Firewall + IPS

trójstopniowa ochrona

Cały ruch na styku sieci lokalnej z siecią WAN skanowany jest przy pomocy trzech metod analizy:

1. Analiza heurystyczna

Pierwsza faza sprawdzania ruchu opiera się na statystyce i wielostronnej obserwacji zachowania przychodzących pakietów. Na podstawie dotychczasowego ruchu i założeń dotyczących możliwych zmian w zachowaniu pakietów, analiza heurystyczna określa czy dany ruch jest pożądany, czy może stanowi zagrożenie dla bezpieczeństwa naszej sieci.

Analiza heurystyczna obejmuje m.in. defragmentację, łączenie pakietów w strumienie danych, sprawdzanie nagłówków pakietów i weryfikację protokołów aplikacyjnych.Dzięki temu rozpoznaje i neutralizuje pakiety zdolne zdestabilizować docelową aplikację i umożliwić włamanie do chronionej sieci.

2. Analiza protokołu

Podczas drugiej fazy sprawdzania kontrolowana jest zgodność ze standardami RFC (Request for Comments) całego ruchu sieciowego, przechodzącego przez urządzenie STORMSHIELD. Dokumenty RFC opisują wszystkie stosowane w sieciach standardy przesyłu informacji od warstwy fizycznej, aż po warstwę aplikacji. Tylko ruch zgodny ze standardami może zostać przepuszczony dalej. Kontroli poddawane są nie tylko poszczególne pakiety, ale także połączenia i sesje.

W ramach technologii ASQ dla poszczególnych typów ruchu sieciowego w warstwie aplikacji opracowane zostały specjalne wtyczki programowe (tzw. pluginy), pracujące w trybie kernel-mode, czyli bezpośrednio w jądrze systemu operacyjnego. Po wykryciu określonego typu ruchu (np. HTTP, FTP, SMTP) automatycznie uruchamiana jest odpowiednia wtyczka, która specjalizuje się w ochronie danego protokołu. Rodzaj stosowanych zabezpieczeń jest w urządzeniach STORMSHIELD dynamicznie dostosowywany do rodzaju przepływającego ruchu.

3. Analiza kontekstowa

Trzecia faza weryfikacji polega na rozpoznawaniu typowych ciągów danych, umieszczonych w przesyłanych pakietach pozwalających na wykorzystanie podatności lub luk w oprogramowaniu. W tym przypadku zasadnicze znaczenie ma kontekst, w jakim zostały wykryte pakiety charakterystyczne dla określonego ataku. Kontekstem są tutaj np. rodzaj połączenia, protokół czy port. W ten sposób sieć jest chroniona przed najnowszymi zagrożeniami, dla których sygnatury jeszcze nie powstały. Wystąpienie sygnatury ataku w niewłaściwym dla tego ataku kontekście nie powoduje reakcji systemu IPS.

Zastosowanie sygnatur kontekstowych pozwala na znaczne zwiększenie skuteczności wykrywania ataków przy jednoczesnym ograniczeniu ilości fałszywych alarmów praktycznie do zera.

Innowacyjne podejście do systemu IPS sprawia, że rozwiązania Stormshield nie tylko blokują niebezpieczny ruch, ale również usuwają szkodliwą zawartość z kodu HTML i dostarczają pracownikom bezpieczne strony WWW. Naszym klientom oferujemy bezpłatny support techniczny w języku polskim.