Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Пример решения: Организация защиты сети от несанкционированных вторжений на базе систем предотвращения вторжений 3Com TippingPoint. Режим сетевого карантина.

Одним из наиболее остро стоящих вопросов в любой современной организации является защита и обеспечение безопасности передаваемых данных и пользователей сети. Система предотвращения вторжения 3Com TippingPoint является признанным флагманом рынка IPS решений и позволяет современной организации полностью решить данную проблему.

3Com TippingPoint IPS — это удостоенная многих наград система предотвращения вторжений, которая позволяет проводить полный анализ потока пакетов и осуществлять непрерывную очистку внутрисетевого и интернет-трафика от вирусов, червей, троянских программ, DoS и DDoS-атак, программ-шпионов, фишинга, атак на VoIP-системы и т.д. Решение 3Com TippingPoint предназначено для комплексной защиты сети от кибер-угроз и блокирует атаки на рабочие станции, серверы приложений, маршрутизаторы, коммутаторы, DNS серверы и другое инфраструктурное оборудование. В дополнение, устройства TippingPoint IPS позволяют осуществлять ограничение трафика для поддержки критических приложений и инфраструктуры, а также обеспечивают изоляцию атак и выявление уязвимых сетевых устройств.

Продуктовая линейка TippingPoint включает устройства производительностью от 50Мбит до 5Гбит. Это единственное программно-аппаратное решение, способное реализовать эти задачи для каналов данных от 100 Килобит до 5Гигабит.

Тщательно проработанные рекомендованные конфигурации фильтров обеспечивают мгновенное развертывание системы без дополнительной настройки. Обновление фильтров уязвимостей системы TippingPoint IPS осуществляется в автоматически или ручном режиме через службу TippingPoint Digital Vaccine.

Упреждающий подход к обеспечению сетевой безопасности

Системы обнаружения вторжений (IDS) по своей сути способны только выявлять нежелательный трафик, но не способны блокировать его. IPS-система TippingPoint функционирует как линейное сетевое решение, которое беспрепятственно пропускает через себя «хороший» трафик, но блокирует враждебный или нежелательный трафик. Более того, система TippingPoint фактически оптимизирует прохождение хорошего трафика — она непрерывно очищает сеть и пропускает с наивысшим приоритетом трафик от ответственных приложений.

Высокая производительность систем TippingPoint и их исключительная результативность при предотвращении вторжений установили новый стандарт сетевой безопасности и коренным образом изменили способы защиты корпоративных сетей.

Больше нет необходимости устранять последствия кибер-атак, поразивших серверы и рабочие станции. Отпадает необходимость в специальных и экстренных обновлениях безопасности. Исключаются возможность неконтролируемой и нелегальной работы приложений типа Peer-to-Peer и систем мгновенного обмена сообщениями, бурно распространяющихся в современных сетях. Уходят в прошлое DoS-атаки, способные парализовать подключения к интернету или привести к отказу ответственных приложений.

Решения TippingPoint позволяют существенно снизить расходы на ИТ-безопасность, устраняя необходимость в обновлениях систем безопасности и в оперативных мероприятиях для нейтрализации новых угроз, а так же неуклонно повышают продуктивность и экономическую отдачу ИТ-ресурсов благодаря более эффективному использованию пропускной способности и защите ответственных приложений.

Производительность решения

Продукты TippingPoint имеют самую высокую в отрасли производительность. Для блокирования кибер-атак на скорости несколько гигабит в секунду при крайне малой задержке требуются специализированные аппаратные средства, и только компания TippingPoint смогла реализовать этот революционный архитектурный подход, необходимый для полноценного предотвращения вторжений. Традиционные решения — и программные, и аппаратные — используют оборудование и процессоры общего назначения и попросту не способны осуществлять свои функции без ущерба для общей производительности сети. В ходе всесторонних испытаний в независимых организациях, таких как ICSA labs, продукты TippingPoint подтвердили свою способность предотвращать вторжения на скорости несколько гигабит в секунду при исключительной точности предотвращения атак. Решения TippingPoint зарекомендовали себя в качестве самых надежных и самых производительных отраслевых платформ для предотвращения вторжений.

Технология Threat Suppression Engine

Основополагающая технология, которая радикально изменила ситуацию с защитой сетей — механизм подавления угроз TippingPoint Threat Suppression Engine (TSE) на базе специализированных интегральных микросхем (ASIC). Благодаря сочетанию конвейерных принципов и механизма параллельной обработки, вычислительные средства TSE способны одновременно выполнять тысячи проверок в каждом потоке пакетов. Сочетание заказных ASIC, общей панели с пропускной способностью 20 Гбит/с и высокопроизводительных сетевых процессоров обеспечивает в архитектуре TSE полный анализ потока пакетов на уровнях 2-7. Параллельная обработка гарантирует прохождение потока пакетов через систему IPS с задержкой менее 215 микросекунд вне зависимости от количества применяемых фильтров.

Кроме того, архитектура TSE поддерживает такие операции, как классификация трафика и ограничение отдельных его видов. Изощренные алгоритмы автоматически притормаживают «нормальный» трафик с помощью пороговых значений и ограничений по скорости, что позволяет предоставить наивысший приоритет сетевому трафику критичных приложений.

Полная безопасность

Решение TippingPoint непрерывно осуществляет всеобъемлющую инспекцию потока пакетов вплоть до 7 уровня с целью очистки трафика интернета и интранет-сети и точной нейтрализации различных угроз (черви, вирусы, троянские и бэкдор-программы, атаки DoS и DDoS, черви типа Walk-in, попытки захвата пропускной способности и т.д.) до того, как они успеют нанести реальный вред. Решение TippingPoint защищает сетевую инфраструктуру, блокируя атаки на маршрутизаторы, коммутаторы, DNS-серверы и другое инфраструктурное оборудование.

TippingPoint обеспечивает статистический анализ, контроль протоколов и выявление аномального поведения приложений для защиты сети от перегрузок по трафику, от переполнения буфера, от неизвестных атак и уязвимостей. Решение TippingPoint осуществляет нормализацию трафика с целью исключения поддельных или нелегальных пакетов и выполняет повторную сборку TCP и IP-дефрагментацию, благодаря чему повышается пропускная способность сети и обеспечивается нейтрализация попыток уклонения от обнаружения. Также система может также функционировать в качестве брандмауэра контроля доступа, способного заменить реализуемые на маршрутизаторах и коммутаторах механизмы контроля доступа, потребляющие значительные вычислительные ресурсы. Кроме того, благодаря ограничению пропускной способности для нежелательного трафика или полной его блокировке решение TippingPoint сохраняет пропускную способность сети и серверные ресурсы в интересах ответственных приложений.

Ниже рассмотрены комплексные услуги обеспечения безопасности, реализованные в TippingPoint.

Возможности IPS TippingPoint

Высококлассные услуги оценки уязвимости

Группа безопасности компании TippingPoint занимает ведущие позиции в отрасли по вопросам анализа уязвимостей. Специалисты TippingPoint являются основными авторами информационных бюллетеней SANS @RISK, в которые включается новейшая информация по новым и существующим угрозам для сетевой безопасности. Подписчиками этого бюллетеня, координируемого Американским институтом компьютерной безопасности (SANS), являются почти 300 тыс. специалистов по сетевой безопасности из разных стран. Еженедельный бюллетень SANS @RISK обобщает вновь выявленные уязвимости, подробно анализирует их последствия и информирует о мероприятиях, которые предприняли крупные организации для защиты своих пользователей. Бюллетень SANS @RISK можно бесплатно получить по адресу: http://www.sans.org/newsletters/risk/

Digital Vaccine — «цифровая вакцинация» в реальном времени

Для гарантии полной безопасности компания TippingPoint обеспечивает текущую защиту от угроз, обуславливаемых вновь выявляемыми уязвимостями. Осуществляя еженедельный анализ уязвимостей для института SANS, специалисты по безопасности компании TippingPoint одновременно разрабатывают новые фильтры для защиты от атак, направленных на указанные уязвимости, и включает эти фильтры в состав очередного выпуска «цифровой вакцины» Digital Vaccine. Вакцины создаются для нейтрализации не только конкретных атак, но и их возможных вариаций, что обеспечивает защиту от угроз типа Zero-Day. Цифровая вакцина доставляется заказчикам еженедельно, а в случае выявления критических уязвимостей — немедленно. Вакцина может устанавливаться автоматически без участия пользователя.

Эта уникальная и весьма полезная услуга позволяет заказчикам оптимизировать процесс установки обновлений безопасности. Трудности с установкой специальных и экстренных обновлений безопасности в значительной мере смягчаются, поскольку ИТ-персонал получает возможность устанавливать обновления только по мере необходимости и в заранее назначенное время.

Управление на уровне предприятия

Подразделение 3ComTippingPoint предлагает лучшие в своем классе средства управления — простые в использовании и при этом чрезвычайно мощные. TippingPoint Security Management System (SMS) — надежное решение, обеспечивающее глобальное видение ситуации в сети и управление многочисленными системами TippingPoint. Система SMS способна осуществлять обнаружение, мониторинг, настройку конфигурации, диагностику и отчетность для 1000 систем TippingPoint. TippingPoint SMS — устанавливаемое в стойку специализированное сетевое устройство с современным защищенным клиентским интерфейсом на базе secure Java. SMS позволяет администратору осуществлять общий анализ состояния в сети, выводя отчеты о тенденциях и корреляционные зависимости и отображая в реальном времени сведения о статистике трафика, предотвращенных атаках, сетевых хостах и сервисах, а также развернутых в сети системах IPS и их состоянии.

Благодаря масштабируемости, основанной на политиках модели функционирования, система TippingPoint SMS обеспечивает прямое управление крупномасштабными IPS-структурами. Типичная структура TippingPoint масштаба локальной сети состоит из SMS-клиентов (secure Java), централизованной системы управления безопасностью SMS и нескольких систем TippingPoint. Весьма эффективным компонентом системы TippingPoint SMS является инструментальная панель SMS. Эта панель обеспечивает обзорный мониторинг и возможность запуска целевых средств управления. Инструментальная панель SMS отображает обобщенную информацию о текущей производительности всех систем TippingPoint, развернутых в данной сети, в том числе напоминания об обновлениях и о потенциальных проблемах, требующих внимания ИТ-персонала.

Кроме того, в комплект поставки каждой системы IPS входит встроенный локальный менеджер безопасности (Local Security Manager, LSM) и интерфейс командной строки (CLI). LSM — программное средство управления с простым в использовании и безопасным графическим web-интерфейсом, позволяющее осуществлять администрирование, настройку конфигурации и получение отчетности.

Консоль управления

Простота развертывания

Благодаря своей конструкции системы IPS от TippingPoint работают «прозрачно», оставаясь незаметными для остальных компонентов сети:

• Система IPS от TippingPoint устанавливается в сети прозрачно, без IP-адреса и MAC-адреса, и сразу же после установки начинает фильтровать трафик на предмет выявления враждебных или нежелательных пакетов.
• Благодаря высочайшей скорости работы и низким задержкам системы IPS могут быть развернуты как на границе, так и в ядре сети, что позволяет защититься и от внешних, и от внутренних угроз. Системы TippingPoint обеспечивают формирование трафика для поддержки ответственных приложений и инфраструктуры, а также изоляцию атак и выявление уязвимых сетевых устройств.
• Тщательно проработанные рекомендованные конфигурации фильтров обеспечивают мгновенное развертывание системы без дополнительной настройки.

Развертывание системы защиты на базе IPS TippingPoint

Высокая степень готовности

Системы предотвращения вторжений компании TippingPoint обладают непревзойденными возможностями для обеспечения высокой степени готовности. Конструкция этих систем гарантирует непрерывное прохождение трафика на скорости среды передачи данных в случае ошибки сети, внутренней ошибки устройства или даже в случае полного отключения питания. Два дополнительных режима обеспечения высокой степени готовности — Intrinsic High Availability и Stateful Network Redundancy — гарантируют максимальный коэффициент использования и максимальную степень готовности сети.

Режим Intrinsic High Availability обеспечивается несколькими встроенными функциями систем IPS. Во-первых, каждое устройство IPS компании TippingPoint комплектуется резервным источником питания с возможностью горячей замены. Во-вторых, контрольное реле времени осуществляет непрерывный мониторинг механизмов безопасности и управления. При обнаружении внутренней ошибки система TippingPoint автоматически или вручную превращается в простое устройство, которое функционирует на 2 сетевом уровне и настраивается отдельно для каждого сегмента сети. Для сетевых интерфейсов на основе медных кабелей компания TippingPoint предлагает дополнительное устройство Zero Power High Availability (ZPHA). В случае полного отключения питания в центре обработки данных эти интерфейсы могут переключиться на внешний ретранслятор ZPHA для пересылки трафика.

Гарантия максимальной степени готовности сети

Режим Stateful Network Redundancy

Две системы TippingPoint IPS могут работать совместно в «прозрачном» режиме высокой готовности. Система TippingPoint IPS является всего лишь «узелком на кабеле» — не имеет IP-адреса и не участвует в обработке протоколов маршрутизации. Это позволяет развертывать такие системы попарно в существующих сетевых структурах высокой степени готовности без изменения конфигурации сети. Устройства TippingPoint IPS прозрачны для протоколов маршрутизации с высокой степенью готовности — Virtual Router Redundancy Protocol (VRRP), Open Shortest Path First (OSPF) и Cisco Hot Standby Router Protocol (HSRP) — поэтому присутствие в сетевой линии устройств TippingPoint IPS не отражается на функционировании этих протоколов. Две системы TippingPoint могут быть сконфигурированы для работы в конфигурации Active-Active или в конфигурации Active-Passive для надлежащего обмена информацией о состоянии друг друга, что позволяет полностью сохранять функции предотвращения атак во время и после перебоев в сети.

Организация сетевого карантина на базе системы предотвращения вторжения TippingPoint.

Проконтролировать действия пользователя или ограничить его возможности таким образом, чтобы перекрыть использование или доступ к потенциально опасным внешним ресурсам, практически невозможно. Единственный способ защиты, это усиление политики безопасности всей сети. Вирусы и черви на ноутбуках, персональных компьютерах гостей и посетителей, несанкционированные установки приложений таких как peer-to-peer, в которых часто скрыты программы шпионы, все это лишь небольшая часть примеров, когда вредоносный трафик может попасть внутрь сети. Дорогостоящее обновление железа или софтверных программ покрывает только часть угроз, отчасти исключая внешние атаки, но не защищая от потенциальных атак изнутри сети. Организация карантина на базе систем предотвращения атак TippingPointобеспечивает защиту вашей сети от всех видов атак и угроз на протяжении всего времени работы пользователя.

Механизм сетевого карантина объединяет инновационный подход для предотвращения распространения киберугроз внутри сети и изолирования инфицированных устройств, исключает возможность нанесения вреда соседним системам и предлагает большой выбор действий в отношении зараженного или вредоносного устройства.

Система карантина TippingPoint дополняет базовые возможности обеспечения безопасности внутри сети, такие как антивирусное ПО и установка обновлений безопасности, позволяя администратору расширить действие фильтров систем предотвращения вторжений TippingPoint IPS на конечные станции.

Организация сетевого карантина.

Карантин TippingPoint использует в качестве основного элемента системы предотвращения вторжений TippingPoint IPS, позволяя внедрить гибкую, не требующую дополнительных затрат и автоматизированную политику безопасности во всей сети. Используя систему карантина, сетевой администратор может автоматически блокировать опасный трафик, информировать пользователя о заражении его персонального компьютера и изолировать данную рабочую станцию в целях предотвращения распространения вируса или сетевой атаки в течение всего нескольких секунд.

Данный режим позволяет администратору самостоятельно выбирать фильтры, на основании которых будет осуществляться инспекция трафика, задавать диапазоны IPадресов для включения или выключения в зону действия карантина, конфигурировать границы применения функции карантина. При использовании соответствующих фильтров системы предотвращения вторжений TippingPoint, такой режим позволяет защитить сеть от распространения вредоносного трафика и если нужно, позволяет изолировать зараженное устройство из сети.

Режим карантина TippingPoint организован на базе сетевых устройств и не требует какого-либо дополнительного программного решения на клиентских рабочих станциях. Это значительно снижает загруженность администратора и расходы на обеспечение безопасности. Режим карантина TippingPointпозволяет качественно защитить как периметр сети, так и внутреннюю сеть.

Интеграция IPS в сетевую инфраструктуру. Как работает карантин

Также карантин обеспечивает защиту от угроз, которые могут исходить от других сетевых устройств, таких как принтеров, IP телефонов, PDA, и других. Система карантина может быть развернута в сети для обеспечении полной безопасности меньше чем за час.

Основополагающими элементами, необходимыми для организации карантина, являются

Система предотвращения вторжений TippingPoint IPS, сервер управления безопасностью SMS (Security management system), сервер аутентификации Radius, активное сетевое оборудование (коммутаторы) с поддержкой аутентификации пользователей или устройств.

Этапы работы карантина:

1. Клиент подключает рабочую станцию к сети и проходит процедуру аутентификации на Radius сервере (запрос транслируется через Сервер управления ,безопасностью TippingPoint SMS
2. TippingPoint SMS выступает в качестве RADIUS-proxy, запоминает соответствие MAC/Switch/Port
3. Событие: Несанкционированная активность с устройства
4. TippingPoint SMS определяет соответствие MAC-адреса IP адресу «подозрительного» устройства
5. MAC адрес помешается в «черный» список и устанавливается новая политика
6. SMS заставляет «подозрительное» устройство пройти повторную аутентификацию и переопределяет политику присутствия в сети
7. Устройство помещается в «карантинный» VLAN с возможностью отключения доступа пользователя ко всем ресурсам, кроме, например, информационного сайта компании и сервера для получения обновлений, или полностью отключается от сети.

О компании 3Com

Американская корпорация 3Com занимается производством сетевого оборудования и я является второй по величине компанией в мире, поставляющей полный спектр оборудования для построения сетевой инфраструктуры компаний и устройств для индивидуальных пользователей, ориентированных на передачу между пользователями данных разного типа (данные, голос, изображение), включая решения для обеспечения сетевой безопасности и реализации беспроводного доступа.

Последний год стал для компании годом глобальных перемен, которые позволяют нам заявить о грядущем переделе рынка сетевых решений и претендовать на успех в корпоративных проектах любого уровня сложности. Идеология построения Безопасных конвергентных сетей, предлагаемая компанией 3Com, подкреплена широким спектром современного высокопроизводительного оборудования — продуктовый портфель компании включает более 400 позиций, среди них коммутаторы, маршрутизаторы, беспроводные устройства, решения IP-телефонии и системы предотвращения вторжений TippingPoint IPS.

Сделанные инвестиции позволяют говорить о стабильном будущем продукции, ориентированной на корпоративный рынок, включая:

• Приобретение компании TippingPoint — технологического лидера в области решения по предотвращению вторжений (IPS). 3Com представил на Российском рынке решение, которое уже стало стандартном для многих компаний в мире. Решение предназначено для он-лайн мониторинга и блокировки вредоносного трафика, это единственное программно-аппаратное решение, способное реализовать эти задачи для каналов данных до 5игабит.

• Приобретение компанией 3Com контрольного пакета акций совместного предприятия Huawei-3Com. Данное предприятие, контролируемое 3Com, занимается разработкой коммутационного оборудования корпоративного уровня, что, учитывая решения безопасности и телефонии, существующие у 3Com, делает 3Com вторым в мире игроком сетевого рынка, предлагающего комплексные решения по реализации безопасных конвергентных сетей.

• Разработка и представление на рынке первого решения IP телефонии (VCX), основанного на индустриальном стандарте SIP и способном обслуживать сети до 50 000 абонентов. Успешность решения подкреплена партнерством 3Com и IBM в области IP-телефонии с целью предоставления на рынке решения «все-в одном» для компаний малого и среднего бизнеса. Соглашение предполагает интеграцию платформы 3Com VCX в решения IBM System i5, продажа которого будет идти через каналы продаж IBM. Соглашение подтверждает общие тенденции к уходу от проприетарных технологий в зону открытых стандартов, что позволяет заказчикам снизить зависимость от поставщика продукции, гарантировать интеграции выбранного решения в собственную сеть, если она построена на аналогичных стандартизованных решениях.