Защита сети от внутренних угроз

ОАО «АйСиЭл - КПО ВС», 420029 Казань,ОАО «АйСиЭл - КПО ВС», 420029 Казань, Сибирский тракт 34,Сибирский тракт 34,

т.: (8432)73-24-43; ф.: (8432)7т.: (8432)73-24-43; ф.: (8432)733-55-35 (72-39-52), -55-35 (72-39-52), www.icl.kazan.ru

Защита сети от Защита сети от внутренних угрозвнутренних угроз

InterSpect 2.0InterSpect 2.0

Бутузов ЮрийБутузов Юрий

Эксперт по информационной безопасностиЭксперт по информационной безопасности

Check Point Certified Security Expert Check Point Certified Security Expert

kuonkuon@@icl.kazan.ruicl.kazan.ru

Сегодняшние угрозыСегодняшние угрозы

Раньше – обеспечение безопасности было направлено на периметр сетиСейчас – не меньшее внимание уделяется безопасности внутри сети

Множество атак направлено изнутримобильные устройства (laptop/PDA )доверенные пользователи могут быть “заразны”

эффективные обновления требуют времени Черви распространяются по внутренней сети молниеносно

BlasterSlammer

Нет безупречного решениясуществующие продукты решают отдельные задачи, но не являются универсальными решениями

Используемые технологии не Используемые технологии не удовлетворяют всем требованиямудовлетворяют всем требованиям

Маршрутизаторы/Коммутаторы

Межсетевые экраны периметра

Антивирусы IDS/IPS

Защита от червей - -

зависит от производител

ясигнатуры

Разделение сети на зоны

ограниченно - - базовое

Карантин - - - - возможенограниченно

Защита сетевых протоколов

- -зависит от

производителя

только отдельной

станции

ограниченно

Защита от атак - -

зависит от производител

я- -

ограниченно

Настройка и управление

непросто настраивать и

управлять

политика настраивается разрешением

правил

требуется настройка каждого

устройства

огромный объем работ по настройке

да

да

Защита периметра и внутренняя Защита периметра и внутренняя защита сетизащита сети

Интерфейс приложений

Политика доступа по умолчанию

Приоритет

Сетевые протоколы

Стандартные, хорошо известные приложения

Приложения клиент – серверСтрогое соответствие протоколам

Наличие централизованного координирующего утройства

Блокируется весь трафик, кроме явно разрешенного

1. Безопасность2. Не нарушение трафика

Сетевые протоколы могут быть блокированы

Защита периметра сети Защита внутренней сети

Сетевые протоколы не могут быть блокированы

1. Не нарушение трафика2. Безопасность

Разрешается весь трафик, кроме явно блокированного

Малоизвестные приложенияПриложения клиент – клиент

Нестрогое соответствие протоколамОтсутствие централизованного координирующего устройства

Обеспечение внутренней безопасности вводит новые, уникальные задачи и требует соответствующих решений

Размещение устройств по обеспечению Размещение устройств по обеспечению внутренней безопасности сетивнутренней безопасности сети

Перед несколькими рабочими станциями

Перед группойсерверов

WAN

InterSpectInterSpect

InterSpect

InterSpect

Перед одной рабочей группой

За мершрутизаторами доступа к WAN

Межсетевой экран периметра

Этажныйкоммутатор

Центральныйкоммутатор

Этажныйкоммутатор

InterSpect

InterSpect

Перед группами серверов

Перед центральным коммутатором

Этажныйкоммутатор

InterSpectПеред группами рабочих станций

Check Point InterSpectCheck Point InterSpect

Шлюз обеспечения внутренней безопасности

Ключевые особенности Intelligent Worm Defender™ (интеллектуальная

защита от червей) Сегментация на зоны Карантин для подозрительных компьютеров Защита внутренних протоколов Упреждающая защита от атак Легкая интеграция в существующую сеть Удобный интерфейс управления

Применим только внутри сетиПрименим только внутри сети

Специальная защита сетевых протоколов

Работа с соединениями второго уровня

Контроль доступа для внутренних сетей

― Блокируются только атаки

― Пропускаются все доверенные соединения

Главное отличие от межсетевых экранов в том, что соединение будет прервано только в том случае, если это явно

указано

Решения реализованные в Решения реализованные в InterSpect InterSpect

Устройство для обеспечения безопасности внутренней сети

сердце аппаратной платформы – современный процессор компании Intelв качестве операционной системы используется специализированная разработка компании Check Point – Secure Platform

Работа на втором уровнеФизическое разбиение сети на зоныУлучшенная производительность

для увеличения производительности в InterSpect интегрирована технология SecureXLв зависимости от модели производительность может изменяться от 200200Mbps до 10001000Mbps

Поддержка VLANподдерживается до 4095 VLAN

Решения реализованные в Решения реализованные в InterSpect InterSpect

Современный подход к защите приложенийинтеллектуальная защита от червей (Intelligent Worm Defender ™)

защита сетевых протоколов (LAN Protocol Protection)

упреждающая защита от атак (Pre-emptive Attack Protection)

Безопасность на уровне зоноткуда “From” и куда “To” устанавливается соединение

Управление Active Defenseрежим мониторинга (Monitor only)

динамический карантин (Dynamic Quarantine)

Редактируемый лист для блокировки соединений

Лист исключений

Архитектурные особенности Архитектурные особенности InterSpectInterSpect

InterSpect обладает двухуровневой архитектурой – непосредственно устройство InterSpect и клиенты управления SmartConsoleУстройство InterSpect

включает в себя enforcement module и SmartCenter serverenforcement module определяет и предотвращает атаки на приложения используя технологию SmartDefense Active Defense

SmartCenter server управляет модулем enforcement module, и собирает записи в журнал регистрации и учета

Клиенты управления SmartConsole управляют сервером SmartCenter server

SmartDashboardSmartDashboard

Обеспечивает централизованное управление и позволяет осуществлять контроль за атаками

SmartView TrackerSmartView Tracker

Позволяет отслеживать информацию о всех соединениях в реальном масштабе времени

Позволяет выполнять операции с записями в одно действие

Команды определяемые пользователем

SmartView MonitorSmartView Monitor

Полная система по мониторингу

Не требуется лицензии

Данные могут быть представлены как в реальном масштабе времени, так и в виде отчетов за отдельные промежутки времени

Немедленное определение сетевых изменений

SmartView ReporterSmartView Reporter

Полная система по созданию отчетов

Не требуется внешнего (Reporter) сервера

Не требуется лицензии

Позволяет эффективно управлять сетевой активностью и безопасностью на основании анализа создаваемых отчетов

Интеграция с Интеграция с Log Log серверомсервером

InterSpect может хранить журналы регистрации и учета как локально, так и отправлять их на существующий сервер - Check Point logging server.

syslog

VPN-1 logs VPN-1 logsLog serverLog server

InterSpectInterSpect

Защита сетевых протоколовЗащита сетевых протоколов

RPC CIFS MS SQL DCOM HTTP POP3 IMAP4 SMTP И более!

Ключевые особенности Защита и поддержка протоколов и

приложений использующихся внутри сети Обеспечение стабильности внутренних

сетей

Внутренняя сеть может использовать различные протоколы

Глубокий анализ протоколов с использованием технологии Application Intelligence

Уникальные технологииУникальные технологии

Physical (Layer 1)

Data Link (Layer 2)

Network (Layer 3)

Transport (Layer 4)

Session (Layer 5)

Presentation (Layer 6)

Application (Layer 7)

StatefulInspection

Технология Application Intelligence проверяет данные приложений

Механизм INSPECT применим как к обеспечению безопасности периметра так и внутренней сети

Application Intelligence

Интеллектуальная защита от Интеллектуальная защита от червейчервей

Ключевые особенности

Блокируется распространение червей внутри сети

Могут быть добавлены типовые особенности для распознавания

• Технологии Application Intelligence и Stateful Inspection используют обнаружение основанное на редактируемых шаблонах

Сегментация сети на зоныСегментация сети на зоны

КлючевыеОсобенности Предотвращает

неавторизованный доступ между зонами

Ограничивает атаки внутри сегмента сети

Bridge Mode

Bridge режим

Межсетевой экран

Router

InterSpect(bridge mode)

Этажныйкоммутатор

IP 1

IP 2

Этажныйкоммутатор

Этажныйкоммутатор

Internet

Финансоваязона

Зонауправления

ЗонаОтдела кадров

Центральныйкоммутатор

Крупная MSFT уязвимость (MS04-007) SMB exploit разработан неким K-Otik

http://www.k-otik.com/exploits/02.14.MS04-007-dos.c.php:

Дополнительные направления атаки на протоколы: Kerberos (88) LDAP (TCP/389) DCE-RPC (135) SMTP (TCP/25) HTTP (TCP/80)

Через различные протоколы exploit может обойти обязательную проверку сигнатурами

Пример: Пример: ASN.1 ExploitASN.1 Exploit

ПодходПодход применяемый в применяемый в InterSpectInterSpect

Перекрываются все направления атаки

понимание стандартов и уязвимостей

Создается решениеизвестно что, где и когда искать

перекрываются все направления атаки

Издаются обновления для SmartDefense

Простота управленияПростота управления

Минимальные затраты времени на администрирование

нет политики разграничения доступа

интуитивно понятные настройки занимают несколько минут

централизованное управление

Аудитсигналы предупреждений и журналы регистрации и учета в реальном режиме времени

отчеты по всем интересующим событиям

отслеживание всех событий в реальном времени

Пример настройкиПример настройки

Централизованное управлениеЦентрализованное управление

Динамические обновления SmartDefense

Запуск консоли InterSpect

Просмотр данных SmartView Monitor

Аудит и создание отчетовАудит и создание отчетов

Карантин подозрительных Карантин подозрительных компьютеровкомпьютеров

InterSpect

Ключевые особенности Изолирует атаки и

скомпрометированные устройства Препятствует заражению других

компьютеров Защищает уязвимые компьютеры,

требует для них установки обновлений

При карантине пользователь и администратор извещаются

динамическими web страницами

Режимы работыРежимы работы

Три основныхрежима работы

1. Bridge mode – полностью прозрачен для приложений и пользователей

2. Switch mode – работает как коммутатор второго уровня

3. Router mode – может работать как маршрутизатор или коммутатор третьего уровня

Работа в режиме мониторинга – InterSpect проверяет трафик не применяя к нему защиты и противодействия на случай атак

Switch ModeSwitch Mode

В этом режиме InterSpect заменяет коммутатор

InterSpect работает как мультипортовый коммутатор в котором все порты соединены между собой для создания одной зоны

готов к работе сразу после включения, не требуется дополнительных настроек

Switch mode

Switch режим

Router

ВнешнийМСЭ

Отделфинансов

Отделменеджмента

Отдел кадров

Этажныйкоммутатор

IP 1

IP 2

Internet

InterSpect( Switch mode)

Этажныйкоммутатор

Этажныйкоммутатор

Bridge modeBridge mode

Стандартный режим работы

Разделяет внутреннюю сеть на защищенные зоны

InterSpect прозрачен для IP сети

InterSpect ставится в разрыв линий в сети, соединяя зоны с остальной частью сети

Каждая зона подключается к порту, который соединяет ее с остальной сетью через другой порт

InterSpect(In- line mode)

Центральный коммутатор

Зонауправления

ЗонаОтдела кадров

Финансоваязона

Межсетевой экран

SmartConsole Client

InterSpect (In-line mode)

IP 1

Межсетевой экран

Центральный коммутатор

Финансоваязона Зона

управления

ЗонаОтдела кадров

Router ModeRouter Mode

В этом режиме InterSpect заменяет маршрутизатор

на каждый активный порт должен быть настроен IP адрес

Динамическая маршрутизация не поддерживается

Межсетевой экран

Router

InterSpect(router mode)

Этажныйкоммутатор

IP 1

IP 2

IP 3IP 4

IP 5

Этажныйкоммутатор

Этажныйкоммутатор

Internet

Финансоваязона

Зонауправления

ЗонаОтдела кадров

Центральныйкоммутатор

Switch mode Switch mode и и Bridge ModeBridge Mode

В режиме bridge mode InterSpect прозрачно устанавливается между устройствами организации и остальной сетью

В режиме switch mode InterSpect отслеживает и защищает трафик между группой компьютеров (или серверов) и всей остальной сетью

InterSpect

Группа серверов

InterSpect

Коммутатор

Остальная сеть

Коммутатор

Остальная сеть

Возможные действия применяемые Возможные действия применяемые InterSpectInterSpect

Действия при работе с зонами:1. Inspect – проверяется весь трафик2. Bypass – выполняются все проверки

кроме SmartDefense3. Block – зона полностью изолируется

Действия при работе с динамическими листами:1. Bypass – выполняются все проверки кроме

SmartDefense2. Block – рабочая станция или зона полностью

изолируется3. Quarantine – запрещен трафик с другими зонами в

течении определенного промежутка времени

Зональная безопасностьЗональная безопасность

Настраиваемый лист блокировки соединений

определение каждого сервиса на основании исключений для определяемой зоны

использование тех же действий что и для зон

преимущество по отношению к настройкам безопасности зон

применяется ко всем объектам находящимся в зоне

дополняет и позволяет сделать более гибкой политику безопасности для зоны

Виртуальные зоны и Виртуальные зоны и VLANVLAN

InterSpect может быть установлен в разрыв, между двумя VLAN коммутаторами соединенными посредством VLAN trunk

Идентификаторы VLAN находятся внутри Trunk соединения и считываются автоматически

работает без дополнительной настройки, не требуется определения виртуальных интерфейсов или VLAN

Могут быть определены настройки зон, специфичные для отдельных VLAN

Не требуется определение дополнительных интерфейсов или виртуальных интерфейсов

InterSpect

Trunk соединение

Trunk соединение

Switch A Switch B

eth3 eth4VLAN 1VLAN 2VLAN 3VLAN 4

VLAN 1VLAN 2VLAN 3VLAN 4

VLAN Tag: 1Virtual Zone: VLAN 1

VLAN Tag: 2Virtual Zone: VLAN 2

VLAN Tag: 3Virtual Zone: VLAN 3

ОтказоустойчивостьОтказоустойчивость

Устройства InterSpect могут быть настроены для работы в режиме горячего резервирования (High AvailabilityHigh Availability) или распределения нагрузки (Load SharingLoad Sharing)

в режиме горячего резервирования (High AvailabilityHigh Availability), два устройства InterSpect образуют пару в которой одно из устройств работает, а второе следит за состоянием первого, готовое в любой момент переключить весь межсетевой трафик на себя

в режиме распределения нагрузки (Load SharingLoad Sharing), два или более устройств InterSpect работают в режиме равномерно распределяющим нагрузку между всеми устройствами

ОтказоустойчивостьОтказоустойчивость

коммутатор

коммутатор

коммутатор

InterSpectbridge mode/switch mode

1. Предусмотрена возможность работы с кластерами ClusterXL

интерфейс синхронизации

кластер

Шлюз МЭ

InterSpect

маршрутизатор

коммутатор

коммутатор

Шлюз МЭ

InterSpect

2. Поддерживается протокол STP

Удовлетворяет всем требованиямУдовлетворяет всем требованиям

Потребности:Увеличение информированности о безопасности

Blaster, Slammer, другие атакиСуществующие приложения

собственные протоколы и портына платформе потенциально уязвимых web серверов

Логическая связностьразработка внутренних приложенийпользовательские модели сетевой безопасности

Комплексное окружениеуправление патчами/антивирусные обновления в многоплатформенных средах

Решение: InterSpectНадежная защита от червей

быстрое искоренение червей и вирусов, предотвращение распространения их по сети

Неразрушающая модель внедрения

понимание последствий до реального включениявозможность сохранения работоспособности устаревших приложений

Простой интерфейс управления

легкость инсталляции и тонкой настройки

ИтогИтог

InterSpect это первый в своем классе шлюз обеспечения внутренней безопасности

создан специально для специфических требований внутренней безопасности

InterSpect совмещает в себе технологии позволяющее наиболее глубоко и интеллектуально защитить сеть

Требования по обеспечению внутренней безопасности постоянно повышаются, но решения от компании Check Point позволяют всегда быть на шаг вперед

Выбор платформы Выбор платформы InterSpectInterSpect

Предложения по платформам InterSpect позволяют выбрать решение начиная от начальных, ориентированных на сети небольших размеров и заканчивая крупными кластерными решениями ориентированными на крупные, корпоративные сети.

InterSpect InterSpect InterSpect InterSpect InterSpect Crossbeam Crossbeam

20 210N 410 610 610F X45 X80

Особенности              

Ориентирован

Одна рабочая группа

Одна рабочая группа

Несколько рабочих

группГигабитная защита сети

Гигабитная защита сети

Мульти-Гигабитная защита сети

Мульти-Гигабитная защита сети

Производительность 200 Mbps 500 Mbps 1000 Mbps 4000 Mbps 8000 Mbps

Слоты расширения Отсутствуют 1 5 11

Количество портов 2 3-10 3-14 8-32 8-64

Количество портов управления 1

3 (+3 резервных)

3 (+3 резервных)

Встроенное распределение нагрузки Отсутствует Да Да

Максимальное количество портов 3

10 медных или 8

оптических 14 медных или 8 оптических

32 медных или 16

оптических

64 медных или 32

оптических

Отказоустойчивость Да

В следующей версииВ следующей версии

Профайлы политикк примеру несколько настроек технологии SmartDefenseкаждая зона может иметь свой профайл

Захват пакетовжурналы регистрации и учета будут содержать информацию о захваченных пакетахпакет сможет быть просмотрен при помощи внешнего (Ethereal) или внутреннего средства просмотра пакетов

Интеграция с коммутаторами третьих производителей

Физическая блокировка портов

Возможности второго уровняБлокирование / карантин по MAC адресуMAC адреса в журналах регистрации и учета

В следующей версииВ следующей версии

Web IntelligenceApplication Intelligence

Unix RPCвсесторонняя фильтрация приложений MS-SQLпроверка Citrixрасширенный анализ протокола DNSMailMSN Messenger

Блокировка передачи файла, разрешение других сервисов

TFTP

Контактная информацияКонтактная информация

ОАО «ОАО «ICL-ICL-КПО ВС»КПО ВС»Адрес:Адрес: 420029, г. Казань,420029, г. Казань,

ул. Сибирский тракт, 34ул. Сибирский тракт, 34

Тел.:Тел.: (8432) 73-24-43 (8432) 73-24-43

Факс:Факс: (8432) 73-55-35 (8432) 73-55-35www.icl.kazan.ru