Upload
kat
View
52
Download
2
Embed Size (px)
DESCRIPTION
Защита сети от внутренних угроз. InterSpect 2.0. Бутузов Юрий Эксперт по информационной безопасности Check Point Certified Security Expert kuon @ icl.kazan.ru. ОАО «АйСиЭл - КПО ВС», 420029 Казань, Сибирский тракт 34, т.: (8432)73-24-43; ф.: (8432)7 3 -55-35 (72-39-52), www.icl.kazan.ru. - PowerPoint PPT Presentation
Citation preview
ОАО «АйСиЭл - КПО ВС», 420029 Казань,ОАО «АйСиЭл - КПО ВС», 420029 Казань, Сибирский тракт 34,Сибирский тракт 34,
т.: (8432)73-24-43; ф.: (8432)7т.: (8432)73-24-43; ф.: (8432)733-55-35 (72-39-52), -55-35 (72-39-52), www.icl.kazan.ru
Защита сети от Защита сети от внутренних угрозвнутренних угроз
InterSpect 2.0InterSpect 2.0
Бутузов ЮрийБутузов Юрий
Эксперт по информационной безопасностиЭксперт по информационной безопасности
Check Point Certified Security Expert Check Point Certified Security Expert
kuonkuon@@icl.kazan.ruicl.kazan.ru
Сегодняшние угрозыСегодняшние угрозы
Раньше – обеспечение безопасности было направлено на периметр сетиСейчас – не меньшее внимание уделяется безопасности внутри сети
Множество атак направлено изнутримобильные устройства (laptop/PDA )доверенные пользователи могут быть “заразны”
эффективные обновления требуют времени Черви распространяются по внутренней сети молниеносно
BlasterSlammer
Нет безупречного решениясуществующие продукты решают отдельные задачи, но не являются универсальными решениями
Используемые технологии не Используемые технологии не удовлетворяют всем требованиямудовлетворяют всем требованиям
Маршрутизаторы/Коммутаторы
Межсетевые экраны периметра
Антивирусы IDS/IPS
Защита от червей - -
зависит от производител
ясигнатуры
Разделение сети на зоны
ограниченно - - базовое
Карантин - - - - возможенограниченно
Защита сетевых протоколов
- -зависит от
производителя
только отдельной
станции
ограниченно
Защита от атак - -
зависит от производител
я- -
ограниченно
Настройка и управление
непросто настраивать и
управлять
политика настраивается разрешением
правил
требуется настройка каждого
устройства
огромный объем работ по настройке
да
да
Защита периметра и внутренняя Защита периметра и внутренняя защита сетизащита сети
Интерфейс приложений
Политика доступа по умолчанию
Приоритет
Сетевые протоколы
Стандартные, хорошо известные приложения
Приложения клиент – серверСтрогое соответствие протоколам
Наличие централизованного координирующего утройства
Блокируется весь трафик, кроме явно разрешенного
1. Безопасность2. Не нарушение трафика
Сетевые протоколы могут быть блокированы
Защита периметра сети Защита внутренней сети
Сетевые протоколы не могут быть блокированы
1. Не нарушение трафика2. Безопасность
Разрешается весь трафик, кроме явно блокированного
Малоизвестные приложенияПриложения клиент – клиент
Нестрогое соответствие протоколамОтсутствие централизованного координирующего устройства
Обеспечение внутренней безопасности вводит новые, уникальные задачи и требует соответствующих решений
Размещение устройств по обеспечению Размещение устройств по обеспечению внутренней безопасности сетивнутренней безопасности сети
Перед несколькими рабочими станциями
Перед группойсерверов
WAN
InterSpectInterSpect
InterSpect
InterSpect
Перед одной рабочей группой
За мершрутизаторами доступа к WAN
Межсетевой экран периметра
Этажныйкоммутатор
Центральныйкоммутатор
Этажныйкоммутатор
InterSpect
InterSpect
Перед группами серверов
Перед центральным коммутатором
Этажныйкоммутатор
InterSpectПеред группами рабочих станций
Check Point InterSpectCheck Point InterSpect
Шлюз обеспечения внутренней безопасности
Ключевые особенности Intelligent Worm Defender™ (интеллектуальная
защита от червей) Сегментация на зоны Карантин для подозрительных компьютеров Защита внутренних протоколов Упреждающая защита от атак Легкая интеграция в существующую сеть Удобный интерфейс управления
Применим только внутри сетиПрименим только внутри сети
Специальная защита сетевых протоколов
Работа с соединениями второго уровня
Контроль доступа для внутренних сетей
― Блокируются только атаки
― Пропускаются все доверенные соединения
Главное отличие от межсетевых экранов в том, что соединение будет прервано только в том случае, если это явно
указано
Решения реализованные в Решения реализованные в InterSpect InterSpect
Устройство для обеспечения безопасности внутренней сети
сердце аппаратной платформы – современный процессор компании Intelв качестве операционной системы используется специализированная разработка компании Check Point – Secure Platform
Работа на втором уровнеФизическое разбиение сети на зоныУлучшенная производительность
для увеличения производительности в InterSpect интегрирована технология SecureXLв зависимости от модели производительность может изменяться от 200200Mbps до 10001000Mbps
Поддержка VLANподдерживается до 4095 VLAN
Решения реализованные в Решения реализованные в InterSpect InterSpect
Современный подход к защите приложенийинтеллектуальная защита от червей (Intelligent Worm Defender ™)
защита сетевых протоколов (LAN Protocol Protection)
упреждающая защита от атак (Pre-emptive Attack Protection)
Безопасность на уровне зоноткуда “From” и куда “To” устанавливается соединение
Управление Active Defenseрежим мониторинга (Monitor only)
динамический карантин (Dynamic Quarantine)
Редактируемый лист для блокировки соединений
Лист исключений
Архитектурные особенности Архитектурные особенности InterSpectInterSpect
InterSpect обладает двухуровневой архитектурой – непосредственно устройство InterSpect и клиенты управления SmartConsoleУстройство InterSpect
включает в себя enforcement module и SmartCenter serverenforcement module определяет и предотвращает атаки на приложения используя технологию SmartDefense Active Defense
SmartCenter server управляет модулем enforcement module, и собирает записи в журнал регистрации и учета
Клиенты управления SmartConsole управляют сервером SmartCenter server
SmartDashboardSmartDashboard
Обеспечивает централизованное управление и позволяет осуществлять контроль за атаками
SmartView TrackerSmartView Tracker
Позволяет отслеживать информацию о всех соединениях в реальном масштабе времени
Позволяет выполнять операции с записями в одно действие
Команды определяемые пользователем
SmartView MonitorSmartView Monitor
Полная система по мониторингу
Не требуется лицензии
Данные могут быть представлены как в реальном масштабе времени, так и в виде отчетов за отдельные промежутки времени
Немедленное определение сетевых изменений
SmartView ReporterSmartView Reporter
Полная система по созданию отчетов
Не требуется внешнего (Reporter) сервера
Не требуется лицензии
Позволяет эффективно управлять сетевой активностью и безопасностью на основании анализа создаваемых отчетов
Интеграция с Интеграция с Log Log серверомсервером
InterSpect может хранить журналы регистрации и учета как локально, так и отправлять их на существующий сервер - Check Point logging server.
syslog
VPN-1 logs VPN-1 logsLog serverLog server
InterSpectInterSpect
Защита сетевых протоколовЗащита сетевых протоколов
RPC CIFS MS SQL DCOM HTTP POP3 IMAP4 SMTP И более!
Ключевые особенности Защита и поддержка протоколов и
приложений использующихся внутри сети Обеспечение стабильности внутренних
сетей
Внутренняя сеть может использовать различные протоколы
Глубокий анализ протоколов с использованием технологии Application Intelligence
Уникальные технологииУникальные технологии
Physical (Layer 1)
Data Link (Layer 2)
Network (Layer 3)
Transport (Layer 4)
Session (Layer 5)
Presentation (Layer 6)
Application (Layer 7)
StatefulInspection
Технология Application Intelligence проверяет данные приложений
Механизм INSPECT применим как к обеспечению безопасности периметра так и внутренней сети
Application Intelligence
Интеллектуальная защита от Интеллектуальная защита от червейчервей
Ключевые особенности
Блокируется распространение червей внутри сети
Могут быть добавлены типовые особенности для распознавания
• Технологии Application Intelligence и Stateful Inspection используют обнаружение основанное на редактируемых шаблонах
Сегментация сети на зоныСегментация сети на зоны
КлючевыеОсобенности Предотвращает
неавторизованный доступ между зонами
Ограничивает атаки внутри сегмента сети
Bridge Mode
Bridge режим
Межсетевой экран
Router
InterSpect(bridge mode)
Этажныйкоммутатор
IP 1
IP 2
Этажныйкоммутатор
Этажныйкоммутатор
Internet
Финансоваязона
Зонауправления
ЗонаОтдела кадров
Центральныйкоммутатор
Крупная MSFT уязвимость (MS04-007) SMB exploit разработан неким K-Otik
http://www.k-otik.com/exploits/02.14.MS04-007-dos.c.php:
Дополнительные направления атаки на протоколы: Kerberos (88) LDAP (TCP/389) DCE-RPC (135) SMTP (TCP/25) HTTP (TCP/80)
Через различные протоколы exploit может обойти обязательную проверку сигнатурами
Пример: Пример: ASN.1 ExploitASN.1 Exploit
ПодходПодход применяемый в применяемый в InterSpectInterSpect
Перекрываются все направления атаки
понимание стандартов и уязвимостей
Создается решениеизвестно что, где и когда искать
перекрываются все направления атаки
Издаются обновления для SmartDefense
Простота управленияПростота управления
Минимальные затраты времени на администрирование
нет политики разграничения доступа
интуитивно понятные настройки занимают несколько минут
централизованное управление
Аудитсигналы предупреждений и журналы регистрации и учета в реальном режиме времени
отчеты по всем интересующим событиям
отслеживание всех событий в реальном времени
Пример настройкиПример настройки
Централизованное управлениеЦентрализованное управление
Динамические обновления SmartDefense
Запуск консоли InterSpect
Просмотр данных SmartView Monitor
Аудит и создание отчетовАудит и создание отчетов
Карантин подозрительных Карантин подозрительных компьютеровкомпьютеров
InterSpect
Ключевые особенности Изолирует атаки и
скомпрометированные устройства Препятствует заражению других
компьютеров Защищает уязвимые компьютеры,
требует для них установки обновлений
При карантине пользователь и администратор извещаются
динамическими web страницами
Режимы работыРежимы работы
Три основныхрежима работы
1. Bridge mode – полностью прозрачен для приложений и пользователей
2. Switch mode – работает как коммутатор второго уровня
3. Router mode – может работать как маршрутизатор или коммутатор третьего уровня
Работа в режиме мониторинга – InterSpect проверяет трафик не применяя к нему защиты и противодействия на случай атак
Switch ModeSwitch Mode
В этом режиме InterSpect заменяет коммутатор
InterSpect работает как мультипортовый коммутатор в котором все порты соединены между собой для создания одной зоны
готов к работе сразу после включения, не требуется дополнительных настроек
Switch mode
Switch режим
Router
ВнешнийМСЭ
Отделфинансов
Отделменеджмента
Отдел кадров
Этажныйкоммутатор
IP 1
IP 2
Internet
InterSpect( Switch mode)
Этажныйкоммутатор
Этажныйкоммутатор
Bridge modeBridge mode
Стандартный режим работы
Разделяет внутреннюю сеть на защищенные зоны
InterSpect прозрачен для IP сети
InterSpect ставится в разрыв линий в сети, соединяя зоны с остальной частью сети
Каждая зона подключается к порту, который соединяет ее с остальной сетью через другой порт
InterSpect(In- line mode)
Центральный коммутатор
Зонауправления
ЗонаОтдела кадров
Финансоваязона
Межсетевой экран
SmartConsole Client
InterSpect (In-line mode)
IP 1
Межсетевой экран
Центральный коммутатор
Финансоваязона Зона
управления
ЗонаОтдела кадров
Router ModeRouter Mode
В этом режиме InterSpect заменяет маршрутизатор
на каждый активный порт должен быть настроен IP адрес
Динамическая маршрутизация не поддерживается
Межсетевой экран
Router
InterSpect(router mode)
Этажныйкоммутатор
IP 1
IP 2
IP 3IP 4
IP 5
Этажныйкоммутатор
Этажныйкоммутатор
Internet
Финансоваязона
Зонауправления
ЗонаОтдела кадров
Центральныйкоммутатор
Switch mode Switch mode и и Bridge ModeBridge Mode
В режиме bridge mode InterSpect прозрачно устанавливается между устройствами организации и остальной сетью
В режиме switch mode InterSpect отслеживает и защищает трафик между группой компьютеров (или серверов) и всей остальной сетью
InterSpect
Группа серверов
InterSpect
Коммутатор
Остальная сеть
Коммутатор
Остальная сеть
Возможные действия применяемые Возможные действия применяемые InterSpectInterSpect
Действия при работе с зонами:1. Inspect – проверяется весь трафик2. Bypass – выполняются все проверки
кроме SmartDefense3. Block – зона полностью изолируется
Действия при работе с динамическими листами:1. Bypass – выполняются все проверки кроме
SmartDefense2. Block – рабочая станция или зона полностью
изолируется3. Quarantine – запрещен трафик с другими зонами в
течении определенного промежутка времени
Зональная безопасностьЗональная безопасность
Настраиваемый лист блокировки соединений
определение каждого сервиса на основании исключений для определяемой зоны
использование тех же действий что и для зон
преимущество по отношению к настройкам безопасности зон
применяется ко всем объектам находящимся в зоне
дополняет и позволяет сделать более гибкой политику безопасности для зоны
Виртуальные зоны и Виртуальные зоны и VLANVLAN
InterSpect может быть установлен в разрыв, между двумя VLAN коммутаторами соединенными посредством VLAN trunk
Идентификаторы VLAN находятся внутри Trunk соединения и считываются автоматически
работает без дополнительной настройки, не требуется определения виртуальных интерфейсов или VLAN
Могут быть определены настройки зон, специфичные для отдельных VLAN
Не требуется определение дополнительных интерфейсов или виртуальных интерфейсов
InterSpect
Trunk соединение
Trunk соединение
Switch A Switch B
eth3 eth4VLAN 1VLAN 2VLAN 3VLAN 4
VLAN 1VLAN 2VLAN 3VLAN 4
VLAN Tag: 1Virtual Zone: VLAN 1
VLAN Tag: 2Virtual Zone: VLAN 2
VLAN Tag: 3Virtual Zone: VLAN 3
ОтказоустойчивостьОтказоустойчивость
Устройства InterSpect могут быть настроены для работы в режиме горячего резервирования (High AvailabilityHigh Availability) или распределения нагрузки (Load SharingLoad Sharing)
в режиме горячего резервирования (High AvailabilityHigh Availability), два устройства InterSpect образуют пару в которой одно из устройств работает, а второе следит за состоянием первого, готовое в любой момент переключить весь межсетевой трафик на себя
в режиме распределения нагрузки (Load SharingLoad Sharing), два или более устройств InterSpect работают в режиме равномерно распределяющим нагрузку между всеми устройствами
ОтказоустойчивостьОтказоустойчивость
коммутатор
коммутатор
коммутатор
InterSpectbridge mode/switch mode
1. Предусмотрена возможность работы с кластерами ClusterXL
интерфейс синхронизации
кластер
Шлюз МЭ
InterSpect
маршрутизатор
коммутатор
коммутатор
Шлюз МЭ
InterSpect
2. Поддерживается протокол STP
Удовлетворяет всем требованиямУдовлетворяет всем требованиям
Потребности:Увеличение информированности о безопасности
Blaster, Slammer, другие атакиСуществующие приложения
собственные протоколы и портына платформе потенциально уязвимых web серверов
Логическая связностьразработка внутренних приложенийпользовательские модели сетевой безопасности
Комплексное окружениеуправление патчами/антивирусные обновления в многоплатформенных средах
Решение: InterSpectНадежная защита от червей
быстрое искоренение червей и вирусов, предотвращение распространения их по сети
Неразрушающая модель внедрения
понимание последствий до реального включениявозможность сохранения работоспособности устаревших приложений
Простой интерфейс управления
легкость инсталляции и тонкой настройки
ИтогИтог
InterSpect это первый в своем классе шлюз обеспечения внутренней безопасности
создан специально для специфических требований внутренней безопасности
InterSpect совмещает в себе технологии позволяющее наиболее глубоко и интеллектуально защитить сеть
Требования по обеспечению внутренней безопасности постоянно повышаются, но решения от компании Check Point позволяют всегда быть на шаг вперед
Выбор платформы Выбор платформы InterSpectInterSpect
Предложения по платформам InterSpect позволяют выбрать решение начиная от начальных, ориентированных на сети небольших размеров и заканчивая крупными кластерными решениями ориентированными на крупные, корпоративные сети.
InterSpect InterSpect InterSpect InterSpect InterSpect Crossbeam Crossbeam
20 210N 410 610 610F X45 X80
Особенности
Ориентирован
Одна рабочая группа
Одна рабочая группа
Несколько рабочих
группГигабитная защита сети
Гигабитная защита сети
Мульти-Гигабитная защита сети
Мульти-Гигабитная защита сети
Производительность 200 Mbps 500 Mbps 1000 Mbps 4000 Mbps 8000 Mbps
Слоты расширения Отсутствуют 1 5 11
Количество портов 2 3-10 3-14 8-32 8-64
Количество портов управления 1
3 (+3 резервных)
3 (+3 резервных)
Встроенное распределение нагрузки Отсутствует Да Да
Максимальное количество портов 3
10 медных или 8
оптических 14 медных или 8 оптических
32 медных или 16
оптических
64 медных или 32
оптических
Отказоустойчивость Да
В следующей версииВ следующей версии
Профайлы политикк примеру несколько настроек технологии SmartDefenseкаждая зона может иметь свой профайл
Захват пакетовжурналы регистрации и учета будут содержать информацию о захваченных пакетахпакет сможет быть просмотрен при помощи внешнего (Ethereal) или внутреннего средства просмотра пакетов
Интеграция с коммутаторами третьих производителей
Физическая блокировка портов
Возможности второго уровняБлокирование / карантин по MAC адресуMAC адреса в журналах регистрации и учета
В следующей версииВ следующей версии
Web IntelligenceApplication Intelligence
Unix RPCвсесторонняя фильтрация приложений MS-SQLпроверка Citrixрасширенный анализ протокола DNSMailMSN Messenger
Блокировка передачи файла, разрешение других сервисов
TFTP
Контактная информацияКонтактная информация
ОАО «ОАО «ICL-ICL-КПО ВС»КПО ВС»Адрес:Адрес: 420029, г. Казань,420029, г. Казань,
ул. Сибирский тракт, 34ул. Сибирский тракт, 34
Тел.:Тел.: (8432) 73-24-43 (8432) 73-24-43
Факс:Факс: (8432) 73-55-35 (8432) 73-55-35www.icl.kazan.ru