzi dostępnych w konsoli IDP zarejestrowany ruch może być także przeglądany i analizowany za pomocą innych dostępnych narzędzi (np. Ethereal).
System zabezpieczeń NetScreen IDP oprócz przedstawionych powyżej narzędzi do zarządzania bezpieczeństwem posiada także wiele innych narzędzi, unikalnych w klasie zabezpieczeń Network IPS. Do podstawowych z nich można zaliczyć:
* Security Policy Editor – polityka bezpieczeństwa IDP składa się ze zbioru reguł jednoznacznie określających zasady funkcjonowania zabezpieczeń (m.in. chronione zasoby systemu informatycznego, rodzaje i źródła zagrożeń, reakcję zabezpieczeń na te ataki). Definiowanie reguł odbywa się za pomocą graficznego edytora polityki bezpieczeństwa. Reguły polityki bezpieczeństwa automatycznie instalują odpowiednie sygnatury ataków na sensorach IDP.
* Signature Editor – administratorzy IDP mogą za pomocą graficznego edytora definiować własne sygnatury ataków i innych zdarzeń. System zabezpieczeń IDP posiada otwarty format sygnatur (open signature format). Sygnatury definiowane są z wykorzystaniem powszechnie stosowanej notacji wyrażeń regularnych (regular expressions).
* Backdoor Detection – system zabezpieczeń IDP analizuje ruch sieciowy w oparciu o bazę sygnatur (ponad 2,500 rekordów) oraz z wykorzystaniem technik heurystycznych w celu identyfikowania połączeń Backdoor i Trojan. Wykrywane są sesje interakcyjne specyficzne dla połączeń do aplikacji Backdoor i Trojan.
* Network Honeypot – system zabezpieczeń IDP przeciwdziała technikom rozpoznawania systemów operacyjnych (TCP/IP Fingerprint) z zastosowaniem mechanizmów ochrony typu Honeypot (tzn. prezentowania intruzom nieprawdziwych informacji o dostępnych serwisach).
System zabezpieczeń NetScreen-IDP charakteryzuje się dużą skalowalnością i elastycznością wdrożenia. W zależności od potrzeb sensory IDP działają w trybie in-line (bridge lub router) oraz sniffer (tzn. urządzenie zabezpieczeń nasłuchuje ruch sieciowy). Urządzenia IDP mogą zostać wyposażone w wiele portów Fast Ethernet i Gigabit. Obsługują także sieci wirtualne VLAN (802.1Q Tagging). Jedno urządzenie IDP może zostać podzielone na wirtualne moduły IDP, które poddają kontroli w trybie in-line lub sniffer wiele oddzielnych segmentów sieci (np. sieć LAN i DMZ). Praca w konfiguracjach klastrowych zapewnia odporność zabezpieczeń IDP na awarie oraz podwyższa ich wydajność. Wdrożenie konfiguracji HA nie wymaga zakupu dodatkowych urządzeń.
NetScreen-IDP 3.0 został poddany rygorystycznym testom przez NSS Group, gdzie wykazał 100% skuteczność zabezpieczeń oraz odporność na techniki oszukiwania zabezpieczeń. Juniper Networks (NetScreen) według najnowszego raportu firmy Gartner jest obecnie niekwestionowanym liderem rynku zabezpieczeń sieciowych.