Продукты серии Juniper Networks Intrusion Detection and Prevention |
Системы обнаружения и предотвращения вторжений (IDP) - cемейство cпециализированных продуктов, особенностью которых является использование комплексного метода обнаружения вторжений (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность которого позволяет осуществляеть немедленную терминацию атак в реальном времени. Семейство продуктов NetScreen-IDP включает три одинаковые по функциональности модели (IDP-10, IDP-100, IDP-500), различающиеся величиной пропускной способности и ассортиментом интерфейсов. NetScreen-IDP включается непосредственно в линию связи и может работать в режиме моста (без IP адресов на интерфейсах) и маршрутизатора. Устройство может быть использовано и в качестве пассивного детектора атак (сниффера).
|
|
Название
продукта/параметры |
NetScreen-IDP 10 |
NetScreen-IDP 100 |
NetScreen-IDP 500 |
NetScreen-IDP 1000 |
Максимальная пропускная способность |
20 MB |
200 MB |
500 MB |
1 GB |
Максимальное количество сессий |
10 000 |
70 000 |
220 000 |
500 000 |
Режимы работы |
Passive sniffer, inline bridge, inline Proxy-ARP, and inline router |
Механизмы обнаружения |
8 including Stateful Signatures and backdoor detection |
Обновление сигнатур |
еженедельно и в
экстренных случаях |
Сетевые интерфейсы |
2
x10/100/1000, 1
x10/100 TX |
2
x10/100/1000, 2
x10/100 TX* |
2
x10/100/1000, 2 xSX** |
2
x10/100/1000, 2 xSX** |
Поддержка режима высокой отказоустойчивости |
Подключение NetScreen Bypass Unit |
Организация кластера
возможностью балансировки нагрузки, подключение Bypass Unit
сторонних производителей |
Название
продукта/параметры |
NetScreen-IDP 50 |
NetScreen-IDP 200 |
NetScreen-IDP 600C/F |
NetScreen-IDP 1100C/F |
Максимальная пропускная способность |
50 MB |
250 MB |
500 MB |
1 GB |
Максимальное количество сессий |
10 000 |
70 000 |
220 000 |
500 000 |
Режимы работы |
Passive sniffer, inline bridge, inline Proxy-ARP, and inline router |
Механизмы обнаружения |
8 including Stateful Signatures and backdoor detection |
Обновление сигнатур |
еженедельно и в
экстренных случаях |
Сетевые интерфейсы |
2
x10/100/1000, 1
x10/100/1000 для управления |
8
x10/100/1000, 1
x10/100/1000 для управления и 1
x10/100/1000 для резервирования |
10
x10/100/1000 или 8 xSX + x10/100/1000,
1 x10/100/1000 для управления и
1 x10/100/1000 для резервирования |
|
Поддержка режима высокой отказоустойчивости |
Интегрированный
Bypass-порт |
Интегрированный
гигабитный Bypass-порт, организация кластера с возможностью
балансировки нагрузки |
Примечание:
*каждый адаптер 100TX может быть
заменен четырехпортовым 10/100/1000
за дополнительную плату.
** каждый адаптер SX может быть
заменен четырехпортовым 10/100/1000
за дополнительную плату.
|
|
|
|
Особенность решения Juniper NetScreen является использование комплексного метода обнаружения вторжений на 2-7 уровнях модели OSI (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность реализации которого позволяет осуществляеть немедленную терминацию атак в реальном времени.
Комплексный метод включает в себя ряд технологий обнаружения атак, основными из которых являются:
- Обнаружение предопределенных последовательностей (Stateful Signatures). Наиболее известный метод. Если классическая реализация этого метода заключается только в анализе потока данных на предмет наличия в нем некоторой заранее известной информационной последовательности (шаблона), то особенность реализации NetScreen состоит в том, что содержимое этого потока соотносится с состоянием соответствующих сессий и особенностями приложений, которым эти сессии принадлежат. За счет этого метод NetScreen получил название Stateful Signature Detection и в отличие от классической реализации (типа IDS) характеризуется очень низкой вероятностью получения ложного результата анализа.
- Анализ аномалий протокола
(Protocol Anomalies).
Обнаружение аномалий протокола, также иногда называют анализом протокола,
это возможность анализа проходящих пакетов для выявления неправильности по
отношению к общепринятых в Internet спецификациям.
Эти правила определены в соответствии с протоколами и стандартами (RFC),
также как и определенные производителями оборудования. Основная задача - это
осуществить механизм обнаружения вторжения, который бы выявлял траффик не
подходящий под спецификацию протокола либо каким либо образом отходящий от
станадрта. Как только неправильность будет определена, будет принято решение
о защите сети. Этот метод очень эффективен при обнаружении подозительных
действий, таких как атака переполнения буффера (buffer-overflow
attack).
- Анализ аномалий траффика
(Traffic Anomalies).
Существует множество аттак, которые содержатся в установленной
коммуникационной сессией, но так же очень важно обнаружить аттаки,
которые происходят в траффике проходящем в многочисленном количестве
сессий. Один из примеров таких аттак является сканирование портов и
сети. Сканирование портов и сети происходит в том случае, когда
злоумышленник используя специальные средства, пытается определить какие
сервисы разрешены и работают в системе. Это выполняется проверкой
каждого порта на машине (port scanning) либо
определенного порта по всей сети (network scanning).
Злоумышленник использует данную информацию для использования известных
уязвимостей найденных рабочих сервисов на обнаруженных в результате
сканирования открытых портов. Аттаки такого вида как правило
определяются большим объемом траффика и определенной
последовательностью.
- Backdoor Detection. Технология позволяет распознавать интерактивное взаимодействие злоумышленника с ПО, уже несанкционированно установленным на хосте внутренней сети.
Данное ПО может быть установленно либо умышленно с целью кражи информации,
либо через программы технологии "троянского коня" через почту либо через
переносной компьютер сотрудника включенный в корпоративную сеть организации. Это наиболее опасный вид атаки, поскольку ее результатом может быть не нарушение функционирования подлежащих защите сетевых и информационных ресурсов, а полный контроль злоумышленника над ними
и краже конфиденциальной информации. С помощью этого метода могут быть обнаружены и некоторые неизвестные атаки, в основе которых не лежит технология нестандартного использования протоколов и которые, соответственно, не удается выявить с помощью метода анализа поведения протоколов.
Дополнительные материалы по
продуктам Juniper Networks Intrusion Detection
and Prevention |
|