Обзор Взяв за основу систему обнаружения вторжений на базе технологии SNORT, Nortel совместила ее с лучшим в отрасли коммутируемым межсетевым экраном для создания адаптивной системы защиты от угроз. Эта комбинированная система защищает сеть от нападений хакеров, атак, «червей» и вирусов. Теперь эта технология дополнена многоуровневой линейной моделью системы предотвращения вторжений (IPS) и системой обнаружения угроз в реальном времени. Вместе эти системы обеспечивают: - Высокоскоростную предварительную обработку и анализ опасного трафика
- Многоуровневую проверку и сканирование аномалий для обнаружения сложных и новых видов угроз
- Работу базы данных сигнатур, создаваемой усилиями мирового сообщества пользователей SNORT
- Получение информации из расширенных запросов и отчетов – что приводит к более надежной защите сети и позволяет оценивать соответствие требованиям структуры безопасности организации
- Полная поддержка от Nortel, в том числе обновления подписей, делают систему защиты от угроз простой в установке и поддержке
Целевая аудитория Средние и крупные организаций в таких областях, как здравоохранение, финансы, производство и транспорт, коммунальные службы, сферы обслуживания, правительственные учреждения, образовательные учреждения и высокотехнологичные производства, которые: - Должны соответствовать корпоративным и правительственным требованиям безопасности
- Обеспокоены возможностью нападения «червей», вирусов и хакеров, которые могут вызвать перерывы в работе и принести реальные убытки
- Ценят защищенный удаленный доступ для сотрудников, партнеров и клиентов
- Нуждаются в современных средствах обнаружения и блокирования угроз, помогающие уберечь критически важные бизнес-системы от ущерба
- Нуждаются в решениях безопасности, способных различать типы приложений и приспосабливаться к изменяющимся требованиям сети и видам угроз
Сервисные организации, предлагающие услуги управляемой защиты предприятиям всех типов и размеров. Это может быть системный интегратор, поставщик комплексных решений, провайдер услуг, владелец недвижимости, правительственное учреждение или учрежденческое сервисное бюро в составе крупной международной компании. Требования к услугам: - Выполнение соглашений об уровне обслуживания и возможность демонстрировать эффективность и действенность политики безопасности
- Получение достоверной информации об угрозах для планирования и устранения неисправностей – что влияет на прибыльность сервиса
- Защищенный удаленный доступ к нескольким доменам
- Современные средства обнаружения и блокирования угроз, помогающие уберечь критически важные бизнес-системы от ущерба
- Решения безопасности, способные различать типа приложений и приспосабливаться к изменяющимся требованиям сети и видам угроз
Что нужно обеспечить: - Количество инцидентов, относящихся к безопасности, возрастает – в 2004 году зафиксировано более 140 000 случаев.
- Техническая изощренность и сложность атак возрастает.
- Расширенное использование мобильности и различных технологий доступа дают злоумышленникам новые возможности обхода защитных структур сети.
- Новые требования регулирующих органов и проверки систем корпоративной безопасности повышают необходимость в изучении и составлении отчетов по системе безопасности.
Типичные варианты применения - Обнаружение угроз при помощи сенсоров вторжения
- Многоуровневая проверка – Проверка полей протоколов на предмет специфических признаков нападения с использованием метода обнаружения на основе правил. Это помогает обнаружить угрозы, прячущиеся глубоко в потоке данных.
- Обнаружение аномалий – Комплексный анализ протокола с сохранением результатов и нормализацией в ходе первичной обработки на коммутаторе. Это помогает обнаружить необычные изменения в потоке данных, которые возникают в результате сканирования портов, снятия отпечатков с IP-стека, атак, направленных на отказ в обслуживании и подмена информации протокола разрешения адресов (ARP).
- Сбор информации об угрозах в реальном времени – Мониторинг и регистрация всех ресурсов и потоков трафика в сети – любых IP-адресов, которые могут являться источником или жертвой атаки. Результаты исследования угроз в реальном времени анализируются вместе с событиями, отмеченными сенсорами вторжения, и на их основе составляется очень подробный отчет об угрозах. Действия для блокировки или изоляции атаки могут быть предприняты немедленно в ручном или автоматическом режиме.
- Анализ угроз
- Запросы и отчеты – Детальный анализ сигналов тревоги и событий. Позволяет администраторам оперативно реагировать на новые или текущие угрозы. Широкие возможности составления отчетов позволяют сопоставлять информацию о событиях для анализа, архивирования и выполнения требований регулирующих органов.
- «Ловушки» и слежение – Администраторы имеют возможность помечать и отслеживать сессии, которые последовали за угрозой. Эта функция записывает всю последующую информацию и полезна при полном анализе воздействия, источника и цели атаки.
- База данных по событиям – Высокопроизводительная база данных, доступная с консоли управления центра защиты, способна хранить миллионы событий. Поддержка всестороннего анализа помогает выделить долгосрочные тенденции в области безопасности. База данных устанавливается и конфигурируется предварительно, ее обслуживание производится автоматически. Это помогает администраторам сконцентрироваться на обобщении и анализе событий.
- Реакция на угрозы
- Линейная защита от угроз – Линейные сенсоры вторжения производят многоуровневую проверку, обнаружение аномалий и сбор информации об угрозах в реальном времени для обнаружения угроз. После обнаружения угрозы опасные потоки трафика останавливаются или ограничиваются по скорости, чтобы свести к минимуму ущерб от атаки.
- Адаптивная защита с обновлением в реальном времени – Оффлайновые сенсоры производят многоуровневую проверку, обнаружение аномалий и сбор информации об угрозах в реальном времени для обнаружения угроз. После обнаружения угрозы на коммутируемые межсетевые экраны Nortel и коммутаторы приложений Application Switch обновления направляются в реальном времени. Опасные потоки трафика останавливаются или ограничиваются по скорости, чтобы свести к минимуму ущерб от атаки.
- Управление политиками и контроль конфигураций – Центр защиты управляет политиками сенсоров, определяет реакцию на сигналы тревоги и уровни административных привилегий пользователям из единого центрального местоположения. Единый центр защиты поддерживает крупную иерархическую группу систем сбора информации об угрозах и сенсоров вторжения. Она обобщает и представляет данные о событиях, произошедших в пределах системы сенсоров. Для сопоставления и анализа угроз сети или приложений администраторами систем безопасности могут использоваться встроенные аналитические инструменты Центра защиты.
Схемы организации сети Развертывание системы защиты от угроз в сети |
Реакция на угрозы с коммутируемым межсетевым экраном Nortel Switched Firewall |
Сбор информации об угрозах в реальном времени и обнаружение вторжений помогают построить адаптивную защиту |
Характеристики и преимущества Характеристика | Преимущество | Обнаруживает известные угрозы при помощи детальной предварительной обработки пакетов, нормализации и исследования | Выявляет слабые места в системе защиты и помогает администраторам производить корректирующие действия | Обнаруживает неизвестные угрозы при помощи сканирования аномалий | Выдает ранние предупреждения о возникающих угрозах или внутренней злонамеренной активности | Гибкий набор правил и структура администрирования | Устраняет ложные тревоги | Получает своевременную информацию о новых угрозах и уязвимостях от сообщества пользователей системы SNORT и специальной команды экспертов по безопасности | Помогает поддерживать наиболее эффективный уровень безопасности | Запросы и отчеты по угрозам и событиям | Позволяет лучше понять стратегию защиты сети | «Ловушки» и отслеживание трафика, имеющего отношение к атаке | Анализ всей критической информации помогает подготовить реакцию на случайные или преднамеренные атаки | Создание адаптивной защиты, которая оперативно реагирует и блокирует новые и возникающие угрозы | Обнаружение и блокировка атак путем обновления правил и фильтров для коммутируемого межсетевого экрана, маршрутизатора или коммутатора приложений до того, как подвергнется ущербу доступность приложений или производительность | Информация о рынке В 2004 году было отмечено более 150 000 случаев атак. Интернет на сегодняшний день объединяет более 180 миллионов компьютеров, а технологии атак непрерывно развиваются. Организации отмечают как количественный рост числа атак, так и повышение изощренности атак. Серьезной опасностью является атака «нулевого дня» – когда уязвимости подвергаются атаке еще до того, как о них объявлено, и поставщик еще не успел выпустить патч, а производитель антивируса – обновление. По сценарию атаки «нулевого дня» вредоносный код, эксплуатирующий неизвестную до сих пор уязвимость, попадает в Интернет до того, как пользователи узнают об этой уязвимости – часто не остается времени на то, чтобы протестировать и выпустить патч. Многоуровневый подход к защите, разработанный компанией Nortel и включающий в себя систему защиты от угроз, помогает снизить ущерб от известных, новых и неизвестных угроз. Технические характеристики Артикулы и описание Артикул # | Модель # | Описание | EB1639140 | TPS 2050-IS | Система защиты от угроз Threat Protection System 2050 с сенсором вторжений, работающим на скорости 150 Мбит/c. Оснащена 4 портами 10/100/1000 TX. Система оснащена 1 гигабайтом оперативной памяти и жестким диском на 80 Гбайт. | EB1639141 | TPS 2070-IS | Система защиты от угроз Threat Protection System 2070 с сенсором вторжений, работающим на скорости 1 Гбит/c. Оснащена 4 портами 10/100/1000 TX. Система оснащена 2 гигабайтами оперативной памяти и жестким диском на 80 Гбайт, а также двумя процессорами. | EB1639142 | TPS 2070-DC | Система защиты от угроз Threat Protection System 2070 с консолью Центра защиты и программным обеспечением управления. | EB1639155 | TPS 2150-IS | Система защиты от угроз Threat Protection System 2150 с сенсором вторжений, работающим на скорости 100 Мбит/с, и обходным сетевым интерфейсом для линейной работы. Оснащена 4 портами 10/100/1000 TX. Система оснащена 1 гигабайтом оперативной памяти и жестким диском на 80 Гбайт. | EB1639156 | TPS 2170-IS | Система защиты от угроз Threat Protection System 2170 с сенсором вторжений, работающим на скорости 1000 Мбит/с, и обходным сетевым интерфейсом для линейной работы. Оснащена 4 портами 10/100/1000 TX. Система оснащена 2 гигабайтами оперативной памяти и жестким диском на 80 Гбайт, а также двумя процессорами. | EB1639158 | TPS 2050-TI | Система защиты от угроз Threat Protection System 2050 Threat Intelligence обрабатывает трафик на скорости 100 Мбит/с и поддерживает анализ угроз в реальном времени для 8192 узлов. Оснащена 4 портами 10/100/1000 TX. Система оснащена 1 гигабайтом оперативной памяти и жестким диском на 80 Гбайт. | EB1639159 | TPS 2070-TI | Система защиты от угроз Threat Protection System 2070 Threat Intelligence обрабатывает трафик на скорости 1000 Мбит/с и поддерживает анализ угроз в реальном времени для 65 000 узлов. Оснащена 4 портами 10/100/1000 TX. Система оснащена 2 гигабайтами оперативной памяти и жестким диском на 80 Гбайт, а также двумя процессорами. | EB1639160 | TPS-RTI-5 | Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence – до 511 узлов | EB1639161 | TPS-RTI-10 | Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence – от 512 до 1023 узлов | EB1639162 | TPS-RTI-20 | Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence – от 1024 до 2047 узлов | EB1639163 | TPS-RTI-40 | Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence – от 2048 до 4095 узлов | EB1639164 | TPS-RTI-80 | Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence – от 4095 до 8191 узлов | EB1639165 | TPS-RTI-160 | Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence – от 8192 до 16 383 узлов | EB1639166 | TPS-RTI-320 | Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence – от 16 384 до 32 767 узлов | EB1639167 | TPS-RTI-Plus | Лицензия на функцию сбора информации об угрозах в реальном времени Threat Intelligence – более 32 768 узлов | Интерфейсы - 4 порта 10/100/1000 TX
- Консольный порт RS-232C, разъем DB-9, DCE-интерфейс типа «мама» для внеполосного управления
Габариты: - Высота 1,75” (4,44 см)
- Ширина 17,61” (44,0 см)
- Глубина 20” (50,8 см)
- 9,53 кг (устанавливается в стандартную 19-дюймовую стойку EIA, высота 1U)
Сетевые протоколы и совместимость со стандартами - 10BASE-T/100BASE-TX/1000BASE-TX (IEEE 802.3-2000)
- 1000BASE-SX/LX (IEEE 802.3z)
- Управление логическим каналом (IEEE 802.2)
- Управление потоком (IEEE 802.3x)
- Согласование канала (IEEE 802.3z)
- IP (RFC 791)
- ICMP (RFC 792)
- ARP (RFC 826)
- TFTP (RFC 783), FTP (RFC 959)
- Telnet (RFC 854)
- SSH v1/v2
- SSL/TLS (RFC 2246)
- Bootp/DHCP Relay (RFC 2131)
- SNMPv2c (RFC 1901, 1905, 1906, 1907, 2578, 2579, 2580)
- SNMPv3 (RFC 2570, 2571, 2572, 2573, 2574, 2575)
Характеристики электропитания - Универсальный источник питания 100–240 В перем. тока, 3,5 А, 50–60 Гц
- Максимальная потребляемая мощность 250 Вт
- Среднее время наработки на отказ – > 50 000 часов
- Параметры окружающей среды
- Рабочая температура – от 10º до 35º C
- Рабочая влажность – от 8% до 80% (без конденсации)
Сертификаты Электромагнитная совместимость: (требования к электромагнитной совместимости) - США: FCC Part 15, Subpart B Class A
- Австралия: AS/NZS CISPR 22:2002
- Канада: ICES-003
- Япония: VCCI Class A
- Европа: EN 300 386 v1.3.1 (2001-09)
- Тайвань: BSMI Registration Certificate
- Остальной мир: CISPR 22 Class A
Излучения: - США – FCC Class B
- Канада – DOC Class B
- Европа – CE Mark to EN55022/EN50082-1/ICE 801-2/ICE 801-3/ICE 801-4
Отраслевые: Безопасность - IEC 60950 (Международный стандарт)
- Национальные отклонения по странам-участникам «Договора взаимного признания результатов сертификационных испытаний электрического оборудования» согласно IEC 60950
- UL 1950 (США)
- CSA 22.2, No. 950 (Канада)
- EN 60950 (Европа)
Информация для заказа Дополнительную информацию можно получить в местном представительстве Компании БЕЛАМ.
|