Firewall sprzętowy - Filtering URL - klasy UTM - Witaj na STORMSHIELD.PL

Firewall z IPS

Technologia ASQ

Nieodłącznym elementem dobrego UTM jest skuteczny Intrusion Prevention System – w skrócie IPS – czyli system rozwiązań chroniących sieć komputerową przed włamaniem. Inni producenci urządzeń UTM dodają IPS do już istniejącej, stosowanej od lat architektury zapory. Rozwiązanie takie ma jedną bardzo dużą wadę, która wynika z faktu, że pakiet musi być skanowany wielokrotnie przez kolejne moduły zaimplementowane w urządzeniu. Skutkiem tego jest znaczne wydłużenie czasu potrzebnego na przeanalizowanie każdego z pakietów.

W urządzeniach STORMSHIELD rozwiązaliśmy ten problem redefiniując myślenie o zabezpieczeniu sieci, łącząc firewalla z systemem IPS na poziomie jądra systemowego, przez co uzyskano najszybsze tego typu rozwiązanie dostępne na rynku.

Firma NETASQ dokonała tego w pierwszym roku swojej działalności, patentując unikalną technologię proaktywnego wykrywania ataków o nazwie ASQ (Active Security Qualification).

  • Oferuje ona wysoki poziom bezpieczeństwa sieci, właśnie dzięki analizie przesyłanych pakietów na poziomie jądra systemu operacyjnego o nazwie NETASQ Secured BSD (NS-BSD).
  • Wyróżnia się także znakomitą wydajnością, wykonując niemal trzykrotnie mniej operacji przy analizie pakietu niż konkurencyjne systemy IPS.

Analizie, w poszukiwaniu zagrożeń i ataków, poddawany jest cały ruch sieciowy od drugiej do siódmej warstwy modelu ISO/OSI. W konsekwencji system ASQ, w konfrontacji z rozwiązaniami pozostałych producentów systemów IPS, uzyskuje niespotykaną w innych urządzeniach UTM szybkość działania.

Porównanie klasycznej architektury IPS i technologii ASQ

Klasyczna architektura UTM Technologia ASQ

 


Cały ruch na styku sieci lokalnej z siecią WAN skanowany jest przy pomocy trzech metod analizy:

1. Analiza heurystyczna

Pierwsza faza sprawdzania ruchu opiera się na statystyce i wielostronnej obserwacji zachowania przychodzących pakietów. Na podstawie dotychczasowego ruchu i założeń dotyczących możliwych zmian w zachowaniu pakietów, analiza heurystyczna określa czy dany ruch jest pożądany, czy może stanowi zagrożenie dla bezpieczeństwa naszej sieci.

Analiza heurystyczna obejmuje m.in. defragmentację, łączenie pakietów w strumienie danych, sprawdzanie nagłówków pakietów i weryfikację protokołów aplikacyjnych. Dzięki temu rozpoznaje i neutralizuje pakiety zdolne zdestabilizować docelową aplikację i umożliwić włamanie do chronionej sieci.

2. Analiza protokołu

Podczas drugiej fazy sprawdzania kontrolowana jest zgodność ze standardami RFC (Request for Comments) całego ruchu sieciowego, przechodzącego przez urządzenie STORMSHIELD. Dokumenty RFC opisują wszystkie stosowane w sieciach standardy przesyłu informacji od warstwy fizycznej, aż po warstwę aplikacji. Tylko ruch zgodny ze standardami może zostać przepuszczony dalej. Kontroli poddawane są nie tylko poszczególne pakiety, ale także połączenia i sesje.

W ramach technologii ASQ dla poszczególnych typów ruchu sieciowego w warstwie aplikacji opracowane zostały specjalne wtyczki programowe (tzw. pluginy), pracujące w trybie kernel-mode, czyli bezpośrednio w jądrze systemu operacyjnego. Po wykryciu określonego typu ruchu (np. HTTP, FTP, SMTP) automatycznie uruchamiana jest odpowiednia wtyczka, która specjalizuje się w ochronie danego protokołu. Rodzaj stosowanych zabezpieczeń jest w urządzeniach STORMSHIELD dynamicznie dostosowywany do rodzaju przepływającego ruchu.

3. Analiza kontekstowa

Trzecia faza weryfikacji polega na rozpoznawaniu typowych ciągów danych, umieszczonych w przesyłanych pakietach pozwalających na wykorzystanie podatności lub luk w oprogramowaniu. W tym przypadku zasadnicze znaczenie ma kontekst, w jakim zostały wykryte pakiety charakterystyczne dla określonego ataku. Kontekstem są tutaj np. rodzaj połączenia, protokół czy port. W ten sposób sieć jest chroniona przed najnowszymi zagrożeniami, dla których sygnatury jeszcze nie powstały. Wystąpienie sygnatury ataku w niewłaściwym dla tego ataku kontekście nie powoduje reakcji systemu IPS.

Zastosowanie sygnatur kontekstowych pozwala na znaczne zwiększenie skuteczności wykrywania ataków przy jednoczesnym ograniczeniu ilości fałszywych alarmów praktycznie do zera.

Do góry

Kontakt

Masz pytania? Potrzebujesz więcej informacji?

Zadzwoń do product managera rozwiązań STORMSHIELD:
Artur Holeczek32 793 11 38

lub napisz do nas: kontakt@stormshield.pl

 


 

Wersja testowa

Sprawdź rozwiązania STORMSHIELD w swojej firmie i zamów bezpłatne urządzenie do testów.
 

Testuj

 


 

Materiały do pobrania

Folder STORMSHIELD

STORMSHIELD Okiem Managera 

Case Study

Instal Kraków Case Study

KGHM LETIA Case Study

Kopalnia Soli Kłodawa Case Study

PUP Powiat Nowosądecki Case Study

Szpital Chirurgii Urazowej
w Piekarach Śląskich

 


 

Bezpłatne eKonferencje STORMSHIELD

Chcesz poznać rozwiązania STORMSHIELD? Zapraszamy na eKonferencje on-line.

Bez wyjazdów, bez kosztów, wystarczy komputer z dostępem do Internetu

Najbliższa eKonferencja STORMSHIELD:

8 czerwca 2016 r., na Twoim komputerze
Szybki kontakt:
Newsletter

Jeżeli chcesz otrzymywać aktualne informacje o naszych produktach

Podaj swój adres e-mail
Realizacja: Agencja WMC