TXOne Networks | EdgeIPS LE 102

EdgeIPS 102 jest to dwuportowe urządzenie IPS/IDS, które jest częścią rodziny EdgeIPS od firmy TXone Networks (TXOne Networks to firma która powstała w ramach współpracy firm Moxa oraz Trend Micro).

Implementacja urządzenia

Pod kątem adresacji IP urządzenie jest w pełni transparentne. EdgeIPS to rodzina produktów dedykowana do mikrosegmentacji, monitoriwania i inspekcji ruchu sieciowego typu wschód-zachód (do segmentacji sieci dedykowany jest EdgeFire). 
EdgeIPS może być skonfigurowany w jednym z dwóch trybów:

Inline Mode - czyli urządzenie wpięte jest bezpośrednio w linię. W tym trybie możliwa jest ochrona kilku urządzeń końcowych. EdgeIPS może być również wpięty w linię między dwa przełączniki zarządzalne na interfejsach typu trunk (wspierana jest inspekcja ruchu i tworzenie polityk bezpieczeństwa w uwzględnieniem znacznika VLAN ID). Tryb inline pozwala na wybranie dodatkowo jednego z dwóch trybów pracy firewalla:

• Monitor Mode - w tym trybie wszystkie naruszenia polityk bezpieczeństwa (reguł firewalla) są tylko logowane. 
• Prevention Mode - w tym trybie urządzenie realnie zaczyna blokować wszelkie naruszena reguł bezpieczeństwa. Urządzenie nie będzie blokować ruchu bez wyraźnej zgody administratora systemu. 

W przypadku awarii EdgeIPS, w trybie inline, automatycznie zadziała funkcja Fail Safe w postaci sprzętowego bypassu - ruch między portami 1 i 2 zostanie automatycznie wznowiony (w EdgeIPS 102 funkcja bypass jest niekonfigurowalna. Dopiero od serii EdgeIPS 103 możliwe jest skonfigurowanie trybu pracy funkcji bypass). 

Offline mode  - urządzenie zasilane jest kopią ruchu sieciowego - np. ze SPAN portu. W tym trybie możliwa jest inspekcja ruchu sieciowego na bazie polityk bezpieczeństwa. Naruszenia reguł mogą być jedynie raportowane (realne blokowanie pakietów może być zaimplementowane tylko w trybie inline mode). 

Virtual patching

EdgeIPS zasilany jest bazą sygnatur (w ramach organizacji Zero Day Initiative (ZDI)). Daje to ochronę przez znanymi podatnościami (znanymi zagrożeniami) przede wszystkim urządzeniom starszego typu, które nie są wspierane i aktualizowane przez producenta. Dodatkowo silnik sygnaturowy może być wykorzystany do wirtualnej aktualizacji urządzeń, które mogą być zaktualizowane dopiero w kolejnym oknie serwisowym (np. za pół roku) oferując w ten sposób szybką ochronę przed znanymi zagrożeniami. Aktualizacja bazy sygnatur może być w pełni zautomatyzowana (z wykorzystaniem konsoli EdgeOne) oraz nie wymaga restartu urządzenia. 

Tryb nauki - ułatwienie w tworzeniu reguł firewalla 

Tworzenie polityk bezpieczeństwa może być czasochłonnym zajęciem. Zwłaszcza z uwzględnieniem polityk DPI, których poprawne utworzenie wymaga szczegółowej znajomości systemu - kto z kim się komunikuje i na jakich zasadach. Aby ten proces uprościć w EdgeIPS dostępna jest funkcja Policy Rule Auto-Learning. 

• EdgeIPS posiada funkcję Policy Rule-Autolearning, której zadaniem jest przygotowanie reguł Policy Enforcement dla ruchu sieciowego
• EdgeIPS możemy włączyć w tryb nauki – na przykład na 1h lub 1 tydzień
• Ruch sieciowy, który w trybie nauki przez urządzenie będzie transferowany zostanie wykorzystany do wygenerowania reguł.
• Po etapie nauki użytkownik może wybrać które reguły chce, aby zostały wykorzystane (jest możliwość edycji reguł jako wynik nauki lub później).
• Policy Rule Auto-Learning jest w stanie rozpoznać protokoły OT i utworzyć dla nich odpowiedni profil DPI
• Proces nauki można powtarzać – np. w przypadku zmian w systemie EdgeIPS może nauczyć się nowego ruchu.
• W czasie nauki silnik sygnaturowy jest wykorzystywany do wykrywania znanych zagrożeń (użytkownik może wybrać tryb pracy - monitor lub prevention nawet w trybie nauki). 

Przykład reguł wygenerowanych przez funkcję Policy Rule Auto-Learning

EdgeIPS - porównanie funkcjonalności produktów z całej rodziny