TippingPoint UnityOne

Podobné dokumenty
Flow Monitoring & NBA. Pavel Minařík

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Odpov di na dotazy uchaze k ve ejné zakázce. 60/ Rozší ení související sí ové infrastruktury pro Projekt 159

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

Kybernetické hrozby - existuje komplexní řešení?

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Bezpečnostní analýzy provozu jako prevence před šířením virů a jiných útoků (IDPS)

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Není cloud jako cloud, rozhodujte se podle bezpečnosti

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

CISCO CCNA I. 8. Rizika síťového narušení

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

PB169 Operační systémy a sítě

FlowMon Monitoring IP provozu

Firewall, IDS a jak dále?

MS Outlook konektor. Každý jsme hlava na nco jiného. My jsme hlavy na IT. Miloslav Záleský Patrik Šolc Jan Matuš

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Co vše přináší viditelnost do počítačové sítě?

FlowMon Vaše síť pod kontrolou

Bezpečnostní projekt Případová studie

Firewall, IDS a jak dále?

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

12. Bezpečnost počítačových sítí

IPS a IDS. Martin Beránek. 17. března Martin Beránek (SSPŠ) IPS a IDS 17. března / 25

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Proč prevence jako ochrana nestačí? Luboš Lunter

Technické aspekty zákona o kybernetické bezpečnosti

Coupon Kaspersky Password Manager free software for windows 7 ]

ANECT, SOCA a bezpečnost aplikací

Základní škola Ddina Žukovského 580 Praha 6 Liboc , tel.: fax.: , dundera@zsdedina.

Free Kaspersky Password Manager website to download software for pc ]

Zákon o kybernetické bezpečnosti: kdo je připraven?

Téma bakalářských a diplomových prací 2014/2015 řešených při

Demilitarizovaná zóna (DMZ)

Detekce volumetrických útoků a jejich mi4gace v ISP

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Monitorování datových sítí: Dnes

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Zabezpečení v síti IP

Abstrakt. Abstract. Klíová slova. Keywords

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Flow monitoring a NBA

Budování sítě v datových centrech

Co se skrývá v datovém provozu?

Technická dokumentace a specifikace p edm tu koup

Routing & VPN. Marek Bražina

Průmyslový Ethernet. Martin Löw

Představení Kerio Control

IDS vs IPS. nenechte muže zemřít!! Miroslav Knapovsky 3Com senior systems engineer EMEA

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Otázky k státní závrené zkoušce v bakaláském studijním programu. Druhý okruh (VOŠIS)

Informaní systém katastru nemovitostí eské republiky

Daniela Lišková Solution Specialist Windows Client.

Analýza a zabezpečení počítačové sítě

Dalibor Kačmář

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

BEZPEČNOSTNÍ HROZBY 2015

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Well LP-388 VoIP telefon, 2x Eth. port, SIP, QoS

Efektivní řízení rizik

Bezpečná a efektivní IT infrastruktura

Aktivní bezpečnost sítě

Průvodce implementací aplikace Symantec Endpoint Protection Small Business Edition

DIPLOMOVÝ PROJEKT ELEKTRONICKÁ ZA ÍZENÍ PRO OSOBNÍ AUTOMOBILY

Komentáře CISO týkající se ochrany dat

Spolehlivá ochrana Bezpečnostní brány Úplné řešení Redukce nevyžádané pošty Řízení přenosového pásma Automatická detekce napadení

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Bezpečnost počítačových sítí Jan Závorka

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Síťová bezpečnost I. Základní popis zabezpečení 1. Úvod

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Převezměte kontrolu nad bezpečností sítě s ProCurve

Koncept BYOD. Jak řešit systémově? Petr Špringl

Administrační systém ústředen MD-110

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Úvod - Podniková informační bezpečnost PS1-2

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

DoS útoky v síti CESNET2

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Technická specifikace zařízení

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Xirrus Zajímavé funkce. Jiří Zelenka

Flow monitoring a NBA

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Kybernetické hrozby jak detekovat?

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Detekce anomálií v síťovém provozu, systémy prevence průniku. Jan Vaněk, IT Security & Business Continuity Services

Budování sítě v datových centrech

Transkript:

TippingPoint UnityOne TippingPoint UnityOne je bezpenostní produkt, jenž je schopen blokovat narušení podnikové sít ješt pedtím, než útok poškodí nebo znií pátení IT infrastrukturu. Jde o produkt s certifikací EAL2 z roku 2003 a adou ocenní odborných asopis a organizací. Co je TippingPoint a UnityOne? TippingPoint je samostatná divize spolenosti 3Com, stala se její souástí po akvizici v lednu 2005. UnityOne je unikátní bezpenostní produkt, schopný blokovat kybernetické narušení podnikové sít ješt ped tím, než útok nakazí, poškodí nebo znií pátení IT infrastrukturu. V souasné dob systémy UnityOne filtruje pes 2000 druh vir, erv, trojských ko, hybridních útok, datových a statistických anomálií, DoS a DDoS útok a chrání jednotlivé ásti podnikové infrastruktury. Navíc umožuje chránit výkon sít ízením Peer to Peer aplikací nebo omezením Spyware. O jeho kvalit svdí mimo jiné i to, že získal ocenní Best Security Solution for 2005 od SC Magazinu a zárove je to jediný IPS/IDS produkt, který získal ocenní Gold Award v testu agentury NSS. Bezpenostní situace Nedávný przkum spolenosti Van Dyke Software mezi spolenostmi, jejichž systémy byly njakým zpsobem narušeny, ukázal, že nejvtším zdrojem narušení byly viry (78% spoleností), vnjší nepátelské prniky do systém (50%), DoS útoky (40%), vnitní narušení (29%), spoofing (28%), datová nebo síová sabotáž (20%) a neoprávnné prniky zevnit sít (16%). A to pesto, že drtivá vtšina spoleností používala vstupní firewall v perimetru sít. Problémem je, že mnoho útok dokáže využít nedostatky v protokolech, které mají prostupovat vstupním firewallem a maskovat útok do užiteného provozu. asto jsou rovnž zneužívány vystavené webové servery, na kterých si útoník pipraví základnu pro další útoky. Navíc firewall v perimetru nedokáže zabránit útokm z vnitní ásti sít a zavleeným virm, jak ukazují nedávná hromadná rozšíení erv Slammer nebo Blaster ve velkých organizacích. K emu je IPS? TippingPoint UnityOne patí k tzv. síovým IPS systémm (Intrusion Prevention System, sytém pro detekci a prevenci prnik), který se vazuje do datové cesty (In-Line), aby odfiltroval škodlivý provoz. Jakmile IPS systém detekuje škodlivý paket, zapíše jej do logu a

zahodí tento paket a všechny následující pakety datového toku, náležející k škodlivému paketu. Díky tomu UnityOne odstraní z datového toku napíklad všechny souásti probíhajícího Denial Of Service útoku, aniž by ml jakýkoliv vliv na probíhající užitenou datovou komunikaci. Zde je významný rozdíl oproti IDS systémm (Intrusion Detection Systém), které nebezpený provoz pouze DETEKUJÍ, ale neodstraní jej z datového toku. UnityOne provádí kompletní inspekci paket až po 7.(aplikaní) vrstvu a istí internetový nebo intranetový provoz od vir, erv, trojských koní, chrání vnitní sí ped útoky typu DoS (Denial of Service), DDoS (Distributed Denial of Service), ped útoky využívajícími otevených zadních vrátek, škodlivými aplikacemi kradoucími pásmo i ped rznými smíšenými útoky. UnityOne lze nasadit jako univerzální síovou záplatu, která umožní oddálit nebo úpln nahradit instalaci záplat na jednotlivé stanice a servery s nároným testováním kompatibility aplikací, protože UnityOne probíhající útok na servery i stanice z datového toku odstraní. UnityOne chrání síovou infrastrukturu blokováním útok proti routerm, pepínam, DNS serverm a dalším. UnityOne IPS s unikátním paralelním zpracováním filtr disponuje vynikajícími výkonovými parametry s minimálním zpoždním, které umožuje in-line nasazení. Díky tomu je možné jej použít nejen v perimetru sít, ale je vhodný k ochran server a síových zdroj na výkonných linkách, k oddlení skupin uživatel, WAN, vzdálených uživatel nebo bezdrátových klient. Obr: Píklad nasazení UnityOne v podnikovém prostedí k ochran perimetru, DMZ, server, stanic a mobilních klient Hlavní funkce UnityOne krom IPS funkcí slouží k ochran: - Aplikací a OS - Infrastruktury - Výkonu Ochrana aplikací a operaních systém

UnityOne v perimetru nebo mezi VLAN zabrání útokm proti zranitelným aplikacím a operaním systémm Microsoft, SUN, IBM, Macintosh a další a umožní odložit nebo nahradit asov nároné upgrady a testování aplikací použitím síové záplaty. Ochrana síové infrastruktury UnityOne obsahuje filtry, jež zabrání útokm proti nov objeveným bezpenostním dírám DNS služeb, 3Com infrastruktue, Cisco IOS a dalších síových prvk s možností aplikace pístupových filtr ACL. Dále chrání proti DoS útokm, které odhalují bezpenostní díry, proti známým DDoS nástrojm (napíklad TFN, Loki, Stacheldraft, ), chrání proti záplavovým paketm nastavením limitu pro zvolené ICMP, TCP nebo UDP paketm. Dále obsahuje ochranu proti rzným typm záplavových paket vedoucích k odepení služeb. Ochrana výkonu UnityOne umožuje tvarovat data a potlait škodlivá data normalizací datového provozu, ízením nenormálního provozu nastavením limit, napíklad pro Peer-to-Peer aplikací sdílení dat, aplikací Instant Messagingu i Spyware. Oceované funkce Pi testech bezpenostních IPS systém TippingPoint UnityOne vynikal nad ostatními produkty pedevším v následujících innostech: - rozpoznání útok a vir - rychlá reakce na nové typy útok - malá latence <250 s - vysoká prchodnost - odolnost proti nesprávn použitým filtrm (falešný poplach) - ochrana proti záplavovým útokm - správa systému a editor pravidel - redundance Reakce na nové typy hrozeb Rychlost reakce na nové typy hrozeb jsou klíovým parametrem bezpenostních produkt. Zatímco v pedešlých letech dostaovaly odezvy v rozsahu dn, v souasné dob se rychlost šíení erv poítá na hodiny. Proto je dležité mít filtry co nejdíve, aby byly k dispozici na píklad ped zveejnním exploitu na internetu (Exploit je program, který využívá specifické zranitelnosti systém). Protože nelze z pochopitelných dvod garantovat budoucí reakce na neznámé bezpenostní situace, pikládáme na konci dokumentu pro ilustraci reakce spolenosti TippingPoint na nkteré minulé bezpenostní hrozby. Výkon Jednou z klíových a oceovaných vlastností jsou paralelní kontrolní procesy, kdy je tok dat paraleln konfrontován s nahranými filtry. Tento proces má minimální zpoždní díky speciálnímu hardwaru zvanému TSE (Threat Suppression Engine), což je kombinace obvod ASIC (Application Specific Integrated Circuits) a síových procesor. Nezávislé testy potvrzují prmrné zpoždní menší než 250 mikrosekund; napíklad v hodnocení na www.tippingpoint.com/resources_nss.html je uvedena pro typ Unity-1200 maximální mez 116 mikrosekund. Odstranní škodlivých tok má minimální vliv na tok dat aplikací (viz napíklad výsledky nezávislých test spolenosti Tolly Group). Jednotlivé produkty umožují škálovat prchodnost od 50 Mb/s do 5 Gb/s, pro nasazení podle úelu použití, v perimetru sít nebo na výkonných serverových nebo páteních linkách. Srovnání tradiní metody softwarového filtru s ešením UnityOne poskytují obrázky.

Srovnání tradiní metody softwarového filtru s ešením UnityOne Obr: Softwarové ešení zpracovává pakety sériov a nemže efektivn násobit poet filtr bez snížení výkonnosti. (1) Packet vstupuje do systému a je klasifikován, (2) je podrobován kontrole na každý platný filtr, (3) v pípad shody jsou pakety zahozeny a (4) další paket je zpracován. Obr: UnityOne Threat Suppression Engine pracuje na 2 Gbps se zpoždním pod milisekundu. (1) Paket je klasifikován, (2) všechny platné filtry jsou zpracovány souasn v paralelním poli, zatímco další paket je klasifikován, (3) výsledek srovnání paralelního porovnání filtr urí, zda paket (4) projde, nebo je zahozen. Pípadné zahození je vetn všech následujících paket patících k stejnému toku.

Management UnityOne je z hlediska použití v síti transparentní, z pohledu datového toku nemá MAC ani IP adresu, takže nemá vliv na použité aktivní prvky sít, ani na protokoly, použité v síti, jako je napíklad 802.1Q tagovaná linka, sdružená linka, redundantní protokoly VRRP, OSPF, atd... UnityOne má management adresu oddlenou od datového toku, která se používá pro vzdálenou správu systému, logování a pro nahrání nových filtr. Digitální vakcína TippingPoint úzce spolupracuje s agenturami, zabývajícími se výzkumem a dokumentací nových typ bezpenostních hrozeb, jako je SANS Institut, CERT, Vendor Advisories, Bugtraq, VulnWatch, PacketStorm. Ve spolupráci se SANS Institutem vydává týdenní @RISC Report, obsahující popis a hodnocení nov dokumentovaných zranitelností. V týdenních intervalech, nebo v pípad kritické situace okamžit, distribuuje TippingPoint aktuální digitální vakcínu svým zákazníkm. Tyto filtry obsahují signatury nových typ útok, filtry na bezpenostní díry v operaních systémech a aplikacích a filtry datových a statistických anomálií. Kategorizovaný seznam posledních vakcín je dostupný na http://www.tippingpoint.com/resources_@risk.html. Rozhodnutí o instalaci nové verze Digitální vakcíny mže být závislé na uživateli, nebo lze systém lze konfigurovat tak, aby stáhl novou verzi digitální vakcíny, jakmile je dostupná na Threat Management Centru na tmc.tippingpoint.com a automaticky instaloval do jednotky UnityOne. Klíové funkce a parametry UnityOne Výkon škálovatelná prchodnost od 50Mbps do 5Gbps, s latencí <215µsec, pes 2 miliony souasných session TCP, UDP/ICMP, pes 250 tisíc spojení za vteinu Ochrana server a zabrání útokm proti zranitelným aplikacím a operaním klient systémm, umožuje nahradit asov nároné upgrady aplikací síové záplaty, viz http://www.tippingpoint.com/technology_virtualpatch.html Ochrana síové infrastruktury Normalizace datového provozu Ochrana aplikací Digitální vakcína Redundance a vysoká dostupnost Ochrana DNS služeb, Cisco IOS router a pepína, ochrana dalších síových prvk, ochrana proti DoS, SYN Floods, aplikace pístupových filtr ACL zvýšení pásma a výkonu smrova, optimalizace výkonu a normalizace neplatných dat, ízení nenormálního provozu nastavením limit, http://www.tippingpoint.com/technology_threshold.html zvýšení propustnosti a kapacity server, filtrování nebo nastavení limitu pro nechtná data nebo aplikace (PeerToPeer, SpyWare, AdWare atd.), ochrana datových linek pro užitené aplikace automatická celosvtová distribuce nových filtr zajistí okamžitou ochranu sít proti novým typm narušení. Kategorizovaný seznam posledních vakcín je dostupný na http://www.tippingpoint.com/resources_@risk.html duální zdroje, manuální nebo automatický Layer2 fallback v pípad interní chyby, redundance Active-

Parametry Typ Agregovaná prchodnost UnityOne- 50 50 megabit/sec UnityOne- 100 100E megabit/sec UnityOne- 200 200 megabit/sec UnityOne- 400 400 megabit/sec UnityOne- 1.2 1200 gigabit/sec UnityOne- 2.0 Active i Active-Passive, Zero Power High availability v pípad úplného výpadku napájení Zpoždní Poet session Poet spojení/sec Typy port Poet segment < 1 ms 5000 5000 10/100/1000 1 < 1 ms 2000000 250000 10/100/1000 1 < 215 s 2000000 250000 10/100/1000 2 < 215 s 2000000 250000 Optika nebo 10/100/1000 < 215 s 2000000 250000 Optika nebo 10/100/1000 < 215 s 2000000 250000 Optika nebo 10/100/1000 < 215 s 2000000 250000 Optika nebo 10/100/1000 2400 gigabit/sec UnityOne- 5.0 5000E gigabit/sec Doplky UnityOne-SMS Security Management System Digital VaccineTM Attack Filter Update Service Povinné služby Maintanance Premium a Maintanance Standard Ocenní TippingPoint UnityOne získal celou adu ocenní.zahrnují napíklad: NSS Group, Gold Award v testu IPS systém SC Magazine, Best Security Solution roku 2005 Common Criteria Certification, 4 kategorie analyzer, senzor, scanner a system Information Security Magazine, IPS produkt roku 2004 SANS institute, Trusted Tool Frost&Sullivan 2005 Market Penetration Leadership Award IDS/IPS Market Frost&Sullivan, 2005 Infrastructure protection Company of the year eweek, Enterprise Resource ProtectionExcellence Award IDG, 2004 Network Protection Product of the year Tolly Group, Up to Spec performance and security test eweek, Labs Analyst s Choice Award Další ocenní najdete na stránce: http://www.tippingpoint.com/products_certifications.html Produktové informace Produktové informace je možné najít na webu http://www.tippingpoint.com/resources_datasheets.html Produktové testy Produktové testy tetích stran je možné najít na webu http://www.tippingpoint.com/resources_reports.html 4 4 4 4

Aplikaní návody Existuje celá ada opakujících se bezpenostních situací. Existují zpsoby, jak vyzkoušeným zpsobem navrhnout ochranu ped typickou bezpenostní situací. Nkteré aplikaní návody si mžete vyžádat v 3Com, nkteré je možné najít je na webu, zde jsou píklady: Ochrana portu 80, Zabezpeení centra sít, Ochrana univerzitního prostedí proti P2P, Ochrana serverové farmy, Ochrana VoIP provozu, http://www.tippingpoint.com/pdf/resources/datasheets/u1006.pdf Ochrana ped SpyWare, http://www.tippingpoint.com/pdf/resources/datasheets/u1017.pdf Zero Power High Availability, http://www.tippingpoint.com/pdf/resources/datasheets/u1012.pdf Advanced DoS FAQ, http://www.tippingpoint.com/pdf/resources/datasheets/u1009.pdf Redundance a odolnost UnityOne systémy lze nastavit redundantn, aby byl odolný proti výpadku systému, a to v konfiguraci Active-Active nebo Active-Passive. Je transparentní k protokolm, jako je VRRP, OSPF, pípadn HSRP. Nemá MAC ani IP adresu. Jednotky UnityOne mají duální systém zdroj vymnitelných za bhu, jsou odolné proti výpadku jednoho zdroje, ale pi výpadku obou zdroj nebo pi externímu výpadku proudu by byla data blokována. Proto podporuje funkci Zero Power High Availability, která zaruí neperušený tok dat pemostním filtr. Píklad reakce digitální vakcíny na vir Sasser, duben 2004 TippingPoint druhý den po uveejnní Sasser zranitelnosti distribuoval filtry, které byly odolné nejen proti Sasser viru, ale i jeho následným modifikacím Korgo, Sasser B-F, Korgo B-Z.

14.4.2004 TippingPoint uvolnil filtry 2754 (LSASS Vulnerability) 2755 (Vulnerability against High Ports) TippingPoint UnityOne zákazníci kompletn chránni od druhého dne po zveejnní zranitelnosti TippingPoint 13.4.2004 Microsoft announced LSASS Vulnerability 30.4.2004 Sasser Worm Released 22.5.2004 Korgo Worm Released May August 2004 Sasser B-F, Korgo B-Z Worms Released Píklad reakce digitální vakcíny na erv Zotob, srpen 2005 TippingPoint distribuoval digitální svým zákazníkm nkolik dní ped tím, než byl publikován Exploit na využití této zranitelnosti. TippingPoint zákazníci byli ochránni ped úinkem tohoto erva. Zranitelnost odhalena TippingPoint Bezpenostní filtry distribuovány 9.8.2005 Zotob Exploit publikován TippingPoint zákazníci ochránni Zotob Worm útok 16.8.2005 Zranitelné stanice napadeny as k vytvoení záplaty ochranný interval Se scvrkává z msíc na dny Útoníci vybaveni aby vybrali cíl a ohrozili uživatele Ohrožení zranitelných stanic je zaruené pokud je erv vypuštn šíení erv se mí na minuty

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář