وضعیت IPS های تحت شبکه
تنوع مخاطرات امنیتی در شبکه های کامپیوتری به گونه ای رشد کرده است، که استفاده از Firewall ها، به تنهایی به هیچ عنوان کارآمد نخواهد بود. پیاده سازی دیواره های آتش نسل بعد (NGFW) از جمله راه کارهایی است که امکان مقابله با این تهدیدات را فراهم می کند. دیواره های آتش مدرن که با ترکیبی از IPS ها و فایروال ها قابل پیاده سازی هستند، هنوز عمر زیادی نکرده اند. گزارش زیر (که البته کمی تا قسمتی گزارش تجاری است!) تحلیلی بر روی بازار IPS ها در اختیار شما قرار می دهد.
Magic Quadrant for Network Intrusion Prevention System Appliances, 2H06
On average, solutions remain priced at approximately $50,000 per Gbps of deep inspection (this is an average, and many products provide less than 1 Gbps capability). Most vendors provide more than five models, with some entry-level products offered for less than $15,000. Maintenance fees vary considerably. Signature update fees also vary but are included with maintenance for most products. Most products include a local-management console, with dedicated management appliances resulting in an additional cost. The total cost of ownership and system management capabilities of network IPS products should be key evaluation criteria when comparing competing products.
ویژگی امنیتی Cisco IOS
Cisco IOS علاوه بر نقش کنترل کننده حیاتی بسیاری از شبکه های مهم، م
ی تواند نقش مهم و به سزایی در حفظ امنیت شبکه ها و سیستم های اطلاعاتی داشته باشد. علاوه بر نسخه های امنیتی IOS برخی از ویژگی ها در نسخه های عادی نیز قابل استفاده هستند. در اینجا به چند مورد از این ویژگی ها اشاره می کنیم.
-
Class-Based Access Control یا CBAC
-
Port-to-Address Mapping یا PAM
-
Authentication Proxy
-
TCP Intercept
-
Intrusion Prevention
-
AutoSecure
میزان دسترسی
طراحی سیستم ها با مشخص کردن یک مقیاس به عنوان معیار قابل دسترس بودن (درصد میزان دسترسی)، به صورت واقعی تا حدودی مشکل (غیر ممکن) است. وجود پارامترهای مختلفی که در سرویس دهی سیستم ها (چه سیستم های شبکه ای، چه سیستم های نرم افزاری) وجود دارند و غیر قابل کنترل بودن بعضی از این پارامتر ها از جمله مواردی است که باعث مشکل بودن این کار می شود. از مجموع ۸۷۶۰ ساعتی که در سال وجود دارد، بسته به حساسیت، اهمیت و حیاتی بودن سیستم، محدوده Uptime مشخصی برای سرویس دهی می بایست مورد هدف قرار بگیرد. جدولی برای این محدوده را که در حالت معمول تعداد ۹ها (Nines) آن را مشخص می کند، می تواند مشاهده کنید. (برای تفریح > Uptime-Project)
| میزان دسترسی % | Downtime در سال | Downtime در ماه | Downtime در هفته |
|---|---|---|---|
| ۹۰% | ۳۶٫۵ days | 73 hours | 16.84 hours |
| 95% | 18.25 days | 36.5 hours | 8.42 hours |
| 98% | 7.30 days | 14.4 hours | 3.36 hours |
| 99% | 3.65 days | 7.20 hours | 1.68 hours |
| 99.5% | 1.83 days | 3.60 hours | 50.4 min |
| 99.9% | 8.76 hours | 43.2 min | 10.1 min |
| 99.99% | 52.6 min | 4.32 min | 1.01 min |
| 99.999% | 5.26 min | 25.9 s | 6.05 s |
| 99.9999% | 31.5 s | 2.59 s | 0.605 s |
استاندارد های امنیتی کاربردی
با استفاده از قالب های مختلف XML و استاندارد سازی فرمت تبادل اطلاعات در برنامه/روش های امنیتی مختلف، امکان ایجاد یکپارچگی در نتایج فراهم می شود. این یکپارچگی علاوه بر ایجاد سهولت در ترکیب سامانه های مختلف، امکان توسعه سیستم های جامع پایش امنیت را آسان تر خواهد کرد. به این مجموعه که بیشتر در مورد سازمان دهی آسیب پذیری ها و رویدادهای امنیتی است توجه کنید:
Application Security Standards
- Common Intrusion Detection Signatures Standard (CIDSS)
- Common Vulnerabilities and Exposures (CVE)
- DMTF Alert Standard Format Specification (ASF)
- IETF Incident Object Description and Exchange Format (IODEF)
- IETF Intrusion Detection Exchange Format (IDMEF)
- OASIS Application Vulnerability Description Language TC (AVDL)
- OASIS Web Application Security TC (WAS)
- OpenSec Advisory and Notification Markup Language (ANML)
- Open Vulnerability Assessment Language (OVAL)
- Open Web Application Security Project (OWASP)
- VulnXML Project: A Web Application Security Vulnerability Description Language
