Система предотвращения сетевых угроз - TS Solution

Система предотвращения сетевых угроз

Назначение системы

C истемы предотвращения сетевых угроз являются комплексными решениями, включающими в себя функционал систем предотвращения вторжений (IDS-IPS), полный инструментарий для глубокого инспектирования сетевого трафика и, соответственно, выполняют блокирование угроз в реальном времени. Обычно такие системы выполняют следующие функции:
  1. Инспектируют входящий и исходящий трафик (вплоть до уровня пакета) в реальном времени
  2. Предотвращают вход или выход вредоносного или нежелательного трафика
  3. Категорируют все потенциальные угрозы и составляет отчеты
  4. Размещаются в любом месте, где трафик переходит между известной и неизвестной зоной (например после Firewall, перед DMZ и публикуемыми сервисами, между разными сегментами корпоративной сети)

Профиль угроз

Система защищает от:
  1. Ботов и ботнетов
  2. Атак «нулевого» дня
  3. Попытки переполнения буфера и целевых атак на публикуемые сервисы
  4. Вирусов и червей
  5. Dos атак
  6. Атак на не обновленные системы
  7. VoIP атак, атак через P2P приложения
Система обеспечивает:
  1. Безопасную публикацию внутренних сервисов в интернет
  2. Фильтрацию трафика между разными сетевыми сегментами

Референс дизайны решений

tp1

В разрыв сети на границу

tp2

Во внутренней сети между сегментами разной важности

tp3

В DMZ перед публикуемыми в интернет серверами

tp4

Host IPS в виде агента на сервера

Частые вопросы

От чего защищает IPS?
IPS защищает от атак на сетевом уровне, к примеру от сканирования портов, использования уязвимостей сетевых протоколов и уровня приложений. IPS защищает от уязвимостей которые влияют на клиентские ОС (Windows) и не распознаются антивирусом по причине того что не являются вирусами в чистом виде.
Как оценить производительность решения?
В общем случае IPS самая ресурсоёмкая часть в сетевом шлюзе безопасности. Производительность IPS напрямую зависит от количества активированных сигнатур и от потока трафика который обрабатывается системой. Выбрать подходящее решение можно зная эти две оценки.
Для защиты каких сервисов IPS подходит в первую очередь?
IPSы содержат в себе большой набор сигнатур для защиты Web порталов (в том числе Outlook Web Access и прочие), опубликованных DNS, SMTP-POP3 почтовых серверов. Защищая опубликованные сервисы на базе Microsoft (Sharepoint, Exchange) вы обеспечиваете защиту от перегрузки и выведения их из строя.
Как может располагаться IPS в сети?
IPS размещают в разрыве DMZ, перед публикуемыми серверами, защищая их. Также IPS располагают между внутренними сетевыми сегментами в сети для дополнительной проверки трафика между разными по важности сетями.
Как протестировать IPS?
Мы предлагаем проверять IPS путем сканирования систем защищаемых IPS разными специализированными инструментами для pentest, в том числе XSpider, Metasploit, Positive technology. Также целесообразно проверять работу систем под нестандартными сетевыми запросами, генерируемых ручным образом.