Distribuovaný systém pro prevenci a reagování na průniky pro edge-to-core sítě a datová centra

Transkript

1 INTRUSION PREVENTION SYSTEM (IPS) systém prevence průniků Distribuovaný systém pro prevenci a reagování na průniky pro edge-to-core sítě a datová centra O produktu Eliminace hrozeb využívající stávajících investic do sítě In-line instalace prevence průniků pro zajištění vysokého zabezpečení v konkrétním místě Nasazení patentované Distribuované prevence průniků přináší automatizaci odezev na hrozby v reálném čase Nasazení detekce out-of-band průniků využívá několika technologií zásahů zároveň Forenzní nástroje pro rekonstrukci relací, jejichž cílem je zjednodušit zmírnění a řešení hrozeb Systém IPS (Intrusion Prevention System) od společnost Enterasys je jedinečný svou schopností shromažďovat důkazy o aktivitě útočníka, likvidovat přístup útočníka do sítě, a překonfigurovat síť tak, aby odolala technice útočníkova průniku. Systém IPS zastavuje útoky u zdroje hrozby a může proaktivně chránit proti budoucím hrozbám a zranitelným místům. Náš systém IPS nabízí velké množství detekčních funkcí, možnosti hostitelské a síťové instalace, celou řadu IPS zařízení a hladkou integraci s architekturou Enterasys Secure Networks. Využívá špičkovou, vysoce výkonnou vícevrstvou architekturu s technologií virtuálních senzorů, která je díky své rozšiřitelnosti schopna ochránit i největší podnikové sítě. Systém IPS je stěžejní komponentou architektury Secure Networks od společnosti Enterasys. Když je instalován ve spojení s produkty SIEM a ASM (Automated Security Manager) NMS, rovněž od Enterasys, usnadňuje automatickou identifikaci, určení místa, izolaci a nápravu hrozeb bezpečnosti. Systém IPS od společnosti Enterasys lze také hladce integrovat s produktem NAC (Network Access Control) od společnosti Enterasys pro monitorování chování v průběhu připojení od chvíle, kdy byl přístup do sítě povolen. Pokročilá in-line prevence proti průnikům (Intrusion Prevention) od firmy Enterasys je určena k blokování útočníků, ke zmírnění útoků DoS (Denial of Service), k zabránění krádeží informací a k zajištění bezpečnosti VoIP (Voice over IP) komunikace a přitom zůstává pro síť transparentní. Systém Enterasys IPS, který je postaven na naší několikrát oceněné - technologii prevence proti průnikům, může upozornit na útok, zničit problematické pakety, ukončit relaci pro útoky na bázi TCP a UDP a dynamicky zřídit firewall nebo pravidla zásad Secure Networks. Enterasys IPS využívá obsáhlé knihovny zranitelnosti a signatur na základě exploitů. Systém Distribuované prevence průniků (US Patent ) a omezení hrozeb od společnosti Enterasys může zastavit útočníka na zdrojovém fyzickém portu u většiny okrajových přepínačů od různých výrobců. Když jsou instalovány na okraji sítě přepínací produkty od společnosti Enterasys, je zajištěna mnohem detailnější viditelnost a kontrola na základě uživatelských a aplikačních zásad (politik). Aby bylo omezování hrozeb efektivní, je třeba zablokovat útočníkovu schopnost v pokračování útoku nebo zahájení nového útoku. Systém Distribuované prevence průniků od společnosti Enterasys identifikuje událost ohrožující bezpečnost, lokalizuje přesný fyzický zdroj události a zmírní hrozbu použitím Přínosy Rozšiřuje ochranu IPS na okraj sítě chrana síťových prostředků likvidací útočníkovy schopnosti pokračovat v útoku nebo zahájit nový útok Dynamické omezení útočníka v reálném čase omezuje dopad incidentu na bezpečnost Spolupracuje s přepínacími produkty pro okraj podnikové sítě od mnoha výrobců Chrání současné i budoucí sítě příští generace Ochrana před nově vznikajícími zranitelnými místy VoIP, Day Zero hrozbami a vyspělými útoky Denial of Service Poskytuje vysokou hodnotu a osvědčenou efektivitu při přenosové rychlosti 1 gigabit, několik gigabitů a 10 gigabitů Ochrana před průnikem a odezva na nejvyšší současné úrovni epřekonatelná detekce a omezení hrozeb, využívající důmyslné analýzy podpisů, aplikací, protokolů a analýzy chování Jedinečné možnosti instalace ochrany na základě hostitele nebo sítě Využívá vašich stávajících investic do infrastruktury a odborných znalostí v oboru IT. Připravenost chránit stávající infrastrukturu s pomocí výkonných konfiguračních nástrojů umožňujících vlastní nastavení a pokročilé řízení Nevyžaduje žádné masivní upgrady spolupracuje s vašimi stávajícími síťovými přepínači, routery, bezdrátovými přístupovými body a bezpečnostními zařízeními Naší prioritou je spokojenost našich zákazníků. Strana 1

2 vynutitelných zásad, které omezují rychlost šířky pásma, zásad karantény nebo jiných řídících prostředků na úrovni portů. Detekce průniků out of band kanálem je naprosto unikátní při zjišťování a reportování událostí ohrožujících bezpečnost, k nimž patří externí průniky, zneužití sítě, systémové exploity a šíření virů. Využívá v současné době nejsofistikovanější detekční technologie použitím celé řady metod, např. párování modelů zranitelnosti, analýzu protokolů a detekci na základě anomálií se specifickou podporou prostředí VoIP. Detekce událostí na základě aplikací detekuje útoky, jež nejsou založeny na signaturách, proti často napadaným aplikacím jako je HTTP, RPC a FTP. Senzory, které prevence průniků používá, se dodávají připravené k okamžitému použití a schopné snadného propojení s vaší stávající síťovou infrastrukturou a zabezpečovacími zařízeními. Prevence průniků od společnosti Enterasys se dodává s komplexní sadou předinstalovaných signatur, s dekodéry protokolu VoIP pro protokoly SIP, MGCP a H.323, a s pokročilou detekcí poškozených zpráv s cílem zabránit útokům DoS. Síťové senzory jsou zabezpečovací zařízení, jež nabízejí špičkové propracované forenzní funkce, včetně flexibilního zachycování paketů a kompletní rekonstrukce relace. Síťové senzory se spravují centrálně prostřednictvím serveru EMS (Enterprise Management Server). EMS zajišťuje správu konfigurace, monitorování stavu, živé aktualizace zabezpečení a zabezpečený zašifrovaný komunikační kanál. S cílem značného zvýšení výkonu využívají síťové senzory adaptivní srovnávací nástroj a vícevrstvou vykonávací aplikace. Protože senzory podporují použití mnoha detekčních algoritmů zároveň, optimalizují analýzu provozu s cílem stanovit převládající typ provozu. Při instalaci síťových senzorů mají bezpečnostní administrátoři širokou flexibilitu. Například, jeden ze senzorů může pracovat jako více virtuálních senzorů, z nichž každý je asociován s konkrétní sítí VLAN, vrstvou 3, portem s fyzickým přepínačem nebo aplikací na úrovni TCP / UDP. U každého virtuálního senzoru lze nakonfigurovat jedinečné zásady (politiky), které definují použité techniky analýzy a generované výstrahy. Síťové senzory umožňují důkladnou inspekci paketů v přenosových rychlostech 100 Mbps, 250 Mbps, 500 Mbps, 1 Gbps i několik gigabitů. Síťové senzory pro rychlost několika gigabitů jsou zařízení určená pro vysoce výkonná datová centra. Podporují přenosové rychlosti v řádu několika gigabitů a obsahují dva porty. Zařízení na dvou stojanech (2RU) nabízí možnosti síťové konektivity 10 GbE a 1 GbE. Gigabitové síťové senzory jsou zařízení určená pro datová centra s vysokým výkonem. Podporují přenosové rychlostí 1 Gbps a obsahují dva onboard porty plus dvě dvouportová optická nebo dvě dvouportová 10/100/1000 metalická rozhraní LAN. Síťové senzory GE500 podporují 500 Mbps přenosové rychlosti a obsahují dva onboard porty plus jedno dvouportové optické nebo jedno dvouportové 10/100/1000 metalické rozhraní LAN. Síťové senzory GE250 jsou zařízení pro oblastní pobočky a podobné provozovny. Podporují přenosové rychlosti 250 Mbps a obsahují dva onboard porty plus jedno dvouportové optické nebo jedno dvouportové 10/100/1000 metalické rozhraní LAN. Síťové senzory FE jsou zařízení pro oblastní pobočky a podobné provozovny. Podporují přenosové rychlosti 100 Mbps a obsahují dva onboard porty plus jedno dvouportové 10/100/1000 metalické rozhraní LAN. Ochrana proti hrozbám na hostiteli Hostitelské senzory od společnosti Enterasys jsou bezpečnostní aplikace, jež se používají k detekci útoků na síťový server v reálném čase. Detekce hostitelského průniku má obzvláště vysokou hodnotu v prostředích, kde jsou zavedena AES, SSL, IPsec nebo jiná šifrovací schémata, protože senzor analyzuje dekódovaná data. Hostitelské senzory Enterasys monitorují jednotlivé systémy, na kterých běží dnes nejběžnější operační systémy, a vyhledávají zlomyslnou nebo podezřelou aktivitu v reálném čase. Hostitelské senzory používají celou řadu technik k detekování útoků a zneužití, včetně analýzy protokolu událostí ohrožujících bezpečnost, kontroly integrity důležitých konfiguračních souborů, a kontroly ohrožení na úrovni jádra. Tento hybridní přístup pomáhá organizacím plnit požadavky dodržování předpisů a zákonů, jako např. PCI, HIPAA a Sarbanes-Oxley. Hostitelské senzory Enterasys provádějí následující funkce: Monitorují souborové atributy, jako jsou povolení k souborům, vlastník, skupina, hodnota, zvýšení velikosti, datum zkrácení a modifikace Kontrolou integrity souboru zjišťují, zda došlo ke změně obsahu kritických souborů Nepřetržitě analyzují logy událostí s pomocí signatur s cílem detekovat útoky a/nebo případy kompromitování Monitorují protokoly události Windows a zjišťují zneužití nebo útok Analýzou registru Windows vyhledávají atributy, k nimž by neměl být přístup a/nebo by se neměly modifikovat Provádějí detekci služby TCP/UDP pro ochranu proti službám používajícím back-door Monitorováním jádra zjišťují podezřelé eskalace privilegií a jiné známky kompromitování jádra jako jsou rootkity. Strana 2

3 Hostitelské senzory Enterasys podporují vývoj vlastních modulů s pomocí.net Framework od společnosti Microsoft. Díky tomu mohou využívat možnosti a flexibilitu.net Framework k přizpůsobení funkcí Enterasys podle svých potřeb. Nadstandardní modul hostitelského senzoru s názvem Web Intrusion Prevention System (Web IPS) chrání proti běžným útokům na webové servery Microsoft IIS a Apache. Ve spolupráci s hostitelským senzorem modul Web IPS poskytuje ochranu i přesto, že jeho provoz představuje pro systém minimální režii. Web IPS poskytuje prevenci proti hrozbám v případě celé řady útoků a může ukončit jednotlivé zlomyslné relace. Server pro řízení (Enterprise Management Server EMS) Server pro řízení EMS (Enterprise Management Server) od společnosti Enterasys nabízí - svou architekturou klient-server efektivní centralizovanou správu všech komponent, jež se dodávají se systémem Enterasys IPS. Server EMS zajišťuje služby reportování a správy pro veškerou instalovanou síť a hostitelské senzory. Ke službám správy patří binární upgrady, aktualizace signatur, aktualizace konfigurace a upozornění na události prostřednictvím u, Syslogu, OPSEC, SNMPv1/v3 a vlastních skriptů. Ke službám reportování patří výstrahy v reálném čase, forenzní funkce, trendová analýza a výkonné reportování. Distribuovaný systém IPS je dostupný díky Správce automatické bezpečnosti (Automated Security Manager) NMS od společnosti Enterasys. Průvodci konfigurací EMS a pravidla skupinových zásad zjednodušují konfiguraci sítě a hostitelských senzorů. Server EMS shromažďuje reporty o událostech z jednotlivých síťových a hostitelských senzorů. Může realizovat změny pravidel firewallů, konfiguraci přepínačů nebo routerů nebo provádět jiné zásahy, jejichž cílem je reagovat na útoky a zmírnit jejich dopad. Server EMS zajišťuje podrobné reportování a archivování událostí ohrožujících bezpečnost a činnost sítě. Tyto informace lze použít pro zjišťování dodržování předpisů, analýzu prověřovacích záznamů, forenzní vyšetřování a zjišťování trendů v reálném čase. Je také těsně integrován s řešením Security Information & Event Manager od firmy Enterasys, jež přináší výrazně vyšší kvalitu reportování. Procesor toku událostí Procesor toku událostí EFP (Event Flow Processor) je bezpečnostní zařízení, jež slouží k instalaci aplikace Ochrany proti průnikům v rámci velkých sítí. Procesory toku událostí jsou strategicky umístěny v síti tak, aby shromažďovaly údaje o událostech z mnoha síťových a hostitelských senzorů. Tyto údaje pak hlásí centralizovanému serveru pro řízení podniku (Enterprise Management Server). To je obzvlášť užitečné pro organizace, které mají mnoho vzdálených pracovišť s vysokým síťovým provozem. Certifikace a partnerské vztahy Systém prevence průniků od společnosti Enterasys získal certifikaci Common Criteria. Vyhodnocovací proces Common Criteria zajišťuje, že IT produkty splňují mezinárodní bezpečnostní normy. Tento program představuje partnerskou spolupráci veřejného a soukromého sektoru v USA a v Evropě, jejímž cílem je pomoci státním orgánům při výběru komerčních IT produktů, které splňují přísné bezpečnostní požadavky. Společnost Enterasys je účastníkem programu MAPP (Microsoft Active Protection Program). Tento program, jehož autorem je středisko MSRC (Microsoft Security Response Center), poskytuje podrobné informace o zranitelnosti dříve, než se mohou dostat na veřejnost. Díky tomu může náš výzkumný tým synchronizovat dostupnost příslušných podpisů se zprávami o zranitelnosti od společnosti Microsoft, a překlenout tak mezeru mezi těmito zprávami a instalací bezpečnostních oprav pro oddělení IT. Strana 3

4 Specifikace* Síťový Senzor 1U Appliance (Revision 5x appliances) Šasi Form Factor: 1U Rack Výška: 1.68 (4.27 cm) Šířka: (44.70 cm) Hloubka: (54.61 cm) Váha: ~ 26.0 lbs. (11.80kg) Napájení Jediný napájecí zdroj (345W) Prostředí Provozní teplota: 10 to 35 C (50 to 95 F) Provozní relativní vlhkost: 20% to 80% (non-condensing) with a maximum humidity gradation of 10% per hour Provozní maximální vibrace: 0.25 G s 0-Peak, HZ 1/2 Octaves/minute Provozní maximální šok: 31G, 2.6ms, 20inch/sec, bottom side Provozní nadmořská výška: -16 to 3048 m (-50 to 10,000 ft.) Teplota uskladnění: -40 to 65 C (-40 to 149 F) Relativní vlhkost uskladnění: 5% to 95% (non-condensing) Maximální vibrace při uskladnění: 1.54 GRMS min/side Maximální šok při uskladnění: 71G, 2ms, 35inch/sec, 6 sides; 32G, 2ms,270inch/sec, 6 sides Nadmořská výška uskladnění : -16 to 10,600 m (-50 to 35,000 ft.) Regulatory FCC Part 15 Class AEN , A1, A2: Current Harmonics EN : Voltage Flicker EN55022: 1998 and CISPR 22: 1997 Class A VCCI Class 1 MIC Class A BSMI EN55024: 1998 and CISPR 24: 1997 IEC : Electrostatic Discharge specification IEC : Radiated ImmunityIEC : EFT/Bursts Immunity IEC : Surge Immunity IEC : Conducted Immunity MHz IEC : Power Frequency H-Field IEC : Voltage Dips/Interrupts/Variations EN , First Edition: Standard for Information Technology Equipment - Safety-Part 1: General Requirements IEC , First Edition (2001) UL/CSA , First Edition: Standard for Information Technology Equipment -Safety-Part 1: General Requirements EK1-ITB 2000:2003: Ergonomics ISO 9241: VDT Ergonomic Requirements ZH1/618:GS-VW-SG7:1997: Ergonomics ISO : Ergonomic requirements for work with visual displays based on flat panels ISO 7779: Sound Pressure at Operator Position (Acoustics) *Specifications refer to Enterasys appliance revision 6A or higher unless otherwise noted. Enterasys reserves the right to substitute alternative hardware that meets or exceeds the specifications in this datasheet. Síťový Senzor 2U Appliance EMS s Dual Power 2U Appliance Šasi Form Factor: 2U Rack Výška: 3.4 (8.64cm) šířka: (44.31cm) without latches Hloubka: 26.8 (68.07cm) Váha: lbs (26.1 Kg), maximum configuration Napájení Dvojité napájení (570W) Prostředí Provozní teplota: 10º C to 35º C (50º F to 95º F) Teplota uskladnění: -40º C to 65º C (-40º F to 149º F) Provozní relativní vlhkost: 20% to 80% non-condensing Maximální gradient vlhkosti: 10% per hour, operational and nonoperational conditions. Relativní vlhkost uskladnění: 5% to 95% non-condensing Provozní nadmořská výška: -16 to 3,048m (-50 ft to 10,000 ft) Nadmořská výška uskladnění : -16m to 10,600m (-50 ft to 35,000 ft) Agency and Regulatory Standard Specifications Safety: UL , CSA , EN , and IEC , NOM EMC: FCC Part 15 (Class A), ICES-003 (Class A), BSMI, KCC, VCCI V-3, AS/NZS CISPR 22 (Class A), EN (Class A), EN 55024, EN , EN EMS with Dual Power 1U Appliance Šasi Form Factor: 1U Rack Výška: 1.68 (4.26cm) Šířka: (42.4cm) without rack latches Hloubka: 30.4 (77.2cm) Váha: 39 lbs (17.7 Kg), maximum configuration Power Duální napájení (502W) Prostředí Provozní teplota: 10º C to 35º C (50º F to 95º F) Teplota uskladnění: -40º C to 65º C (-40º F to 149º F) Provozní relativní vlhkost: 20% to 80% non-condensing Maximální gradient vlhkosti: 10% per hour, operational and nonoperational conditions. Relativní vlhkost uskladnění: 5% to 95% non-condensing Provozní nadmořská výška: -16 to 3,048m (-50 ft to 10,000 ft) Nadmořská výška uskladnění: -16m to 10,600m (-50 ft to 35,000 ft) MsanPiN : Interstate Sanitary rules and norms (Acoustics) Strana 4

5 Informace pro objednání Strana 5

6 Volitelné síťové karty pro IPS ** Vyžaduje aspoň jednu IDS nebo IPS senzor. Záruka Jako společnost, pro kterou je zákazník v centru jejího zájmu, dodává společnost Enterasys co nejlepší možné provedení a design ve spektru svých produktů. Pro případ, že některý z našich produktů bude mít závadu z důvodů poruchy jednoho z těchto faktorů, jsme vyvinuli komplexní záruku, která vás chrání a poskytuje vám jednoduchý způsob, jak si necháte svůj produkt co nejrychleji opravit. Enterasys IDP řešení se dodává s roční zárukou pro případy výrobních závad. Kompletní záruční podmínky jsou uvedeny na webových stránkách: warranty.aspx. Servis a podpora Enterasys Networks poskytuje kvalitní nabídku služeb od profesionálních služeb, design, nasazení a optimalizaci zákaznických sítí, specializovaná technická školení, až po podporu šitou na míru pro individuální zákazníky. Pro více informací ohledně Enterasys servisu a podpory, prosím kontaktujte svého zástupce Enterasys Kontaktujte nás Pro více informací nás navštivte na webových stránkách Enterasys Networks, Inc. Všechna práva rezervována. Enterasys je registrovanou obchodní značkou. Secure Networks je obchodní značka Enterasys Networks. Všechny ostatní produkty nebo služby zde odkazované jsou identifikovatelné obchodními značkami či servisními značkami příslušných společností či organizací. Upozornění: Enterasys Networks si vyhrazuje právo měnit specifikace bez předchozího upozornění. Prosím kontaktujte obchodního zástupce či partnera pro potvrzení aktuálního stavu. 04/10 Strana 6