Система защиты от угроз Nortel Threat Protection System

Взяв за основу систему обнаружения вторжений на базе технологии SNORT, Nortel совместила ее с лучшим в отрасли коммутируемым межсетевым экраном для создания адаптивной системы защиты от угроз. Эта комбинированная система защищает сеть от нападений хакеров, атак, «червей» и вирусов. Теперь эта технология дополнена многоуровневой линейной моделью системы предотвращения вторжений (IPS) и системой обнаружения угроз в реальном времени. Вместе эти системы обеспечивают:

• Высокоскоростную предварительную обработку и анализ опасного трафика
• Многоуровневую проверку и сканирование аномалий для обнаружения сложных и новых видов угроз
• Работу базы данных сигнатур, создаваемой усилиями мирового сообщества пользователей SNORT
• Получение информации из расширенных запросов и отчетов – что приводит к более надежной защите сети и позволяет оценивать соответствие требованиям структуры безопасности организации
• Полная поддержка от Nortel, в том числе обновления подписей, делают систему защиты от угроз простой в установке и поддержке

Средние и крупные организаций в таких областях, как здравоохранение, финансы, производство и транспорт, коммунальные службы, сферы обслуживания, правительственные учреждения, образовательные учреждения и высокотехнологичные производства, которые:

• Должны соответствовать корпоративным и правительственным требованиям безопасности
• Обеспокоены возможностью нападения «червей», вирусов и хакеров, которые могут вызвать перерывы в работе и принести реальные убытки
• Ценят защищенный удаленный доступ для сотрудников, партнеров и клиентов
• Нуждаются в современных средствах обнаружения и блокирования угроз, помогающие уберечь критически важные бизнес-системы от ущерба
• Нуждаются в решениях безопасности, способных различать типы приложений и приспосабливаться к изменяющимся требованиям сети и видам угроз

Сервисные организации, предлагающие услуги управляемой защиты предприятиям всех типов и размеров. Это может быть системный интегратор, поставщик комплексных решений, провайдер услуг, владелец недвижимости, правительственное учреждение или учрежденческое сервисное бюро в составе крупной международной компании. Требования к услугам:

• Выполнение соглашений об уровне обслуживания и возможность демонстрировать эффективность и действенность политики безопасности
• Получение достоверной информации об угрозах для планирования и устранения неисправностей – что влияет на прибыльность сервиса
• Защищенный удаленный доступ к нескольким доменам
• Современные средства обнаружения и блокирования угроз, помогающие уберечь критически важные бизнес-системы от ущерба
• Решения безопасности, способные различать типа приложений и приспосабливаться к изменяющимся требованиям сети и видам угроз

• Количество инцидентов, относящихся к безопасности, возрастает – в 2004 году зафиксировано более 140 000 случаев.
• Техническая изощренность и сложность атак возрастает.
• Расширенное использование мобильности и различных технологий доступа дают злоумышленникам новые возможности обхода защитных структур сети.
• Новые требования регулирующих органов и проверки систем корпоративной безопасности повышают необходимость в изучении и составлении отчетов по системе безопасности.

• Обнаружение угроз при помощи сенсоров вторжения
  •  Многоуровневая проверка – Проверка полей протоколов на предмет специфических признаков нападения с использованием метода обнаружения на основе правил. Это помогает обнаружить угрозы, прячущиеся глубоко в потоке данных.
  • Обнаружение аномалий – Комплексный анализ протокола с сохранением результатов и нормализацией в ходе первичной обработки на коммутаторе. Это помогает обнаружить необычные изменения в потоке данных, которые возникают в результате сканирования портов, снятия отпечатков с IP-стека, атак, направленных на отказ в обслуживании и подмена информации протокола разрешения адресов (ARP).
• Сбор информации об угрозах в реальном времени – Мониторинг и регистрация всех ресурсов и потоков трафика в сети – любых IP-адресов, которые могут являться источником или жертвой атаки. Результаты исследования угроз в реальном времени анализируются вместе с событиями, отмеченными сенсорами вторжения, и на их основе составляется очень подробный отчет об угрозах. Действия для блокировки или изоляции атаки могут быть предприняты немедленно в ручном или автоматическом режиме.
• Анализ угроз
  • Запросы и отчеты – Детальный анализ сигналов тревоги и событий. Позволяет администраторам оперативно реагировать на новые или текущие угрозы. Широкие возможности составления отчетов позволяют сопоставлять информацию о событиях для анализа, архивирования и выполнения требований регулирующих органов.
  • «Ловушки» и слежение – Администраторы имеют возможность помечать и отслеживать сессии, которые последовали за угрозой. Эта функция записывает всю последующую информацию и полезна при полном анализе воздействия, источника и цели атаки.
  • База данных по событиям – Высокопроизводительная база данных, доступная с консоли управления центра защиты, способна хранить миллионы событий. Поддержка всестороннего анализа помогает выделить долгосрочные тенденции в области безопасности. База данных устанавливается и конфигурируется предварительно, ее обслуживание производится автоматически. Это помогает администраторам сконцентрироваться на обобщении и анализе событий.
• Реакция на угрозы
  • Линейная защита от угроз – Линейные сенсоры вторжения производят многоуровневую проверку, обнаружение аномалий и сбор информации об угрозах в реальном времени для обнаружения угроз. После обнаружения угрозы опасные потоки трафика останавливаются или ограничиваются по скорости, чтобы свести к минимуму ущерб от атаки.
  • Адаптивная защита с обновлением в реальном времени – Оффлайновые сенсоры производят многоуровневую проверку, обнаружение аномалий и сбор информации об угрозах в реальном времени для обнаружения угроз. После обнаружения угрозы на коммутируемые межсетевые экраны Nortel и коммутаторы приложений Application Switch обновления направляются в реальном времени. Опасные потоки трафика останавливаются или ограничиваются по скорости, чтобы свести к минимуму ущерб от атаки.
• Управление политиками и контроль конфигураций – Центр защиты управляет политиками сенсоров, определяет реакцию на сигналы тревоги и уровни административных привилегий пользователям из единого центрального местоположения. Единый центр защиты поддерживает крупную иерархическую группу систем сбора информации об угрозах и сенсоров вторжения. Она обобщает и представляет данные о событиях, произошедших в пределах системы сенсоров. Для сопоставления и анализа угроз сети или приложений администраторами систем безопасности могут использоваться встроенные аналитические инструменты Центра защиты.

Развертывание системы защиты от угроз в сети

Реакция на угрозы с коммутируемым межсетевым экраном Nortel Switched Firewall

Сбор информации об угрозах в реальном времени и обнаружение вторжений помогают построить адаптивную защиту

Характеристики и преимущества

В 2004 году было отмечено более 150 000 случаев атак. Интернет на сегодняшний день объединяет более 180 миллионов компьютеров, а технологии атак непрерывно развиваются. Организации отмечают как количественный рост числа атак, так и повышение изощренности атак. Серьезной опасностью является атака «нулевого дня» – когда уязвимости подвергаются атаке еще до того, как о них объявлено, и поставщик еще не успел выпустить патч, а производитель антивируса – обновление. По сценарию атаки «нулевого дня» вредоносный код, эксплуатирующий неизвестную до сих пор уязвимость, попадает в Интернет до того, как пользователи узнают об этой уязвимости – часто не остается времени на то, чтобы протестировать и выпустить патч. Многоуровневый подход к защите, разработанный компанией Nortel и включающий в себя систему защиты от угроз, помогает снизить ущерб от известных, новых и неизвестных угроз.

Артикулы и описание

• 4 порта 10/100/1000 TX
• Консольный порт RS-232C, разъем DB-9, DCE-интерфейс типа «мама» для внеполосного управления

Габариты:

• Высота 1,75” (4,44 см)
• Ширина 17,61” (44,0 см)
• Глубина 20” (50,8 см)
• 9,53 кг (устанавливается в стандартную 19-дюймовую стойку EIA, высота 1U)

Сетевые протоколы и совместимость со стандартами

• 10BASE-T/100BASE-TX/1000BASE-TX (IEEE 802.3-2000)
• 1000BASE-SX/LX (IEEE 802.3z)
• Управление логическим каналом (IEEE 802.2)
• Управление потоком (IEEE 802.3x)
• Согласование канала (IEEE 802.3z)
• IP (RFC 791)
• ICMP (RFC 792)
• ARP (RFC 826)
• TFTP (RFC 783), FTP (RFC 959)
• Telnet (RFC 854)
• SSH v1/v2
• SSL/TLS (RFC 2246)
• Bootp/DHCP Relay (RFC 2131)
• SNMPv2c (RFC 1901, 1905, 1906, 1907, 2578, 2579, 2580)
• SNMPv3 (RFC 2570, 2571, 2572, 2573, 2574, 2575)

Характеристики электропитания

• Универсальный источник питания 100–240 В перем. тока, 3,5 А, 50–60 Гц
• Максимальная потребляемая мощность 250 Вт
• Среднее время наработки на отказ – > 50 000 часов
• Параметры окружающей среды
• Рабочая температура – от 10º до 35º C 
• Рабочая влажность – от 8% до 80% (без конденсации)

Сертификаты

Электромагнитная совместимость: (требования к электромагнитной совместимости)

• США: FCC Part 15, Subpart B Class A
• Австралия: AS/NZS CISPR 22:2002
• Канада: ICES-003
• Япония: VCCI Class A
• Европа: EN 300 386 v1.3.1 (2001-09)
• Тайвань: BSMI Registration Certificate
• Остальной мир: CISPR 22 Class A

Излучения:

• США – FCC Class B
• Канада – DOC Class B
• Европа – CE Mark to EN55022/EN50082-1/ICE 801-2/ICE 801-3/ICE 801-4

Отраслевые:

• EAL-4
• OPSEC
• ICSA

Безопасность

• IEC 60950 (Международный стандарт)
• Национальные отклонения по странам-участникам «Договора взаимного признания результатов сертификационных испытаний электрического оборудования» согласно IEC 60950 
• UL 1950 (США)
• CSA 22.2, No. 950 (Канада)
• EN 60950 (Европа)

Дополнительную информацию можно получить в местном представительстве Компании БЕЛАМ.