Продукты серии Juniper Networks Intrusion Detection and Prevention
    Системы обнаружения и предотвращения вторжений (IDP) - cемейство cпециализированных продуктов, особенностью которых является использование комплексного метода обнаружения вторжений (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность которого позволяет осуществляеть немедленную терминацию атак в реальном времени. Семейство продуктов NetScreen-IDP включает три одинаковые по функциональности модели (IDP-10, IDP-100, IDP-500), различающиеся величиной пропускной способности и ассортиментом интерфейсов. NetScreen-IDP включается непосредственно в линию связи и может работать в режиме моста (без IP адресов на интерфейсах) и маршрутизатора. Устройство может быть использовано и в качестве пассивного детектора атак (сниффера).
 
 Основные характеристики
 
Название продукта/параметры NetScreen-IDP 10 NetScreen-IDP 100 NetScreen-IDP 500 NetScreen-IDP 1000
Максимальная пропускная способность 20 MB 200 MB 500 MB 1 GB
Максимальное количество сессий 10 000 70 000 220 000 500 000
Режимы работы  Passive sniffer, inline bridge, inline Proxy-ARP, and inline router
Механизмы обнаружения  8 including Stateful Signatures and backdoor detection
Обновление сигнатур еженедельно и в экстренных случаях
Сетевые интерфейсы 2 x10/100/1000, 1 x10/100 TX 2 x10/100/1000, 2 x10/100 TX* 2 x10/100/1000, 2 xSX** 2 x10/100/1000, 2 xSX**
Поддержка режима высокой отказоустойчивости Подключение NetScreen Bypass Unit Организация кластера возможностью балансировки нагрузки, подключение Bypass Unit сторонних производителей
Название продукта/параметры NetScreen-IDP 50 NetScreen-IDP 200 NetScreen-IDP 600 C/F NetScreen-IDP 1100C/F
Максимальная пропускная способность 50 MB 250 MB 500 MB 1 GB
Максимальное количество сессий 10 000 70 000 220 000 500 000
Режимы работы  Passive sniffer, inline bridge, inline Proxy-ARP, and inline router
Механизмы обнаружения  8 including Stateful Signatures and backdoor detection
Обновление сигнатур еженедельно и в экстренных случаях
Сетевые интерфейсы 2 x10/100/1000, 1 x10/100/1000 для управления 8 x10/100/1000, 1 x10/100/1000 для управления и 1 x10/100/1000 для резервирования 10 x10/100/1000 или 8 xSX + x10/100/1000, 1 x10/100/1000 для управления и 1 x10/100/1000 для резервирования  
Поддержка режима высокой отказоустойчивости Интегрированный Bypass-порт Интегрированный гигабитный Bypass-порт, организация кластера с возможностью балансировки нагрузки
Примечание:
*каждый адаптер 100TX может быть заменен четырехпортовым 10/100/1000 за дополнительную плату.
** каждый адаптер SX может быть заменен четырехпортовым 10/100/1000 за дополнительную плату.
 
 Используемые технологии

    Особенность решения Juniper NetScreen является использование комплексного метода обнаружения вторжений на 2-7 уровнях модели OSI (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность реализации которого позволяет осуществляеть немедленную терминацию атак в реальном времени.

    Комплексный метод включает в себя ряд технологий обнаружения атак, основными из которых являются:

  • Обнаружение предопределенных последовательностей (Stateful Signatures). Наиболее известный метод. Если классическая реализация этого метода заключается только в анализе потока данных на предмет наличия в нем некоторой заранее известной информационной последовательности (шаблона), то особенность реализации NetScreen состоит в том, что содержимое этого потока соотносится с состоянием соответствующих сессий и особенностями приложений, которым эти сессии принадлежат. За счет этого метод NetScreen получил название Stateful Signature Detection и в отличие от классической реализации (типа IDS) характеризуется очень низкой вероятностью получения ложного результата анализа.
  • Анализ аномалий протокола (Protocol Anomalies). Обнаружение аномалий протокола, также иногда называют анализом протокола, это возможность анализа проходящих пакетов для выявления неправильности по отношению к общепринятых в Internet спецификациям. Эти правила определены в соответствии с протоколами и стандартами (RFC), также как и определенные производителями оборудования. Основная задача - это осуществить механизм обнаружения вторжения, который бы выявлял траффик не подходящий под спецификацию протокола либо каким либо образом отходящий от станадрта. Как только неправильность будет определена, будет принято решение о защите сети. Этот метод очень эффективен при обнаружении подозительных действий, таких как атака переполнения буффера (buffer-overflow attack).
  • Анализ аномалий траффика (Traffic Anomalies). Существует множество аттак, которые содержатся в установленной коммуникационной сессией, но так же очень важно обнаружить аттаки, которые происходят в траффике проходящем в многочисленном количестве сессий. Один из примеров таких аттак является сканирование портов и сети. Сканирование портов и сети происходит в том случае, когда злоумышленник используя специальные средства, пытается определить какие сервисы разрешены и работают в системе. Это выполняется проверкой каждого порта на машине (port scanning) либо определенного порта по всей сети (network scanning). Злоумышленник использует данную информацию для использования известных уязвимостей найденных рабочих сервисов на обнаруженных в результате сканирования открытых портов. Аттаки такого вида как правило определяются большим объемом траффика и определенной последовательностью.
  • Backdoor Detection. Технология позволяет распознавать интерактивное взаимодействие злоумышленника с ПО, уже несанкционированно установленным на хосте внутренней сети. Данное ПО может быть установленно либо умышленно с целью кражи информации, либо через программы технологии "троянского коня" через почту либо через переносной компьютер сотрудника включенный в корпоративную сеть организации. Это наиболее опасный вид атаки, поскольку ее результатом может быть не нарушение функционирования подлежащих защите сетевых и информационных ресурсов, а полный контроль злоумышленника над ними и краже конфиденциальной информации. С помощью этого метода могут быть обнаружены и некоторые неизвестные атаки, в основе которых не лежит технология нестандартного использования протоколов и которые, соответственно, не удается выявить с помощью метода анализа поведения протоколов.
  
 Дополнительные материалы по продуктам Juniper Networks Intrusion Detection and Prevention