Ips tag что это
An IPS tag, otherwise known as an Internet Provider Security tag, is a label that identifies domain registrars when administering domain name registration and DNS services.
This system was initially developed by Nominet's predecessor, known as the "Naming Committee," and the original definition of the acronym is currently unknown. IPS is now widely considered to stand for Internet Provider Security tag, and while the term IPS tag itself is now deemed obsolete by Nominet UK, the term has since been replaced with registrar tag.
You can now move your domain names to Pickaweb for FREE.
We provide first class internet services including web hosting, email and domain name registrations. We are experts in our field and we are dedicated to being the best. That is why thousands of people and businesses have joined us since the year 2000. Our friendly & experienced staff are standing by, 24 hours a day, should you have any questions.
What is an IPS Tag?
If you wish to change domain providers you would need to change the IPS Tag.
The IPS Tag change has to be made through your current domain registration provider. If you are unable to contact your current provider any longer you can contact Nominet. which is the UK organization that issues UK domain names to make the change for you. The IPS tag change can take 24-48 hours to take effect. Transfer your domain to Pickaweb. It is absolutely FREE. Thereafter you renew at £6.99/ year
Why is an IPS Tag Important?
If you change the IPS tag without contacting Billing the domain will be moved into eNom with no account to control it, and you can easily lose your domain name.
With Pickaweb you will be able to:
- Manage your domain name yourself through our easy to use domain name management control panel.
- Be in full control of your domain name in real time. Make DNS changes, change contact details.
It´s easy and it's fast. All you have to do is to place your order and you will immediately receive an email with full instructions. Our friendly & experienced staff are standing by, 24 hours a day, should you have any questions.
Transfer your domain names to Pickaweb. It is absolutely FREE. Click here for full Domain Pricing.
- Instant Transfers (change the IPS Tag)
- No Paperwork
- Friendly 24x7 customer support
Два варианта использования NIPS
Давайте рассмотрим архитектурное применение IPS. Здесь тоже все довольно просто, есть два варианта использования сетевого IPS:
- Inline mode. По-русски мы это называем “в разрыв”. Т.е. реальный сетевой трафик проходит через IPS. IPS в данном случае работает как обычный бридж (т.е. на втором уровне модели OSI). Данный режим самый оптимальный с точки зрения защиты. В случае обнаружения атаки, IPS может сразу заблокировать сессию и компьютер атакующего. Есть конечно и негативные моменты в виде false positive срабатываний, ну т.е. ложных срабатываний, когда IPS блочит нормальный трафик. Но это отдельная тема, мы чуть позже ее обсудим.
- Promiscuous mode. Опять же, по-русски — режим мониторинга. Как правило в таком режиме IPS “вешается” на SPAN-порт, который “зеркалирует” на устройство КОПИЮ! трафика. В этом варианте, IPS автоматически превращается в IDS, т.к. он работает уже не с реальном трафиком и у него нет возможности оперативно блокировать атаки. Т.е. это плохой вариант, когда требуется максимальная защищенность.
Are you looking to transfer your domain name to a new domain registration provider?
Are you no longer able to contact the company you registered the domain name with?
Or are their prices too high and you wish to move your domain names to Pickaweb to benefit from our excellent round the clock service and prices.
What is HostGator's IPS Tag?
Some providers utilize a “handshake” system in which an incoming transfer may require approval which can prevent the IPS tag from updating automatically. Please check with your provider as they can approve the transfer once the tag has been changed.
Hosting
Domains
Services
Affiliates
Support
Company
HostGator Website Transfers
HostGator is committed to making it easy to transfer your site to your new hosting account. We can transfer website files, databases, scripts, and one free domain registration transfer.
What qualifies me for a free transfer?
HostGator provides free transfers for new accounts within 30 days of sign-up, and to newly upgraded accounts. For upgraded accounts it must be an inter-server upgrade to qualify. Please note that downgraded accounts do not qualify for free transfers.
Depending on which type of account you sign up for, we offer differing numbers of free transfers. Please refer to the chart below to see what we include for new packages.
Full cPanel Transfers is the number of cPanel to cPanel transfers that are included.
Max. Manual Transfers is the maximum number of Manual Transfers that are included with your account.
Total Free Transfers is the total number websites that we will move for you.
Account Type | Total Free Transfers | Full cPanel Transfers | Max. Manual Transfers |
---|---|---|---|
? Shared | 1 | 1 2 | 1 |
? Reseller | 30 | 30 2 | 30 |
? VPS | Unlimited 1 | Unlimited 2 | 10 per VPS level |
? Dedicated (Basic) | Unlimited 1 | Unlimited 2 | 75 |
? Dedicated (Standard, Elite, Pro) | Unlimited 1 | Unlimited 2 | 100 |
1 While we can do unlimited cPanel to cPanel transfers for you, depending on your account, you will have a limited number of Manual Transfers.
2 Full cPanel transfers include all domains, Addon Domains, Subdomains, and cPanel settings. This will also include your emails and email accounts. Please note that this does require that your old host's cPanel backup generator to be active.
A few examples: An Aluminium Reseller account includes up to 30 free transfers. Out of this 30, you can have 20 cPanel to cPanel transfers and 10 Manual Transfers, or any combination of the two that totals 30 or less websites. Another example: A Pro Dedicated server includes unlimited cPanel to cPanel transfers, this means you can have 150 sites (or even more) moved. Also since there is an unlimited total number of transfers, you can utilize up to 100 Manual Transfers.
Unmetered Web Hosting
How much disk space and bandwidth will my plan include?
Diskspace and Bandwidth is "Unmetered" which means you are not charged according to the amount of diskspace or bandwidth you use.
However, that being said, we do require all customers to be fully compliant with our Terms of Service and to only utilize disk space and bandwidth in the normal operation of a personal or small business website.
For example, customers who are using 25% or more of system resources for longer than 90 seconds would be in violation of our Terms of Service. Please see our TOS or contact us with any questions.
What happens if I exceed usage?
If we have concerns about your account's bandwidth or disk space utilization, you will receive an email asking you to reduce usage.
Again, it is very rare for a customer who is managing a personal or small business website to exceed our usage policies.
This file was last modified 7/20/2015.
Money Back Guarantee
We are confident you will be happy, and even offer you a full 45 day money back guarantee to try us out.
We're here to help you as well with 24/7 phone, live chat and helpdesk support by friendly support agents.
If you are not completely satisfied with our services within the first 45 days of your service, you will be given a full refund of the contract amount.
Please note that this is only for shared, reseller and vps hosting packages and does not apply to dedicated servers, administrative fees, install fees for custom software, or domain name purchases.
For more information please contact us at any time and we'll be happy to provide you more information.
Pricing Reflects A Discount On The First Invoice Only
HostGator often offers promotions, coupons and special offers to customers during their initial term. Please note that special offers are limited-time promotional prices that are available to new customers and are valid for the Initial Term only, and not for successive or renewal periods. Promotional rates apply to Shared, Cloud, VPS, Dedicated, WordPress and Reseller hosting plans and will automatically renew after initial term at regular rate found in your control panel.
*VAT (Value Added Tax) is not included in our advertised price and will be charged separately and itemized on invoices and billing information. Standard VAT rates based on EU Member State regulations may apply. For more information on VAT, please refer to the Value Added Tax (VAT) knowledgebase article.
Чарльз Бруно Компания Cisco Systems продолжает работать над сближением двух часто противопоставляемых друг другу технологий - маршрутизации и коммутации. Демонстрируя свой вариант IP-коммутации, получивший кодовое название Tag Switching, Cisco заявляет
Компания Cisco Systems продолжает работать над сближением двух часто противопоставляемых друг другу технологий - маршрутизации и коммутации. Демонстрируя свой вариант IP-коммутации, получивший кодовое название Tag Switching, Cisco заявляет, что намерена помочь операторам Internet повысить качество услуг и усовершенствовать крупные сети, основанные на применении маршрутизаторов.
Фактически технология Tag Switching позволит увеличить производительность сетей маршрутизации, основанных на уже установленном оборудовании Cisco, без немедленного и повсеместного перехода на ATM-коммутацию.
IP-коммутаторы помечают каждый поток в соответствии с видом услуги, которую он реализует, динамически устанавливая таким образом своеобразное виртуальное соединение. По мнению Брента Билгера, директора по маркетингу Cisco Service Provider Market, такой подход требует большого числа виртуальных соединений, связан с достаточно длительными вычислениями и поэтому обладает недостаточной масштабируемостью, если брать в расчет размах Internet.
Коммутаторы, установленные в магистральных сетях Internet, попросту не справляются с обработкой данных, выдаваемых в TCP-сеансах на скоростях OC-3 или OC-12, считает Билгер.
Предлагаемая Cisco технология Tag Switching подразумевает использование в маршрутизаторах (и в их аналогах, встроенных в ATM-коммутаторы) преконфигурированных таблиц маршрутизации, сопоставляющих некий тег с каждым доступным маршрутом. Теги эти вычисляются и сообщаются маршрутизатору заранее, в отличие от динамической установки виртуальных соединений. После того как маршруту присвоен тег, каждое маршрутизирующее устройство при продвижении пакетов оперирует только им.
Благодаря этому маршрутизатор, пытаясь определить наилучший путь передачи данных, не выполняет сложную процедуру поиска по таблице, а, обращаясь по индексу, сразу обнаруживает необходимую запись в таблице и получает инструкции по продвижению пакета данных.
"Tag Switching позволит операторам Internet, которые вложили значительные средства в маршрутизаторы, сбалансировать нагрузку на свои магистральные сети", - уверен Билгер.
Впрочем, немедленного роста производительности Internet-маршрутизаторов ждать не стоит. Технология Tag Switching станет доступной с первого квартала 1997 года как дополнение к ПО Internetwork Operating System для маршрутизаторов Cisco 7500. Во второй половине следующего года Cisco планирует выпустить соответствующее ПО для коммутаторов StrataCom BPX.
Тем временем представители Ipsilon Networks (небольшой компании, разработавшей технологию коммутации IP Switching - прим. ред.) отказались согласиться с заявлениями Cisco о недостаточной масштабируемости устройств IP-коммутации: "Мы предлагаем целый спектр уровней детализации при построении виртуальных соединений". В доказательство перспективности своей технологии Ipsilon также сослалась на тот факт, что недавно такие компании как IBM, 3Com и Hewlett-Packard продемонстрировали устройства, основанные на IP-коммутации.
What to do if you wish to change IPS Tag domain registration company.
Watch quick IPS Tag video
Типичные заблуждения на счет IPS
1. IPS защищает только от атак сетевого уровня
Пожалуй это самый распространенный миф. Исторически конечно IPS в первую очередь защищал от сетевых атак, таких как сканирование портов, брутфорс, некоторые виды ddos-а ну и конечно борьба с аномалиями. Однако! Многие до сих пор не знают, что IPS может проверять и скачиваемые файлы! И если файл содержит exploit, то IPS заблокирует его скачивание быстрее чем Anti-Virus, т.к. IPS работает в потоке трафика, а Anti-Virus вынужден ждать пока в буфер скачается весь файл. Т.е. IPS проверяет такие файлы как pdf, doc, xls и многое другое. Я обязательно покажу это в лабораторной работе. Поэтому, включенный IPS существенно повысит защиту ваших пользователей, которые качают из интернета различные файлы. Не пренебрегайте этим дополнительным уровнем защиты!
2. IPS уже не актуален и ни от чего не защищает
Еще один популярный миф. Безусловно, в последнее время профессиональные хакеры стараются не использовать классические инструменты атаки, такие как сканирование портов, брутфорс и т.д. И все потому, что такие атаки сразу заметны и генерят огромное кол-во алертов на классических средствах защиты. Однако! Это имеет место быть только при очень сложных и таргетированных атаках, когда за дело берется настоящий профессионал. 99% всех успешных атак — автоматизированные боты, которые сканируют сеть на предмет известных уязвимостей, которые затем и эксплуатируют. IPS все это видит! Более того, опять же вспомнив wannacry, после обнаружения этой уязвимости, Check Point выпустил IPS-сигнатуру буквально через пару дней. Microsoft же выпустил заплатку куда позже (через пару недель на сколько я помню). Включенный IPS с актуальными сигнатурами отлично отражает подобные автоматизированные атаки, которые до сих пор преобладают (да и вряд ли что-то изменится в ближайшем будущем).
3. IPS не надо часто обновлять
Собственно в предыдущем пункте я констатировал, что включенный IPS именно с АКТУАЛЬНЫМИ сигнатурами обеспечивает защиту от автоматизированных атак. Почему-то многие считают, что регулярно обновлять нужно только антивирусные базы, при этом напрочь забывая про IPS. А ведь сигнатуры для IPS появляются или обновляются буквально каждый день. Для примера можно воспользоваться ресурсом Check Point. Как видите только за последние пару дней вышло несколько новых сигнатур. Либо были обновлены ранее созданные.
IPS с актуальными базами это очень важно. Как я уже сказал ранее, IPS сигнатуры выходят быстрее чем патчи от вендоров. Если у вас старые сигнатуры, то ваш IPS просто в пустую молотит трафик и бесцельно расходует системные ресурсы. И не верьте отечественным производителям СОВ, которые говорят, что обновление раз в месяц это нормально (как правило именно такой период они ставят и скорее всего это связано с тем, что они используют базы snort, которые для бесплатной версии обновляются с задержкой в 30 дней).
4. IPS существенно снижает производительность устройства
Что я могу сказать об этом мифе. И да и нет. Безусловно, включение IPS увеличивает нагрузку и на процессор и на оперативную память. Но все не так драматично, как принято считать. Колоссальное повышение нагрузки при включении IPS как правило проявляется в двух случаях:
- Вы (или Вам) неправильно подобрали решение. Будь то аппаратный аплайнс или виртуальное решение. Это к вопросу, что все необходимо тестировать перед покупкой. Опять же, тут многое зависит от того, кто подбирает решение. Уделяйте этому особое внимание. Внимательно пользуйтесь даташитами на устройства. Там обязательно указывается пропускная способность устройства при включенном IPS. Ну и опять же, у Check Point-а есть инструмент сайзинга, который дает весьма реалистичные рекомендации по поводу подходящей модели. Обязательно пользуйтесь сайзингом! Если у вас нет доступа к этому инструменту, просите своих партнеров.
- Вторая и самая распространенная причина повышенной загрузки из-за IPS — включено слишком много сигнатур. Это одна из крайностей использования IPS, когда включаются абсолютно все доступные сигнатуры, по причине того, что изначально не понятно, какие именно нужны. Это очень грубая ошибка приводит к просто дикой загрузке устройства и большому количеству ложных срабатываний. Напоровшись на это многие администраторы решают отключить IPS, т.к. с ним пограничный шлюз просто “загибается”. Как быть? Ну для начала нужно определить, что именно вы собираетесь защищать. Логично предположить, что если у вас в DMZ находится почтовый сервер на Linux-е, то наверно не стоит включать для этого сегмента сигнатуры связанные с уязвимостями Microsoft, MacOS, Android, Wordpress и т.д. Думаю общий смысл понятен. Молотить трафик всеми сигнатурами без разбора — очень дорого. Чтобы IPS эффективно расходовал ресурсы, необходимо включить только нужные сигнатуры и выключить ненужные. Звучит просто. Но реализация представляется весьма сложной. Отсюда растет следующий миф.
5. IPS трудно настраивать
Отчасти это справедливое мнение, которые имело место быть. На самом деле многие IPS решения до сих пор весьма сложны в освоении. Но это не про Cheсk Point. Давайте по порядку. Как обычно выглядит сигнатура? Как правило это что-то вроде:
IGSS SCADA ListAll Function Buffer Overflow
WebGate Multiple Products WESPMonitor Stack Buffer Overflow
И попробуй разберись, что это за сигнатура, для чего она, сильно ли нагрузит шлюз ее включение, насколько она критична? К счастью в Check Point-е есть подробное описание каждой сигнатуры. Описание видно прямо в SmartConsole и вам не придется гуглить каждое название. Более того, для удобства, Check Point присвоил каждой сигнатуре несколько тегов:
- Severity (т.е. уровень опасности, которую может закрыть данная сигнатура);
- Confidence level (уровень достоверности сигнатуры, т.е. какова вероятность адекватности срабатывания этой сигнатуры. Это очень важная характеристика особенно для поведенческого анализа)
- Performance Impact (этот тэг показывает на сколько сильно включенная сигнатура будет грузить устройство)
- Vendor — вы можете отфильтровать сигнатуры по Вендору (например уязвимости связанные со всеми продуктами компании Adobe или Microsoft)
- Product — возможно отфильтровать по продукту (например Microsoft Office или WordPress).
С помощью этих тегов, можно довольно быстро сформировать список сигнатур, которые вы хотите включить. И для этого вам не надо иметь семь пядей во лбу. Ну и естественно перед этим вам нужно сделать небольшой аудит сети и понять, какой софт используют ваши сотрудники.
Более подробно работу с этими тегами мы обсудим уже в лабораторной работе.
6. Работа с IPS это нудная и рутинная работа
Я уже много раз говорил, что информационная безопасность это не результат, а непрерывный процесс. Нельзя один раз настроить систему и забыть про нее. Нужна непрерывная, систематическая доработка. Тоже самое касается IPS. И тут обычно возникают трудности. Практически любая более менее адекватная IPS система генерит огромное кол-во логов. Как правило они выглядят подобным образом:
А теперь представьте, что этих логов набралось несколько тысяч за неделю. Каким образом вам анализировать их? Как понять какие события происходят чаще всего? Какие сигнатуры возможно надо выключить или какие хосты возможно стоит заблокировать на уровне firewall-а?
Конечно логи чекпоинта выглядят более привлекательно и наглядно:
Тут видно и Severity и Performance Impact и Confidence Level. Однако это не решает проблему анализа такого большого количества событий. Как правило именно здесь вспоминают про SIEM системы, которые призваны агрегировать, коррелировать и выполнять первичный анализ событий. К счастью у Check Point есть встроенная SIEM система — Smart Event. Этот блейд позволяет видеть логи IPS уже в обработанном и агрегированном виде:
Как вы понимаете, с этим уже гораздо проще работать. Главная ценность SIEM в том, что эта система позволяет “увидеть” вашу защищенность в количественном выражении. В любой работе нужно видеть результат и здесь гораздо проще ориентироваться на цифры. В нашем примере мы видим, что присутствует довольно большое количество логов с Severity уровня Critical. Именно с ними и нужно начинать работу. Более того, мы видим, что наибольшее количество событий связано с сигнатурой GNU Bash Remote Code Execution. Разбор стоит начать именно с этих событий. Провалившись дальше мы можем определить:
- Какие хосты атакуют?
- Какой хост атакуют?
- Из какой страны идет атака?
Если же атака идет из внешней сети, то может быть все эти логи создает всего один атакующий узел (скорее всего это какой-то бот), причем из какого-нибудь Сингапура. В этом случае мы можем добавить этот хост (либо вообще всю сеть Сингапура) в блок-лист, чтобы он блокировался на уровне firewall-а и не доходил до обработки трафика IPS-ом.
Также мы можем заметить, что сигнатура отлавливает атаки для linux-дистрибутивов, при этом возможно атакуется windows-хост. В этом случае будет также логично отключить linux-сигнатуры конкретно для этого хоста.
Как видите, процесс напоминает некое расследование. После подобной постоянной оптимизации существенно снизится нагрузка на шлюз, т.к.:
- Часть атакующих хостов будет блокироваться еще на уровне firewall-а;
- Будут отключены ненужные сигнатуры, которые расходуют ресурсы.
Более того, всю эту процедуру расследования и добавления хостов в блок-лист можно автоматизировать! В R80.10 появился полноценный API, который позволяет интегрироваться со сторонними решениями. Я уже писал статью на хабре о самом API — Check Point R80.10 API. Управление через CLI, скрипты и не только.
Также, мой коллега Глеб Ряскин публиковал подробную инструкцию по интеграции Check Point и Splunk — Check Point API + Splunk. Автоматизация защиты от сетевых атак.
Там не только теоретическая часть, но и практическая, с примером атаки и автоматическим добавлением хоста в блок-лист. Не ленитесь, посмотрите.
На этом я предлагаю закончить нашу теоретическую часть. В следующем уроке нас ждет большая лабораторная работа.
Краткая история развития IPS
Хотелось бы начать с некоторых исторических особенностей. На самом деле IPS является частным случаем IDS (Intrusion Detection System — Система обнаружения вторжений или СОВ, как ее кратко называют в России).
Идея о создании IDS появилась после выхода статьи “Computer Security Threat Monitoring and Surveillance” Джеймса Андерсона, аж в 1980 году! Довольно занятная статья и самое главное актуальная по сей день.
Спустя 6 лет, в 1986 году Дороти Деннинг и Питер Нейман опубликовали первую теоретическаю модель IDS, которая наверно до сих пор является основой для современных систем. Далее было довольно много различных разработок, но все они в основном сводились к использованию трех методов обнаружения вторжений:
- Сигнатурный анализ;
- Эвристический анализ;
- Обнаружение аномалий.
Позже была основана компания Sourcefire (в 2001 году) и проект Snort продолжил свое стремительное развитие уже в рамках компании Sourcefire и стал фактически стандартом среди IDS решений. Snort имеет открытый исходный код, чем и пользуется большинство современных производителей ИБ решений (особенно отечественные компании).
В 2003 г. компания Gartner констатировала неэффективность IDS и необходимость перехода на IPS системы (т.е. сменить детект на превент). После этого разработчики IDS стали оснащать свои решения режимом IPS. Snort естественно может работать как в IDS, так и в IPS режиме (т.е. на предотвращение).
Безусловно стоит также отметить бурный рост еще одного проекта с открытым исходным кодом — Suricata. Основали этот проект выходцы из Snort-а. Первый бета релиз был в 2009 году. За разработку отвечает компания Open Information Security Foundation (OISF). На данный момент Suricata является очень популярным решением (хоть и уступает пока еще Snort-у по популярности). На самом деле их довольно часто используют совместно.
В 2013 году Sourcefire была поглощена компанией Cisco. При этом Snort продолжает оставаться проектом с открытым исходным кодом, а его коммерческая версия продается под брендом Cisco FirePower. С вашего позволения мы не будем говорить об отличиях свободной и проприетарной версии. Интересный момент. Еще в 2005 году Check Point пытались купить SourceFire за 225 млн $, однако правительство США не одобрили эту сделку. И как я сказал ранее, Cisco купили SourceFire в 2013 году аж за 2,7 млрд $. Неплохое подорожание за 8 лет) более чем в 12 раз.
Естественно я перечислил только малую часть решений. Параллельно развивалось огромное количество коммерческих проприетарных решений (Check Point один из них). Чаще всего IPS входил в состав UTM или NGFW решения, реже в качестве отдельно стоящей “железки” (Cisco IPS — яркий пример).
Теоретическая часть в формате видеоурока
Если вас интересуют другие материалы по Check Point, то здесь вы найдете большую подборку (Check Point. Подборка полезных материалов от TS Solution). Также вы можете подписаться на наши каналы (YouTube, VK, Telegram), чтобы не пропустить новые статьи, курсы и семинары.
Подробнее о моделях коммутаторов Extreme можно посмотреть здесь.
Провести бесплатный аудит настроек безопасности Check Point можно здесь
Привет, Хабровчане!
Сегодня мы хотим поговорить о том, как системы обнаружения/предотвращения вторжений справляются со своей задачей сразу после того, как вы достали их из коробки, провели инициализацию и поставили в свою сеть. В сегодняшнем тест-драйве будут участвовать следующие аппаратные платформы:
• Cisco IPS 4240;
• IBM Proventia GX4004;
• StoneGate IPS 1060.
Исходя из нашего опыта, примерно в 80% организаций IPS не настраиваются должным образом. Это обусловлено тем, что их просто некому настроить или систему установили только «для галочки», чтобы соответствовать тем или иным требованиям регуляторов. Поэтому мы решили провести сравнение систем обнаружения вторжений на дефолтных настройках.
В статье мы хотим поделиться результатами нашего тест-драйва с уважаемыми Хабражителями.
Всех заинтересовавшихся приглашаем под кат.
Система предотвращения вторжений (Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако они отличаются тем, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами и т.п.
Техническое описание сравниваемых IPS
Вот, собственно, наши подопытные:
Для начала приведем несколько сухих цифр, характеризующих ТТХ аппаратных платформ, взятые из открытых источников информации:
Программа тест-драйва
Мы будем сравнивать работу трех IPS в одинаковых условиях: работа в режиме IDS (сравнение проводилось в реальной сети), работа в режиме IPS и «очень условное» нагрузочное тестирование (сравнение проводилось в лаборатории). В итоге мы получим сводную таблицу с данными о количестве найденных и заблокированных уязвимостей.
Сразу хотелось бы оговорить, что сравнение проходило на последней доступной версии ПО и с последними сигнатурами на момент тестирования, для обнаружения и блокирования угроз использовались политики по умолчанию.
Наш «гоночный трек»
Работа в режиме IDS
Тестирование аппаратных платформ систем обнаружения вторжений в режиме IDS (мониторинга сетевой активности) проводилось по схеме, представленной на рисунке ниже, путем подключения всех железок к span-портам коммутатора Cisco Catalyst 3750, на который зеркалировался трафик из реальной сети организации.
После трех дней работы в режиме мониторинга сети IPS нашли следующее количество уязвимостей/атак (мы брали в расчет только уязвимости уровня High, Medium и Low, уязвимости Info не учитывались):
• Cisco IPS 4240 – 17 уязвимостей/атак;
• IBM Proventia GX4004 – 32 уязвимости/атаки;
• StoneGate IPS 1060 – 103 уязвимости/атаки.
Общих уязвимостей/атак, которые смогли обнаружить все железки, не так уж и много:
• ICMP Network Sweep w/Address Mask;
• ICMP Network Sweep w/Timestamp;
• TCP_Port_Scan;
• UDP_Port_Scan;
• ICMP_Subnet_Mask_Request;
• ICMP_Timestamp_Request.
Сводную таблицу со списком всех найденных уязвимостей/атак и разбивкой по железкам можно посмотреть под спойлером.
Стоить отметить, что IPS в режиме мониторинга может не только обнаружить атаки, но и найти уязвимые сервисы и приложения в сети, например, использование дефолтных настроек SNMP community, использование пустых паролей, необновленное ПО.
Работа в режиме IPS
Тестирование аппаратных платформ систем обнаружения вторжений в режиме IPS (мониторинга сетевой активности и блокирования вредоносного трафика) проводилось по схеме, представленной на рисунке ниже, путем поочередного включения всех аппаратных платформ в режиме Inline (в разрыв) между АРМ Атакующего и Жертвами (серверами). На Жертвах была установлена ОС Microsoft Windows 2003 R2 и следующее прикладное ПО:
• Oracle express 10g;
• MySQL 5.2;
• Apache 2.2.26;
• WEB IIS 6/ FTP ISS 6;
• Filezilla FTP Server 0.9.41 beta;
• TFTPD 32 4.0;
• MSSQL Express 2005.
С АРМ Атакующего с помощью сканера безопасности Nessus были просканированы Жертвы и определен список уязвимых сервисов, запущенных на них. После сканирования были проведены попытки эксплуатации уязвимостей (запуск эксплойтов) на Жертвах с помощью эксплойт-пака Metasploit Framework.
Ниже приведена сводная таблица реакции IPS на атаки:
Видно, что IPS с дефолтными настройками способны заблокировать не все атаки, даже те, которые используют не самые новые уязвимости. Поэтому настоятельно рекомендуется настраивать железку конкретно под свои нужды и сервисы.
«Очень условное» нагрузочное тестирование
Данное тестирование проводилось с использованием утилиты hping3 (про утилиту можно почитать тут) из дистрибутива Backtrack 5 R3. Целью проводимого тестирования являлась проверка «стойкости» IPS к атакам типа flood, т.е. мы не пытались сравнивать производительность устройств, а только лишь исследовали их реакцию на перегрузку.
Описание стенда:
IPS устанавливалась в разрыв между атакующим узлом (ОС Backtrack 5 R3) и узлом-жертвой (ОС Windows Server 2003 R2). Утилита hping3 запускалась в течение 5 минут с параметром «--flood», данный ключ позволяет использовать максимально возможную скорость генерации пакетов.
Пример команды:
hping3 ip_address --flood
Ниже представлена сводная таблица с результатами:
Как мы видим, ни одна из IPS-систем (на настройках по умолчанию) не смогла защитить узел от атаки типа «flood». Cisco и IBM в логах выдавали алерты и не пытались заблокировать атаку, StoneGate начал блокировать соединения, но ушел в перезагрузку, и атака на жертву успешно продолжилась. Это обусловлено тем, что по умолчанию режим работы inline-интерфейсов выбран fail-open, т.е. весь трафик свободно проходит между интерфейсами без инспекции в случае выхода из строя аппаратной платформы.
Заключение
Если вы решили поставить IPS для того, чтобы реально защитить своих пользователей или какие-то важные сервисы от угроз извне и быть в курсе того, что происходит у вас в сети, то рекомендуем заняться тонкой настройкой железки. Правильно оттюнингованная IPS способна закрыть очень большое количество «дырок» в безопасности, даже если она уже старенькая и слабенькая. А на дефолтных настройках ни один из производителей не показал результатов, которые можно было бы назвать «впечатляющими».
Domain Price List
Transfer your UK domain names to Pickaweb for FREE and benefit from our great value domain pricing.
With Pickaweb it is easy to change your IPS Tag. You are in total control over your domains.
Trusted by over 20,000 UK businesses
Продолжаем нашу серию уроков по Check Point. На этот раз мы обсудим одну из моих любимых тем, а именно — IPS (Intrusion Prevention System) По-русски — система предотвращения вторжений. Причем акцент именно на Prevention (т.е. предотвращение)! Одно из главных кредо компании Check Point это: “We Prevent, not detect!”. Лично я согласен с такой позицией. Какой толк от детекта, если вас атаковал например шифровальщик? Зашифрованный компьютер и так вам сообщит, что была атака. В текущих реалиях нужно позаботиться именно о Prevent. И IPS здесь может очень хорошо помочь.
Однако, в последнее время наблюдается некое пренебрежение этим классом защиты, мол “IPS больше не актуален и использовать его бессмысленно”. На мой взгляд это мнение является непростительной ошибкой. Собственно в этом уроке я постараюсь описать основные бытующие заблуждения на счет IPS. Затем в рамках лабораторной работы покажу каким образом IPS поможет усилить защиту вашей сети. Ну и конечно же постараюсь рассказать, как получить максимум от этого полезного инструмента, на какие настройки обратить внимание и о чем нужно помнить включая IPS.
Урок получился весьма длинным поэтому я разбил его на две части. Первая часть будет чисто теоретическая, а вторая уже полностью посвящена практике в виде лабораторной работы. Надеюсь, что будет интересно.
Спойлер — В конце статьи видео урок, если кому-то удобнее смотреть, а не читать.
IPS в UTM устройствах. Packet Flow
С точки зрения обработки трафика, пакеты сначала проверяются firewall-ом и если они разрешены соответствующими аксес листами, то только тогда включается IPS и начинает проверять проходящий трафик. Собственно этот алгоритм обработки трафика раскрывает концептуальное различие между Межсетевым экраном и Системой предотвращения вторжений.
“Межсетевой экран стремится предотвратить прохождение того или иного трафика. IPS же работает с уже прошедшим трафиком.”
Это логично не только с точки зрения безопасности, но и с точки зрения производительности. Зачем исследовать трафик, который может быть быстро отброшен фаерволом с минимальными ресурсными затратами. Это к вопросу, стоит ли ставить IPS перед firewall-ом. Однозначно нет! Только представьте сколько “левого” трафика будет на него сыпаться от разных ботов, которые сканируют в Интернете все подряд.
Что ж, на этом мы заканчиваем наше затянувшееся лирическое отступление. Давайте перейдем к типичным заблуждениям на счет IPS. Я постараюсь их развенчать на примере Check Point-а.
IPS в корпоративных сетях
Теперь, если коснуться истории распространения IPS решений в корпоративных сетях, то получается примерно следующая картина:
В начале 2000-х компании весьма скептически относились к этому новому классу решений защиты. Большинство считали IPS какой-то экзотической штукой, которая не особо то и нужна.
Уже после 2005-го большинство осознали пользу и необходимость IPS. Начался бум внедрений по всему миру.
К 2010 году IPS стал фактически необходимым стандартным средством защиты корпоративной сети.
Ближе к 2015-му рынок IPS относительно остыл. IPS по стандарту был практически во всех UTM/NGFW решениях. Все переключились на SIEM, защиту от таргетированных атак, песочницы, хонейпоты и т.д. При этом совсем забыв про важность IPS. Но это мы уже обсудим чуть дальше.
Теперь, когда мы немного освежили знания об истории появления IPS, хочется обсудить еще один момент. А именно классы IPS. В грубом приближении все IPS-решения можно разделить на два класса:
- NIPS работает на уровне сети, т.е. сканирует проходящий/транзитный трафик.
- HIPS работает на уровне компьютера пользователя, т.е. с тем трафиком, который предназначен непосредственно этому компьютеру, ну либо генерирует сам хост.
Tired of your current domain registration provider?
Listen to an Overview of Transferring a UK Domain Name
Читайте также: