spacer
spacer search
Search Search
spacer
 
header
Menu witryny
Start
Nowości
- - - - - - -
SKLEP
KUP NOD32
- - - - - - -
Kaspersky
ESET - NOD32
G Data
AVG
Acronis
Paragon
Parallels
DeviceLock
WinMagic
Do pobrania
FAQ
- - - - - - -
NETASQ UTM
Filmy
- - - - - - -
Domeny
Hosting
- - - - - - -
Mapa serwisu
Kontakt
Szukaj
 

Start arrow NETASQ UTM arrow Koncepcja systemu

Advertisement

Koncepcja systemu Netasq PDF Drukuj E-mail

Technologia ASQ (Active Security Qualification) bazuje na tzw. kontekstowej analizie ruchu przechodzącego przez urządzenie, która dokonywana jest bezpośrednio w jądrze systemu operacyjnego (kernel mode) a nie jak to jest w przypadku innych urządzeń UTM w trybie proxy (proxy mode). Możliwość prowadzenia analizy w trybie kernel mode pozwala osiągnąć niespotykaną w innych urządzeniach UTM szybkość działania, niezależną od liczby uruchomionych serwisów czy zdefiniowanych w danym momencie reguł.   

Analizie w poszukiwaniu zagrożeń i ataków poddawany jest cały ruch sieciowy od trzeciej  do siódmej warstwy modelu OSI. Stosowane są trzy podstawowe metody: analiza protokołów, analiza heurystyczna oraz sygnatury kontekstowe.

Podczas analizy protokołów kontrolowana jest zgodność ruchu sieciowego przechodzącego przez urządzanie ze standardami RFC. Tylko ruch zgodny z tym standardem może zostać przepuszczony. Kontroli poddawane są nie tylko poszczególne pakiety ale także połączenia i sesje. W ramach technologii ASQ dla poszczególnych typów ruchu sieciowego warstwy aplikacji opracowane zostały specjalne plug-iny (wtyczki programowe) pracujące w trybie kernel-mode. Po wykryciu określonego typu ruchu (np. HTTP, FTP, SMTP, TELNET itp.) automatycznie uruchamiany jest odpowiedni plug-in, który specjalizuje się w ochronie danego protokołu. Tym samym, rodzaj stosowanych zabezpieczeń jest w sposób dynamiczny dostosowywany do rodzaju przepływającego ruchu.

W analizie heurystycznej podstawę stanowi statystyka oraz analiza zachowań. Na podstawie dotychczasowego ruchu i pewnych założeń dotyczących możliwych zmian określa się czy dany ruch jest uznawany za dopuszczalne odchylenie od normy czy też powinien już zostać uznany za atak.

Ostatni z elementów, to systematycznie aktualizowane sygnatury kontekstowe. Pozwalają na wykrycie znanych już ataków, które zostały sklasyfikowane i dla których zostały opracowane odpowiednie sygnatury. W tym przypadku zasadnicze znaczenie ma kontekst w jakim zostały wykryte pakiety charakterystyczne dla określonego ataku - tzn. rodzaj połączenia, protokół, port. Wystąpienie sygnatury ataku w niewłaściwym dla tego ataku kontekście nie powoduje reakcji systemu IPS. Dzięki temu zastosowanie sygnatur kontekstowych pozwala na znaczne zwiększenie skuteczności wykrywania ataków przy jednoczesnym ograniczeniu niemal do zera ilości fałszywych alarmów.
[ Wróć ]
spacer
Twój Koszyk
Twój Koszyk
Twój koszyk jest pusty.
Szukaj produkt


Copyrights 2006 Softkom
spacer