《TP主动式入侵防御系统》由会员分享,可在线阅读,更多相关《TP主动式入侵防御系统(58页珍藏版)》请在金锄头文库上搜索。
1、主动式入侵防御系统 - 开创网络安全的新纪元2007年4月议程 Tipping Point公司简介 传统安全模式面临的挑战总结 TippingPoint 主动式防御系统的价值 TippingPoint 主动式防御系统的特色 在商业银行中部署主动式防御系统的建议 成功案例介绍TippingPoint 公司介绍 通过3Com收购TippingPoint证明TP是入侵防御系统的 技术领导者 2002年1月,推出第一个入侵防御解决方案 入侵防御系统荣获本领域的主要奖项 2005年1月,3COM花巨资收购TippingPoint 约200名员工,位于美国德克萨斯州的奥斯汀 拥有深层安全领域的专家和经验丰
2、富的管理层 来自于 Cisco, SANS, NetSpeed, Alcatel, IBM, Efficient, Motive 最好的技术 投次数千万美元用于核心技术的研究和开发 最先进的软件和高速的并行处理技术,拥有多项专利技术的定制数 据包处理ASIC技术,提供了无可比拟的高性能 议程 Tipping Point公司简介 传统安全模式面临的挑战总结 TippingPoint 主动式防御系统的价值 TippingPoint 主动式防御系统的特色 在商业银行中部署主动式防御系统的建议 成功案例介绍漏洞数量激增网络人员疲于应付美国媒体6月18日报道,恶意黑客闯入了 主要为信用卡服务的CardS
3、ystems公司的 客户资料库,窃取了美国约4000万信用卡 账户的资料。CardSystems为万事达 (Master)、维萨(VISA)等主要信用卡服务漏洞数 x 系统数 = 不可完成的任务 攻击范围在扩大而时间在缩短 零时差攻击DDOS攻击对企业构成严重威胁网络钓鱼严重威胁网络银行业务用户对网银 产生恐惧, 或尽量避免 使用网络银 行进行交易议程 Tipping Point公司简介 传统安全模式面临的挑战总结 TippingPoint 主动式防御系统的价值 IPS实现应用、网络架构和性能保护的短片介绍 TippingPoint 主动式防御系统的特色 在商业银行中部署主动式防御系统的建议
4、成功案例介绍议程 Tipping Point公司简介 传统安全模式面临的挑战总结 TippingPoint 主动式防御系统的价值 TippingPoint 主动式防御系统的特色 在商业银行中部署主动式防御系统的建议 成功案例介绍现有的网络安全模型 ExtranetPrivate WANInternetUsersAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 1GbpsAvg. BW = 100Mbps- 有公共DMZ的具安全广播域 - IDS用于信息安全的辩析和审计 DMZ Web FTP SMTP DNSL2 SwitchL2 SwitchL3 Swi
5、tchIDSALERT!IDSALERT!IDSALERT!Avg. BW = N x 1.54Mbps N x 45.3 Mbps1,000s of Network Elements广域网边缘局域网边缘核心局域网局域网分发层 局域网接入仅有防火墙是不够的!- 不够智能HTTP-80/Nimda/P2PFTP-21SMTP-25BackOrifice-31337 蠕虫可以穿透防火墙 并迅速传播,导致主 机瘫痪,吞噬宝贵网 络带宽。P2P等应用,利用80 端口进行协商,然后 利用开放的UDP进行 大量文件共享,导致 机密泄漏和网络拥塞 。“IDS+FW”無法防止攻擊存在弱点的服务器防火墙IDS
6、误报和漏报 !仅仅告警 !南方网黑客对Web服务器进 行漏洞探测用非法网页替换正常网页 获取root权限,植入钓鱼程序FW策略更新 互操作性问题 可靠性问题80端口放过探测安全管理一日 . 网络遭受持续的敌意扫描. 来自外部、内部的侵入服务器的企图 保证你的网页不被替换的挑战. DDoS 攻击耗尽你网络的带宽. 确保你的网络内的主机不被控制而攻击别的网络 责任问题 由于携入蠕虫、电子邮件、非法文件共享,蠕虫和病毒在你的防火 墙后传播 其他的蠕虫攻击你的Web服务器 .垃圾邮件企图利用你的邮件服务器作邮件转发 内部用户通过 P2P泄漏机密信息. 你的DNS被攻击,有时根DNS服务时断时续.Ext
7、ranetPrivate WANInternetUsersAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 1GbpsAvg. BW = 100MbpsDMZ, Web, FTP, SMTP, DNSL2 SwitchL3 SwitchL2 SwitchAvg. BW = N x 1.54Mbps N x 45.3 Mbps 10s of Network Elements10s of Network ElementswirelesswirelessIPS构建网络安全新模式广域网边缘局域网边缘核心局域网局域网分布层 局域网接入TP IPS特点之一:线内工作模
8、式 只有在线内对流量进行处理,才能使IPS真正阻挡出现在网络上的攻击IPS能在一个攻击发生危害 之前,对其实施阻挡 服务器 防火墙PC线内操作并且支持线 速,只要侦测到攻击 ,立即将其拦截 IPS线内操作明显减轻了终端安全管理的压力 Pop Up Blocker Spyware Adware Anti-Virus Personal FW Content Filter Spam Filter IPSec Client Citrix ClientX 1000个以上用户 = 无法管理与操作系统有关与设备有关升级的噩梦迥异的解决方案市场不再 需要更多的终端软件安全解决方案,购买、配置、分发、安装、维护
9、 以及管理这些软件将是一场恶梦更多的客户端软件Client Software ApplicationsTP IPS特点之二:交换机一样的性能IPS必须像千兆交换机一样的高吞吐量和低延时 高呑吐量 IPS的呑吐量必须与网络中的其它网络设备的性能 相匹配 由于IPS要对每一个数据包进行检查,因此在实际 的具有各种流量的网络中测试是非常重要的 Smartbits 和 CAW 是不可能模拟出来 低延时 对于在多数的应用,端到端的性能与延时成反比 加倍的延时使得完成一个任务花费二倍多的 时间 现代网络: 局域网的延时大约200微秒 校园网的延时大约在500微秒 延时呑吐量威胁防御引擎(TSE)确保高性能
10、 基于特定ASIC、FPGA、NP的最新硬件解决方案 支持10,000条以上并行过滤器 微秒级的低延时(小于215微秒) 10多项专利流 状态表 Multi-flow Analysis 基线 异常流量检测 IP 碎片重组 TCP流重组 第七层的数据包 流进行检查 并行处理 正则表达式匹配 协议解码流量整形 数据流 分类和标识 数据包丢弃和重定向 报警和通知 标准化n可编程过滤器1 2 3TP IPS特点之三:高可用性和冗余性 热插拔,冗余电源 内置Watchdog 安全和管理引擎 自动和手动切换到二层透明模式 99.999%的高可用性 网络状态冗余 Active-Active Active-P
11、assive 没有 IP 地址或 MAC 地址 对网络协议协议透明 HSRP, VRRP, OSPF, Spanning tree状态保持热备份内置的高可用性TP IPS特点之四:精准主动防御、及时更新 防御零时差攻击 覆盖已有攻击是基本 TippingPoint 提供数字疫苗进行及时更新 要有反黑客哄骗的能力 IP必须具有规避反制能力: IP 碎片和交迭 TCP 碎片和交迭(TCP fragmentation and overlap) 十六进制编码和统一编码标准(Hex encoding and unicode) 变形攻击(Polymorphic attacks) 等等 高度的精确性 从不阻
12、断一个合法流量:没有误报 决不放过任何攻击流量:没有漏报 自动阻断新的攻击 数字疫苗防御零时差攻击 SANS CERT Vendor Advisories Bugtraq VulnWatch PacketStorm Securiteam数字疫苗能数字疫苗能 够自动分发够自动分发 到用户的到用户的IPSIPS漏洞分析系统智能化原始数据收集数字疫苗生成大规模分发系统 通过Akamai CND在56个国家 的 9,700 个服务器进行分发 RISK Weekly Report过滤器类型 签名(Signature) 漏洞(Vulnerability) 异常流量和(或)异常流量统计 数字疫苗保证防御的及
13、时性时间间隙: “安全窗口”时间 从以前的几个月 到现在的几天一旦蠕虫出现,有漏洞危险的主机受到保 护 蠕虫在几分钟内会全球扩散 Slammer蠕虫在10分钟内攻击了90%有 漏洞的机器 攻击者在准备攻击,危险即 将来临. 冲击波蠕虫(Blaster)是 在攻击码 出现二天后开始的 攻击 漏洞公布攻击码 出现蠕虫 出现所有 有漏洞的主机 受到威协 数字疫苗 在几小时内 分发到客户的IPS TippingPoint 为客户及时提供保护 杀毒软件在病毒爆发后提供解药XXXXXXXXXXXXXX数字疫苗不但保证精度而且具有广度 从2002年2月,TippingPoint发布第一台入侵防御系统开始,为
14、应对 各种动态攻击和满足用户需求,不断开发针对不同领域的数字疫苗:Feb 2002 TippingPoint Launches first IPS漏洞防护Jan, 2004 Mydoom.A Explodes病毒防护VoIP基于应用流量整形 (P2P, IM, etc.)高级 DDOSJune, 2004 New VoIP Digital Vaccine capabilities announcedAugust, 2004 Advanced DDOS capabilities announcedNovember, 2004 First IPS to provide Spyware Covera
15、ge间谍软件IPS规避反制举例 TCP流重组和攻击防御 当收到形成攻击的最后一个包,才触发相应的操作动作 给这个流加上标志,并且对这个流的以后数据包采取相同的操作 如这个操作动作是阻挡,这个流相继的数据包都给阻止 如该操作动作是报警,继续检查该数据流,看是否和某个阻挡规 则匹配 阻挡规则比报警规则具有更高的优先级 规则的优先级,随着用户对操作动作设置的更改而变 TCP 流硝77 硫8 炭15 硫8 炭15 BOWSTOP虚拟软件补丁技术 一个漏洞(弱点)就是软件存在的安全缺陷 一个攻击 就是充分利用某个安全缺陷实现对系统的非授权访问的恶意代 码 简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器 u由于受到处理器引擎性能限制,过滤器开发人员只能采用这种最基本的过滤器u结果:漏报、误报、继续受到攻击 TippingPoint的过滤器实际是一个虚拟软件补丁,它能对漏洞进行全面 保护 漏洞 “特征码”攻击 A “特征码”攻击 B “特征码” (由攻击A的粗糙的 签名造成遗漏的攻 击)误报 (粗糙的签名)简单的攻 击A的过滤 器 虚拟软件补丁对新威胁的自适应性 高性能的硬件引擎,支持上万条过滤器 基
