Características y especificaciones de los sistemas de prevención de intrusiones
Motor de prevención y detección de intrusiones basado en ASIC de TippingPoint
El rendimiento, la estabilidad y la precisión incomparables de UnityOne se desarrollan a través de tecnología patentada desarrollada por los ingenieros y científicos de TippingPoint. Estas ventajas quedan demostradas por el motor de supresión de amenazas TSE de TippingPoint. UnityOne es una plataforma de prevención y detección de intrusiones basada en hardware altamente especializada y compuesta por la última tecnología de procesadores de red. TippingPoint tiene un conjunto completo de módulos FPGA (Capa 7) y Capa 4 (ASIC) de desarrollo propio. TSE (Threat Defense Engine) es un motor de velocidad de línea de hardware que puede realizar todas las funciones necesarias para la detección y defensa de intrusiones. Sus funciones principales incluyen la reorganización de la fragmentación de IP, la reorganización del flujo TCP, el análisis estadístico del comportamiento de los ataques, la gestión del ancho de banda del tráfico de la red y el bloqueo de paquetes maliciosos. , Seguimiento del estado del tráfico y análisis de más de 170 protocolos de comunicación de red de capa de aplicación.
TSE vuelve a ensamblar y detecta el contenido de los paquetes de datos y los analiza en la capa de aplicación de la red. Cuando cada nuevo paquete de datos llega al TSE con el flujo de datos, volverá a verificar si el flujo de datos contiene contenido dañino. Si se detecta en tiempo real que los datos contienen contenido dañino, entonces este paquete de datos y los siguientes pertenecen. este flujo de datos será bloqueado. Esto garantiza correctamente que el ataque no llegará al destino del ataque.
Esta tecnología IPS líder solo es posible cuando se combina con procesadores de red de alta velocidad y chips ASIC personalizados. Esta tecnología de clasificación de tráfico altamente especializada permite a IPS procesar latencia de menos de un microsegundo (latencia por debajo de microsegundo) con velocidades de procesamiento de gigabits y un alto grado de precisión de detección y bloqueo. A diferencia de los sistemas de prevención de intrusiones basados en software o de otros competidores que afirman tener velocidades de procesamiento de gigabits, su rendimiento de procesamiento se verá gravemente afectado por la cantidad de filtros instalados, mientras que el retraso en el procesamiento puede llegar a varios segundos o incluso decenas de segundos. El motor de protección de hardware altamente escalable de UnityOne puede permitir que decenas de miles de filtros se ejecuten simultáneamente sin afectar su rendimiento y precisión.
UnityOne utiliza la innovadora escalabilidad y el alto rendimiento de TSE para detectar anomalías en los protocolos de comunicación y en las estadísticas de tráfico en tiempo real, proteger contra ataques DDoS y bloquear o limitar el ancho de banda de aplicaciones no autorizadas.
Las tres funciones principales de prevención de intrusiones de TippingPoint
UnityOne proporciona las funciones de prevención y detección de intrusiones más completas de la industria, superando con creces las capacidades del IPS tradicional. Las tres principales funciones de defensa y detección de intrusiones definidas por TippingPoint incluyen: protección de aplicaciones, protección de la arquitectura de red y protección del rendimiento. Estas tres funciones principales proporcionan la protección más potente y completa contra diversas formas de ataques a la red, como virus, gusanos, ataques de denegación de servicio e intrusiones y accesos ilegales.
Protección de aplicaciones: UnityOne proporciona protección que se extiende a clientes, servidores y capas 2 a 7 de ataques basados en red, como virus, gusanos y troyanos. Al utilizar tecnología que inspecciona en profundidad los paquetes de la capa de aplicación, UnityOne puede distinguir entre el contenido de paquetes legítimo y dañino. Los últimos ataques pueden penetrar fácilmente los cortafuegos mediante técnicas disfrazadas de aplicaciones legítimas. UnityOne utiliza el reensamblaje del tráfico TCP para examinar el contenido de los paquetes de la capa de aplicación para identificar flujos de datos legítimos y maliciosos. La mayoría de los sistemas de prevención de intrusiones defienden contra ataques conocidos, pero UnityOne utiliza un mecanismo de filtrado basado en vulnerabilidades para proteger contra todas las formas de ataques conocidos y desconocidos.
Protección de la infraestructura de red: enrutadores, conmutadores, servidores DNS y firewalls son dispositivos de red que pueden ser atacados. Si estos dispositivos de red son atacados y causan tiempo de inactividad, todas las aplicaciones críticas de la empresa también se verán afectadas. cerrar. El mecanismo de protección de la arquitectura de red de UnityOne proporciona una serie de filtros de vulnerabilidad de red para proteger los dispositivos de red de ataques. Además, UnityOne también proporciona filtros con un mecanismo de estadísticas de tráfico anormal. Para el tráfico de red normal que excede la "línea de base", se pueden llevar a cabo acciones como advertencias, restricciones de tráfico o bloqueo de tráfico según el protocolo de comunicación o las características de la aplicación. Esto puede evitar desconexiones de red o congestión causadas por DDoS y otros ataques de tráfico desbordado.
Protección del rendimiento: se utiliza para proteger el ancho de banda de la red y el rendimiento del host frente a aplicaciones ilegales que ocupan el rendimiento normal de la red. Si un enlace de red está congestionado, los datos importantes de la aplicación no pueden viajar a través de la red.
Las aplicaciones no comerciales, como las aplicaciones de intercambio de documentos (P2P) de igual a igual o el software de mensajería instantánea (IM), agotarán rápidamente el ancho de banda de la red, por lo que UnityOne proporciona funciones de protección del ancho de banda (Tráfico/Configuración de velocidad) para ayudar a las empresas a identificar cuidadosamente las actividades ilegales. tráfico de aplicaciones y reducir o limitar su uso de ancho de banda.
Los tres principales mecanismos de defensa y detección de intrusiones de TippingPoint
La línea de productos UnityOne IPS de TippingPoint puede operar tres mecanismos de defensa y detección de intrusiones independientes pero complementarios al mismo tiempo: filtro de vulnerabilidad, filtro de firma de ataque y Filtros de anomalías de tráfico. La capacidad de TippingPoint para operar estos tres mecanismos simultáneamente proviene de este conjunto de ASIC especialmente desarrollado.
El filtro de vulnerabilidad protege principalmente el sistema operativo y las aplicaciones. Este filtro actúa como un parche de software virtual basado en la red, protegiendo a los hosts de ataques basados en la red que explotan vulnerabilidades no parcheadas. Una vez que se descubre una nueva vulnerabilidad y los piratas informáticos comienzan a explotarla, el filtro de vulnerabilidad se activará en tiempo real para proteger la vulnerabilidad. El modo de operación de este mecanismo de filtrado es reorganizar la información de la capa 7 para que el tráfico de la capa de aplicación pueda inspeccionarse completamente. Las reglas de filtrado pueden especificar condiciones especiales, como la detección del proceso de operación de la aplicación (como la excepción de la aplicación de desbordamiento del búfer) o las especificaciones del protocolo de comunicación (como la excepción RFC).
El filtro de anomalías de tráfico se utiliza para detectar cambios en los patrones de tráfico. Estos mecanismos de filtrado ajustan y aprenden los patrones de "tráfico normal" en el entorno particular en el que opera UnityOne. Una vez que el tráfico normal se establece como base, estos mecanismos de filtrado detectarán el tráfico de red estadísticamente anormal basándose en umbrales ajustables. El mecanismo de filtrado de anomalías de tráfico puede bloquear eficazmente ataques distribuidos de denegación de servicio (DDOS), gusanos desconocidos, tráfico anormal de aplicaciones y otros ataques relámpago de día cero. Además, una característica especial importante de UnityOne es que puede asignar el tráfico de red más apropiado según el tipo de aplicación, protocolo de comunicación e IP.
El filtro de firmas de ataques se dirige principalmente a ataques que no requieren la explotación de vulnerabilidades de seguridad, como virus o troyanos. Este método de filtrado debe comprender completamente las características de los ataques conocidos y ser capaz de detectar y crear una base de datos de firmas defensiva. Actualmente, TippingPoint cuenta con un equipo profesional que analiza diversas amenazas de ataque de todo el mundo las 24 horas del día, los 7 días de la semana, y coopera con equipos de seguridad de la información reconocidos como SANS, CERT, SECURITEAM, etc., para brindar a todas las personas en el mundo actualizaciones en línea en Por primera vez, Corner UnityOne está equipado con la última base de datos de firmas de ataques.
Mecanismo de actualización en línea de vacunas digitales TippingPoing
Suzhou Zhongli Digital trabajará junto con HP en la seguridad de la información empresarial. Además de proporcionar análisis de vulnerabilidades SANS cada semana, el equipo de seguridad de TippingPoint también produce simultáneamente una base de datos de filtros para vulnerabilidades y las mezcla en Digital Vaccines. Las vacunas digitales no solo crean filtros para ataques específicos, sino que también incluyen variantes de ataques y bloqueos con ataques relámpago de día cero. . Para tener la mayor cobertura de seguridad, Digital Vaccine no solo actualiza la base de datos de filtros en línea periódicamente cada semana, sino que también genera nuevos filtros en cualquier momento para vulnerabilidades o ataques que representan amenazas graves. Digital Vaccine también implementará automáticamente nuevos filtros en el mundo. en el UnityOne IPS.
Para defenderse de las últimas vulnerabilidades y ataques, los últimos filtros se actualizarán continuamente en el IPS. Cada filtro puede verse como un parche de software virtual en la red para proteger a los hosts internos de ataques. Cualquier tráfico dañino que intente explotar vulnerabilidades específicas será detectado y bloqueado en tiempo real. En otras palabras, este enfoque utiliza un proceso de parcheo virtual para proteger miles de sistemas sin parches.
Los expertos en seguridad de TippingPoint son reconocidos en todo el mundo. Más de 250.000 administradores y expertos en seguridad de todo el mundo se han suscrito al informe de análisis SAN @RISK compilado por TippingPoint. El mismo análisis se aplicó al desarrollo de vacunas digitales, priorizando los mejores filtros para proteger a los clientes de TippingPoint.
TippingPoint tiene el mecanismo de confiabilidad más completo
El concepto de diseño de UnityOne es garantizar que, sin importar qué falla ocurra en la red, qué errores ocurran dentro del dispositivo y el sistema, o incluso el dispositivo pierde completamente la energía. La red siempre está fuera de línea y se garantiza que mantendrá el funcionamiento a la velocidad de la línea. UnityOne utiliza un mecanismo de respaldo interno del sistema y un mecanismo de respaldo del estado de la red, y se complementan entre sí para garantizar la máxima disponibilidad de la red.
UnityOne tiene una variedad de mecanismos de respaldo integrados: 1. Todos los dispositivos tienen dos adaptadores de corriente intercambiables en caliente y de respaldo mutuo.
2. Los temporizadores de vigilancia monitorearán continuamente los motores de seguridad y administración. Una vez que se detecta un error del sistema, UnityOne puede cambiar automática o manualmente a dispositivos de Capa 2 para garantizar que la red permanezca fuera de línea. Además, TippingPoint también proporciona un adaptador de corriente externo (Zero Power High Availability). Cuando toda la sala de computadoras o el centro de datos se queda sin energía, todo el tráfico cambiará automáticamente (Power Bypass) para ser operado por este dispositivo.