ips 領導品牌 tippingpoint 產品介紹與市場攻略
DESCRIPTION
IPS 領導品牌 TippingPoint 產品介紹與市場攻略. Web Services DMZ. DNS. FTP. HTTP. SNMP. SMB. Telnet. 防火牆已經不能勝任今天的保安工作. Buffer Overflow. Illegal file sharing Peer to peer. BackOrifice-31337. DoS, SYN Flod. 系統的漏洞遭到入侵 微軟漏洞ㄧ大堆 , 要將所有電腦全面更新耗時耗工 重要的伺服器即使可以更新卻無法隨時 reboot MS IIS/SQL/Exchange 的漏洞也不少 - PowerPoint PPT PresentationTRANSCRIPT
IPSIPS 領導品牌領導品牌 TippingPointTippingPoint產品介紹與市場攻略產品介紹與市場攻略
23Com Confidential
防火牆已經不能勝任今天的保安工作防火牆已經不能勝任今天的保安工作
Illegal file sharing
Peer to peer
Buffer Overflow
DoS, SYN FlodBackOrifice-31337
DNS FTP HTTP
SNMP SMB Telnet
Web Services DMZ
33Com Confidential
IM/P2P的濫用
IM/P2P 的濫用• 侵占頻寬 , 導致重要的服務不通• 蠕蟲 / 木馬 / 惡意程式進入企業的管道• 防火牆無法阻止重要資料的外洩• 非法下載 MP3/Vedio 侵害版權
ITIT 部門每天煩得要死的事情部門每天煩得要死的事情
系統的漏洞遭到入侵•微軟漏洞ㄧ大堆 , 要將所有電腦全面更新耗時耗工•重要的伺服器即使可以更新卻無法隨時 reboot•MS IIS/SQL/Exchange 的漏洞也不少•Oracle/Linux 的漏洞
系統的漏洞遭到入侵
間諜程式充斥於內部網路•間諜程式導致電腦效能變差 ,網路變慢•間諜程式竊取資料•許多網路的瀏覽行為就會讓間諜程式輕易進駐防不慎防
間諜程式充斥於內部網路
DoS/DDoS 阻斷服務•Web/DNS 伺服器遭到來自外部的阻斷服務攻擊•DB/AP 伺服器遭到來自內部的阻斷服務攻擊•侵占 WAN 的頻寬•導致 Router/Firewall/Switch 當機癱瘓
DoS/DDos阻斷服務
IPS入侵防禦系統入侵防禦系統
主動式入侵防禦技術主動式入侵防禦技術 (IPS)(IPS)的世代已經來臨的世代已經來臨
53Com Confidential
Source: Infonetics Research Network Intrusion Prevention Market Outlook
May 17, 2006
Tippin
gPoint
TippingPointTippingPoint 在在 IPSIPS 市場的佔有率世界第一市場的佔有率世界第一
Tipping Point 在最近一次 Infonetic 的市占率調查上 , 遠遠超越 Cisco, Juniper, ISS, McAfee 等其他競爭公司 , 繼續保持全世界 Market Share #1 的領導者地位 ( 大約 33%) .
63Com Confidential
TippingPointTippingPoint 擁有廣大的客群擁有廣大的客群 ,, 受獎無數受獎無數
AwardsAwards
Korea
Telecom
TippingPointTippingPoint產品安全認證產品安全認證
83Com Confidential
TippingPointTippingPoint 在市場得獎無數在市場得獎無數
University Business Magazine "Show Stopper" Award
The Tolly Group "Up To Spec"Performance and security benchmark. TippingPoint's IPS demonstrated 100% security
accuracy at 2 Gbps.
NSS Gold AwardThe TippingPoint Intrusion Prevention System is the first and only product to win the coveted NSS Gold Award in the IPS space. The NSS Group testing was the first comprehensive side-by-side comparison of leading Intrusion Prevention System vendors - TippingPoint, ISS, Network Associates, Netscreen and TopLayer. The full report is available at http://www.nss.co.uk/.Click here to read TippingPoint's NSS Gold Award Summary.
ICSA Labs Network IPS CertificationThe TippingPoint Intrusion Prevention System has been certified by ICSA Labs as the first multi-gigabit network IPS. As one of only three products to be certified in the Network IPS category, TippingPoint was the only product with a certified rated throughput at multi-gigabit speeds with a maximum average one-way latency of 84 microseconds.
Information Security Magazine's 2007 Reader's Choice AwardsThe TippingPoint Intrusion Prevention System has received a Gold in Information Security Magazine's and SearchSecurity.com's "Readers' Choice Awards" in the Intrusion
Detection/Prevention category. Frost & Sullivan 2007 Global Market Penetration Leadership AwardTippingPoint has been awarded the 2007 Global Market Penetration Leadership Award from Frost & Sullivan for exhibiting market share
leadership through the implementation of market strategy. SC Magazine 2007 AwardsThe TippingPoint 5000E is a finalist in the 2007 SC Magazine Awards for Best Intrusion
Detection/Prevention Solution.
93Com Confidential
ICSA ICSA 認證認證
103Com Confidential
NSS Gold NSS Gold 認證認證
NSS Test Report
NSS labs Individual Tests
TippingPoint IPSTippingPoint IPS擁有最佳效能與最完整防禦功能擁有最佳效能與最完整防禦功能
123Com Confidential
TippingPoint--TippingPoint-- 真正採用硬體架構的真正採用硬體架構的IPS IPS
TippingPoint 擁有整套自行開發的 Xilinx Vertex 4 FPGA (Layer 7) 及 Layer 4 (ASIC) 模組
IP de-fragmentation/TCP flow reassemblyL4-L7 攻擊行為分析與統計網路流量限速以及惡意封包阻擋超過 170 種的應用層網路通訊協定分析
在 Gigabit 的環境中僅有微秒的延遲 (Latency under Microsecond)
其他競爭對手宣稱擁有 Gigabit 的效能但是 Latency 卻高達數秒甚至數十秒之多
133Com Confidential
TippingPoint IPSTippingPoint IPS 具有完整的保護能力具有完整的保護能力
High Performance Custom Hardware Highly Advanced Prevention Filters Constant Update Protection Service
5 Gbps Throughput Switch-Like Latency 2M Sessions 250K Sessions/Second Total Flow Inspection 64K Rate Shaping Queues 10K Parallel Filters
保護 :• Routers (e.g. Cisco
IOS) 入侵保護• Firewalls 癱瘓保護• 各種 DoS/DDoS 攻擊• UDP/ICMP Flood
阻絕 :• Worms/Walk-in
Worms• Viruses• Trojans• DDoS Attacks• SYN Floods• Traffic Anomalies
保護 :• 微軟漏洞零時差防護• Oracle 入侵保護• SQL Injection 阻擋• Linux 漏洞防護• VoIP 保護• Phishing 網路釣魚• 間諜程式 Spyware
阻絕 :• Worms/Walk-in
Worm• Viruses• Trojans• DDoS Attacks• Internal Attacks• Unauthorized
Access• Spyware
保護 :• Bandwidth• Server Capacity• Missions-Critical
Traffic
管理 :• Peer-to-Peer Apps• Unauthorized Instant
Messaging• Unauthorized
Applications• DDoS Attacks
何謂零時差攻擊
153Com Confidential
什麼是漏洞什麼是漏洞 ?? 什麼是零時差攻擊什麼是零時差攻擊 ??
漏洞被發現 攻擊手法被設計出來
採用病毒比對保護方式的產品依據病毒碼更新資料庫
在含有漏洞的程式完成更新Patch 並下載給客戶前 , 如果惡意病毒 / 蠕蟲 / 木馬已經出現 , 而且開始感染電腦與網路 , 這樣的情況稱作零時差攻擊
程式更新 Patch必須被完成並下載的黃金時間
TippingPoint數位疫苗下載
TippingPoint 的客戶已經被妥善保護
根據攻擊手法被撰寫的惡意病毒 / 蠕蟲出現
程式更新Patch 完成
什麼是漏洞 ?
-- 與作業系統或是電腦程式因為撰寫不慎而留下的缺點-- 有心人士可以利用這些缺點撰寫惡意程式去侵占電腦的主控權 , 獲得利益-- 漏洞是資安的大問題 , 攻擊的方便之門
163Com Confidential
2007-01-01 以來的漏洞統計
>Microsoft
— 1 月 重大 (3), 重要 (1)>Microsoft Excel 中的弱點可能會允許遠端執行程式碼 (927198)
>Microsoft Outlook 中的弱點可能會允許遠端執行程式碼 (925938)
>向量標記語言中的弱點可能會允許遠端執行程式碼 (929969)
— 2 月 重大 (6), 重要 (6)>HTML Help ActiveX 控制項中的弱點可能會允許遠端執行程式碼 (928843)
>Microsoft Data Access Components 中的弱點可能會允許遠端執行程式碼 (927779)
>Microsoft Malware Protection Engine 中的弱點可能會允許遠端執行程式碼 (932135)
>Microsoft Word 中的弱點可能會允許遠端執行程式碼 (929434)
>Microsoft Office 的弱點可能會允許遠端執行程式碼 (932554)
>Internet Explorer 積存安全性更新 (928090)
— 4 月 重大 (5), 重要 (1)
— ……..
173Com Confidential
2007-01-01 以來的漏洞統計 continue
>TWCERT 2007年 4 月份發佈了 23 個安全通報TW-CA-2007-048-[ TA07-103A: Microsoft Windows DNS RPC Buffer Overflow ] 2007/4/18TW-CA-2007-047-[ 91285: Cisco Applied Intelligence Response: Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in the Cisco Wireless Control System ]2007/4/18TW-CA-2007-046-[ 82128: Multiple Vulnerabilities in the Cisco Wireless Control System ] 2007/4/18TW-CA-2007-045-[ RHSA-2007:0126-01: Important: xorg-x11 security update ] 2007/4/12TW-CA-2007-044-[ RHSA-2007:0125-01: Important: XFree86 security update ] 2007/4/12TW-CA-2007-043-[ 81734: Crafted IP Option Vulnerability ] 2007/4/12TW-CA-2007-042-[ RHSA-2007:0095-01: Critical: krb5 security update ] 2007/4/11TW-CA-2007-041-[ RHSA-2007:0132-01: Important: libXfont security update ] 2007/4/11TW-CA-2007-040-[ 81825: SIP Packet Reloads IOS Devices Not Configured for SIP ] 2007/4/11TW-CA-2007-039-[ TA07-100A: Microsoft Updates for Multiple Vulnerabilities ] 2007/4/11TW-CA-2007-038-[ 82211: Cisco Applied Intelligence Response: Identifying and Mitigating Exploitation of the Cisco Catalyst 6000, 6500 Series, and Cisco 7600 Series NAM (Network Analysis Module) Vulnerability ]2007/4/11TW-CA-2007-037-[ 81865: Cisco Catalyst 6000, 6500 and Cisco 7600 Series MPLS Packet Vulnerability ]2007/4/11TW-CA-2007-036-[ TA07-093A: Microsoft Update for Windows Animated Cursor Vulnerability ] 2007/4/9TW-CA-2007-035-[ TA07-093B: MIT Kerberos Vulnerabilities ] 2007/4/9TW-CA-2007-034-[ TA07-089A: Microsoft Windows ANI header stack buffer overflow ] 2007/4/9TW-CA-2007-033-[ RHSA-2007:0124-01: Moderate: file security update ] 2007/4/9TW-CA-2007-032-[ RHSA-2007:0033-01: Important: openoffice.org security update ] 2007/4/9TW-CA-2007-031-[ RHSA-2007:0055-01: Important: libwpd security update ] 2007/4/9TW-CA-2007-030-[ 82327: Multiple Cisco Unified CallManager and Presence Server Denial of Service Vulnerabilities ]2007/4/9TW-CA-2007-029-[ 82202: Cisco Applied Intelligence Response: Identifying and Mitigating Exploitation of Cisco Catalyst 6000, 6500, and Cisco 7600 Series MPLS Packet Vulnerability ]2007/4/9TW-CA-2007-028-[ 81993: Cisco Applied Intelligence Response: Identifying and Mitigating Exploitation of Multiple Vulnerabilities in Cisco ASA/PIX/FWSM Firewalls ]2007/4/9TW-CA-2007-027-[ 81863: Cisco Catalyst 6000, 6500 Series and Cisco 7600 Series NAM (Network Analysis Module) Vulnerability ]2007/4/9TW-CA-2007-026-[ 81816: Cisco Applied Intelligence Response: Identifying and Mitigating Exploitation of the SIP Packet Reloads IOS Devices Not Configured for SIP Vulnerability ]2007/4/9
183Com Confidential
2007-01-01 以來的漏洞統計 continue
>TWCERT 的安全公告到四月底為止共發佈了 48 則>作業系統
— Windows(6)
— Red Hat(16)
— Apple MAC OS(2)
— Sun Solaris(2)
— FreeBSD(2)
>網路設備— CISCO(14)
>應用程式— Kerberos(2)
— Sourcefire Snort(1)
— Oracle(1)
— Apple QuickTime(2)
193Com Confidential
漏洞與零時差攻擊每天都在發生
漏洞就在眼前 , 但修補程式尚未公佈該如何面對?
對於零時差攻擊的防護
213Com Confidential
零時差攻擊 案例 - 漏洞
Windows DNS Server 上的 RPC 的弱點可能會允許遠端執行程式碼>影響版本
— Microsoft Windows 2000 Server Service Pack 4
— Microsoft Windows Server 2003 Service Pack 1
— Microsoft Windows Server 2003 Service Pack 2
>微軟於 4月 12日公佈了 Windows名稱領域服務 (DNS)所使用的管理介面存在 Remote Procedure Call(遠端程序呼叫 )緩衝區溢位弱點,此弱點可使遠端攻擊者以系統管理權限來執行任意程式。 4月 18日知名駭客網站 xxxx已開放下載此漏洞的攻擊程式碼,微軟於 4月 19日三度更新有關此漏洞問題安全性摘要報告並公佈了暫時修正方式, 5 月 8 日才正式修補此漏洞。
223Com Confidential
零時差攻擊 案例 - 防護
>TippingPoint於 4月 13日釋出數位疫苗版本 7259,其中包含此漏洞的防護能力— 5290: MS-RPC: Microsoft DNS Server Service Fragmented Request
— 5291: MS-RPC: Microsoft DNS Service Buffer Overflow
— 5292: MS-RPC: Microsoft DNS Service Buffer Overflow
— 5293: MS-RPC: Microsoft DNS Service Request
>以上過濾器預設在建議設定值中啟用以保護此漏洞,另外也提供一個政策過濾器 (5293)預防任何來自 Internet 上機器想要連結 DNS主機上 RPC服務 .已知有攻擊程式利用傳送特殊封包 TCP Port >1023 及 TCP Port 139及 445利用此漏洞攻擊此漏洞。
233Com Confidential
零時差攻擊 案例 - 漏洞
>Windows 動畫游標處理中的弱點— GDI 中的弱點可能會允許遠端執行程式碼 (925902)
>影響版本— Microsoft Windows 2000 Server Service Pack 4
— Microsoft Windows XP Service Pack 2
— Microsoft Windows Server 2003 Service Pack 2
— Microsoft Windows Vista
>微軟於 4月 3日公佈了發現利用 Microsoft Windows 處理動畫游標 (.ani) 檔案的方式之弱點所進行的攻擊。 攻擊者若要發動此攻擊,使用者必須造訪包含用以利用弱點網頁的網站,或檢視蓄意製作的電子郵件訊息或攻擊者傳送的電子郵件附件,微軟於 4月 3 日首度針對此漏洞發佈了修補程式 。
根據 CERT 的報告此漏洞在 2006-11-06就已經成為公開資料發佈在 CERT 網站CVE-2006-5758
4 月初多家國內知名企業與政府機關網站遭駭客植入惡意程式 ,這些惡意程式更利用微軟 .ANI 零時差漏洞的問題 , 將木馬及間諜程式等惡意程式植入到瀏覽受植入惡意程式網頁的使用者將惡意程式植入正常網站 , 等待使用者自行落網將是未來網路釣魚犯罪的主流
243Com Confidential
零時差攻擊 案例 - 防護
>TippingPoint早於 2004年釋出的數位疫苗版本,其中就已經包含此漏洞的防護能力— 3210: HTTP: Windows LoadImage API Buffer Overflow .ANI file
TippingPoint 對目前微軟的零時差攻擊在 2 年前即做好防護
某客戶端的實際攔截記錄
253Com Confidential
數位疫苗版本#6306 與發佈時間2006/6/13
微軟漏洞公佈時間 2006/6/13
數位疫苗內含多條Filter 分別對不同的微軟漏洞作出防護
微軟漏洞修補時效微軟漏洞修補時效 (2006.6.13)(2006.6.13)
263Com Confidential
為什麼為什麼 TippingPointTippingPoint 可以真正做到零時差攻擊保護可以真正做到零時差攻擊保護針對漏洞的分析針對漏洞的分析 ,, 而不是針對一大堆變種病毒而不是針對一大堆變種病毒
• SANS• CERT• Vendor Advisories• Bugtraq• VulnWatch• PacketStorm• Securiteam
進行漏洞分析
與全球所有知名資安組織的緊密結合
生成保護疫苗並下載
TippingPoint 的全球 ZDI 計畫-- 與全球資安組織緊密結合 (ex: TW CERT),
鼓勵所有使用者一起找碴 發現任何漏洞將給予高額獎金-- 要做好資安必須是一個持續性的資本投入 與專注
@RISKWeekly Report
TippingPoint DV 小組為全球知名的SANS Institute 撰寫 @Risk 週報
TippingPointTippingPoint特徵值更新速度特徵值更新速度
283Com Confidential
DVDV 數位疫苗最新三次更新時間數位疫苗最新三次更新時間
微軟漏洞修補時效微軟漏洞修補時效
303Com Confidential
微軟微軟 0707 年年 1010 月更新項目月更新項目
313Com Confidential
TippingPointTippingPoint 針對微軟漏洞修補時效針對微軟漏洞修補時效
DV 7385 Update for Microsoft Coverage
microsoft_coverage_2007_oct.html
TippingPoint TippingPoint 現有產品線現有產品線
333Com Confidential
Proto
col
Anom
aly
Signa
ture
Vulne
rabi
lity
Traf
ficAno
mal
y
IPSIPS 應該具備的應該具備的四種過濾方式四種過濾方式
網路設備的保護
伺服器 OS 與軟體漏洞保護
網路傳輸效能的保障
過濾方式過濾方式
入侵防禦核心技術
SignatureSignature
-- 針對已知問題的保護Protocol AnomalyProtocol Anomaly
-- 各種 Protocol 必須符合 RFC規範VulnerabilityVulnerability
-- 要即時了解各種漏洞並防禦Traffic AnomalyTraffic Anomaly
--異常流量的即時偵測與控制
343Com Confidential
企業環境內部與外部流量兼具的保護企業環境內部與外部流量兼具的保護
架設於防火牆之前 Router 之後
建議放在防火牆前面來保護防火牆 , 防火牆遇到 L4-L7 的攻擊或入侵 (如 port 80) 時無任何防禦能力 , 攻擊在超過一定的連線數 以上時 , 防火牆將自動讓流量透通或甚至當機
TippingPointDV Service
353Com Confidential
TippingPoint TippingPoint 現有產品線現有產品線
10 Gbps Core Controller
8 Gbps * 4 IPS * Fiber
不只是不只是 IPS,IPS, 還是功能強大的端還是功能強大的端點異常行為的管理系統點異常行為的管理系統
373Com Confidential
來自內部網路的問題最難以處理來自內部網路的問題最難以處理
Perimeter Internal
Internet
LAN Segment
LAN Segment
EnterpriseNetwork Wi-Fi
IPSFW/VPN
Remote Branch
Secure Vulnerable
X Attacks
Blocked
Attacks enter from LAN endpoints
383Com Confidential
隔離功能隔離功能 ((Quarantine)Quarantine) 佈建佈建 #1: IPS Only#1: IPS Only
1. 使用者開啟對網路的連線2. 惡意的封包將會被 IPS 攔阻3. 除了攔阻之外 ,IPS 也可以定義各種 Action 處理手段4. IPS 會送一個預先定義好的告警網頁至使用者的電腦 5. 有問題電腦後續所發出的封包將被 IPS 隔離 ( 有限的連線能力 )
Internet Core
TippingPoint IPS8800 Switch 8800 Switch
Catalyst 6500
5500 Switch
WLANs
1200 Switch
Remediation Page
DDoS
Worms
Trojans
Spyware
Viruses
393Com Confidential
隔離功能隔離功能 ((Quarantine)Quarantine) 佈建佈建 #2: IPS + #2: IPS + SMSSMS
Internet Core
Radius
TippingPoint SMS
TippingPoint IPS8800 Switch 8800 Switch
5500 Switch
WLANs
1200 Switch
1. 使用者透過 TippingPoint Security Management System (SMS) 做認證
2. SMS 如同 Radius proxy, 透過 RADA學習到 MAC/Switch/Port 的資料
3. 惡意的封包將會被 IPS 攔阻4. IPS 會將 Event data 送到 SMS
5. SMS 可以設定 threshold值作為啟動隔離功能的依據
6. SMS反解 IP 為 MAC
7. 有問題的 MAC Address 將被放到blacklist 並依據事先定義的 policy set 處理
8. SMS 要求 compromised device針對有問題的電腦重新做連線認證 (re-authentication)
9. Compromised Device 可以作處置動作 --例如 : 將連接的實體 Port關閉 ,禁止有問題的電腦連上網路
Catalyst 6500
403Com Confidential
TippingPointTippingPoint 以以 IPSIPS 做為做為 NACNAC骨幹骨幹
TippingPointTippingPoint 與您共創獲利雙贏與您共創獲利雙贏Thank YouThank You