Stormshield UTM – kompletna ochrona każdej sieci

Stormshield UTMNowoczesne zagrożenia, które coraz liczniej bez trudu pomijają tradycyjne systemy ochrony, innowacyjne podejście do bezpieczeństwa jest czymś koniecznym. Rozwiązania UTM Stormshield Network Security to urządzenia oparte na koncepcji wielu, współpracujących ze sobą warstw ochrony. Model ochrony opierający się na aktywnej współpracy pomiędzy silnikami bezpieczeństwa technologii Netasq i Arkoon wyznacza przyszłość zabezpieczeń całej infrastruktury IT. Producenci Stormshield UTM (Arkoon i Netasq) to dostawcy technologii, które jako jedyne uzyskały najwyższe Europejskie certyfikacje (EU RESTRICTED, NATO RESTRICTED, and ANSSI EAL4+), co gwarantuje wysoki poziom ochrony strategicznych danych nawet w najbardziej wrażliwych przedsiębiorstwach i organizacjach.

 

Pełne informacje dotyczące rozwiązania do ochrony sieci Stormshield UTM, aktualne ceny, promocje, bezpłatne testy oraz pomoc w wyborze urządzenia Stormshield dostępne na stronie:

www.stormshield-utm.eu

 

IPS w urządzeniach Stormshield UTM

Nieodłącznym elementem dobrego UTM jest skuteczny Intrusion Prevention System – w skrócie IPS – czyli system rozwiązań chroniących przed włamaniem sieć komputerową. Wielu producentów urządzeń UTM dodaje IPS do stosowanej od lat, już istniejącej architektury zapory. Rozwiązanie takie ma jedną, ale bardzo istotną wadę, wynikającą z faktu, że każdy pakiet przesyłany w sieci musi być wielokrotnie skanowany przez kolejne moduły występujące w urządzeniu UTM. Skutek takiego podejścia, jest taki, że czas potrzebny na przeanalizowanie każdego z pakietów znaczne się wydłuża .

 

W urządzeniach STORMSHIELD UTM rozwiązaliśmy ten problem redefiniując myślenie o zabezpieczeniu sieci, łącząc firewalla z systemem IPS na poziomie jądra systemowego, przez co uzyskaliśmy najszybsze tego typu rozwiązanie dostępne na rynku.

Firma NETASQ dokonała tego już w pierwszym roku działalności, tworząc patent unikalnej technologii proaktywnego wykrywania ataków o nazwie ASQ (Active Security Qualification).

  • Wysoki poziom bezpieczeństwa sieci oferowany jest właśnie dzięki analizie pakietów przesyłanych w sieci, na poziomie jądra systemu operacyjnego tzw. NS-BSD (NETASQ Secured BSD).
  • Znakomita wydajność, która wyróżnia, dzięki wykonywaniu niemal trzykrotnie mniej operacji podczas analizy pakietów niż pozostałe systemy IPS.

W poszukiwaniu zagrożeń i ataków, analizie poddawany jest cały ruch sieciowy ISO/OSI od drugiej do siódmej warstwy. Technologia Active Security Qualification, w porównaniu z rozwiązaniami innych producentów systemów IPS, uzyskuje niespotykaną w innych urządzeniach UTM szybkość działania.

 

Porównanie klasycznej architektury IPS i technologii ASQ

Klasyczna architektura UTM Technologia ASQ

Cały ruch na styku sieci lokalnej z siecią WAN skanowany jest przy pomocy trzech metod analizy:

1. Analiza heurystyczna

Pierwszą fazą sprawdzania ruchu jest oparta na statystyce wielostronna obserwacja zachowania przychodzących pakietów. Na podstawie wcześniejszego ruchu i założeń dotyczących możliwych zmian zachowania pakietów, analiza heurystyczna sprawdza czy ruch jest zagrożeniem dla bezpieczeństwa chronionej sieci czy jest to ruch pożądany.

Analiza heurystyczna składa się m.in. z defragmentacji, łączeniu pakietów w strumienie danych, weryfikację protokołów aplikacyjnych oraz sprawdzanie nagłówków pakietów. Dzięki temu rozpoznawane i neutralizowane są pakiety zdolne do destabilizacji docelowej aplikacji i umożliwiające włamanie do chronionej sieci.

2. Analiza protokołu

Druga faza to kontrola zgodność ze standardami RFC (Request for Comments) przechodzącego przez urządzenie STORMSHIELD całego ruchu sieciowego. Dokumenty RFC opisują wszystkie znane, stosowane w sieciach standardy przesyłu pakietów od warstwy fizycznej, aż do warstwy aplikacji. Jedynie ruch zgodny ze standardami RFC może zostać przesłany dalej. Kontroli poddawane są poszczególne pakiety, połączenia i sesje.

Dla wszystkich typów ruchu sieciowego, w ramach technologii ASQ, w warstwie aplikacji opracowane zostały specjalne pluginy (tzw. wtyczki programowe), pracujące bezpośrednio w jądrze systemu operacyjnego w trybie kernel-mode. Po wykryciu określonego typu ruchu (np. HTTP, FTP, SMTP) w pełni automatycznie odpalana jest odpowiednia wtyczka, specjalizująca się w ochronie danego protokołu. Stosowane w urządzeniach STORMSHIELD zabezpieczenia są dynamicznie dostosowywane do rodzaju przepływającego ruchu sieciowego.

 

3. Analiza kontekstowa

Trzecia faza to rozpoznanie typowych ciągów danych, znajdujących się w przesyłanych pakietach pozwalających na wykorzystanie luk lub podatności w oprogramowaniu. Zasadnicze znaczenie w tym przypadku ma kontekst, w jakim zostały wykryte pakiety specyficzne dla określonego ataku. Kontekstem są tutaj np. protokół, rodzaj połączenia czy port. W ten sposób sieć chroniona jest przed najnowszymi zagrożeniami, dla których sygnatury jeszcze nie powstały.

Zastosowanie sygnatur kontekstowych umożliwia znaczny wzrost skuteczności detekcji ataków, z jednoczesnym ograniczeniem ilości fałszywych alarmów prawie do zera. Wystąpienie sygnatury ataku w niewłaściwym dla tego ataku kontekście nie powoduje reakcji systemu IPS.