slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Защита сети от внутренних угроз PowerPoint Presentation
Download Presentation
Защита сети от внутренних угроз

Loading in 2 Seconds...

play fullscreen
1 / 42

Защита сети от внутренних угроз - PowerPoint PPT Presentation


  • 200 Views
  • Uploaded on

Защита сети от внутренних угроз. InterSpect 2.0. Бутузов Юрий Эксперт по информационной безопасности Check Point Certified Security Expert kuon @ icl.kazan.ru. ОАО «АйСиЭл - КПО ВС», 420029 Казань, Сибирский тракт 34, т.: (8432)73-24-43; ф.: (8432)7 3 -55-35 (72-39-52), www.icl.kazan.ru.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Защита сети от внутренних угроз' - kat


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
Защита сети от внутренних угроз

InterSpect 2.0

Бутузов Юрий

Эксперт по информационной безопасности

Check Point Certified Security Expert

kuon@icl.kazan.ru

ОАО «АйСиЭл - КПО ВС», 420029 Казань,Сибирский тракт 34,

т.: (8432)73-24-43; ф.: (8432)73-55-35 (72-39-52), www.icl.kazan.ru

slide2
Сегодняшние угрозы
  • Раньше – обеспечение безопасности было направлено на периметр сети
  • Сейчас – не меньшее внимание уделяется безопасности внутри сети
  • Множество атак направлено изнутри
    • мобильные устройства (laptop/PDA )
    • доверенные пользователи могут быть “заразны”
    • эффективные обновления требуют времени
  • Черви распространяются по внутренней сети молниеносно
    • Blaster
    • Slammer
  • Нет безупречного решения
    • существующие продукты решают отдельные задачи, но не являются универсальными решениями
slide3
Используемые технологии не удовлетворяют всем требованиям

да

да

slide4
Защита периметра и внутренняя защита сети

Обеспечение внутренней безопасности вводит новые, уникальные задачи и требует соответствующих решений

slide5
Размещение устройств по обеспечению внутренней безопасности сети
check point interspect
Check Point InterSpect

Шлюз обеспечения внутренней безопасности

Ключевые особенности

  • Intelligent Worm Defender™ (интеллектуальная защита от червей)
  • Сегментация на зоны
  • Карантин для подозрительных компьютеров
  • Защита внутренних протоколов
  • Упреждающая защита от атак
  • Легкая интеграция в существующую сеть
  • Удобный интерфейс управления
slide7
Применим только внутри сети
  • Специальная защита сетевых протоколов
  • Работа с соединениями второго уровня
  • Контроль доступа для внутренних сетей
    • Блокируются только атаки
    • Пропускаются все доверенные соединения

Главное отличие от межсетевых экранов в том, что соединение будет прервано только в том случае, если это явно указано

interspect
Решения реализованные в InterSpect
  • Устройство для обеспечения безопасности внутренней сети
    • сердце аппаратной платформы – современный процессор компании Intel
    • в качестве операционной системы используется специализированная разработка компании Check Point – Secure Platform
  • Работа на втором уровне
  • Физическое разбиение сети на зоны
  • Улучшенная производительность
    • для увеличения производительности в InterSpect интегрирована технология SecureXL
    • в зависимости от модели производительность может изменяться от 200Mbps до 1000Mbps
  • Поддержка VLAN
    • поддерживается до 4095 VLAN
interspect1
Решения реализованные в InterSpect
  • Современный подход к защите приложений
    • интеллектуальная защита от червей (Intelligent Worm Defender ™)
    • защита сетевых протоколов (LAN Protocol Protection)
    • упреждающая защита от атак (Pre-emptive Attack Protection)
  • Безопасность на уровне зон
    • откуда “From” и куда “To” устанавливается соединение
  • Управление Active Defense
    • режим мониторинга (Monitor only)
    • динамический карантин (Dynamic Quarantine)
  • Редактируемый листдля блокировки соединений
  • Лист исключений
interspect2
Архитектурные особенности InterSpect
  • InterSpect обладает двухуровневой архитектурой –непосредственно устройство InterSpect иклиентыуправления SmartConsole
  • Устройство InterSpect
    • включает в себя enforcement moduleи SmartCenter server
    • enforcement module определяет и предотвращает атаки на приложения используя технологию SmartDefense Active Defense
  • SmartCenter server
    • управляет модулем enforcement module, исобирает записи в журнал регистрации и учета
  • Клиенты управленияSmartConsole
    • управляют серверомSmartCenter server
smartdashboard
SmartDashboard
  • Обеспечивает централизованное управлениеи позволяет осуществлять контроль за атаками
smartview tracker
SmartView Tracker
  • Позволяет отслеживать информацию о всех соединениях в реальном масштабе времени
  • Позволяет выполнять операции с записями в одно действие

Команды определяемые пользователем

smartview monitor
SmartView Monitor
  • Полная система по мониторингу
  • Не требуется лицензии
  • Данные могут быть представлены как в реальном масштабе времени, так и в виде отчетов за отдельные промежутки времени
  • Немедленное определение сетевых изменений
smartview reporter
SmartView Reporter
  • Полная система по созданию отчетов
  • Не требуетсявнешнего (Reporter) сервера
  • Не требуется лицензии
  • Позволяет эффективно управлять сетевой активностью и безопасностью на основании анализа создаваемых отчетов
slide15
Интеграция с Log сервером
  • InterSpect может хранить журналы регистрации и учета как локально, так и отправлять их на существующий сервер - Check Point logging server.

InterSpect

Log server

VPN-1 logs

VPN-1 logs

syslog

slide16
Защита сетевых протоколов

Глубокийанализ протоколов с использованием технологии Application Intelligence

  • RPC
  • CIFS
  • MS SQL
  • DCOM
  • HTTP
  • POP3
  • IMAP4
  • SMTP
  • И более!

Внутренняя сеть может использовать различные протоколы

Ключевые особенности

  • Защита и поддержка протоколов и приложений использующихся внутри сети
  • Обеспечение стабильности внутренних сетей
slide17

Application (Layer 7)

Presentation (Layer 6)

Session (Layer 5)

Transport (Layer 4)

Network (Layer 3)

Data Link (Layer 2)

Physical (Layer 1)

Уникальные технологии

Application

Intelligence

  • Технология Application Intelligenceпроверяет данные приложений

StatefulInspection

  • Механизм INSPECTприменим как к обеспечению безопасности периметра так и внутренней сети
slide18
Интеллектуальная защита от червей
  • Ключевые особенности
  • Блокируется распространение червей внутри сети
  • Могут быть добавлены типовые особенности для распознавания
  • Технологии Application Intelligence и Stateful Inspection используют обнаружение основанное на редактируемых шаблонах
slide19
Сегментация сети на зоны
  • Ключевые
  • Особенности
  • Предотвращает неавторизованный доступ между зонами
  • Ограничивает атаки внутри сегмента сети

Bridge Mode

Bridge режим

slide20

Пример: ASN.1 Exploit

  • Крупная MSFT уязвимость (MS04-007)
  • SMB exploit разработаннеким K-Otik
    • http://www.k-otik.com/exploits/02.14.MS04-007-dos.c.php:
  • Дополнительные направления атаки на протоколы:
    • Kerberos (88)
    • LDAP (TCP/389)
    • DCE-RPC (135)
    • SMTP (TCP/25)
    • HTTP (TCP/80)
  • Через различные протоколы exploit может обойти обязательную проверку сигнатурами
interspect3
Подходприменяемый в InterSpect
  • Перекрываются все направления атаки
    • понимание стандартов и уязвимостей
  • Создается решение
    • известно что, где и когда искать
    • перекрываются все направления атаки
  • Издаются обновления для SmartDefense
slide22
Простота управления
  • Минимальные затраты времени на администрирование
    • нет политики разграничения доступа
    • интуитивно понятные настройки занимают несколько минут
    • централизованное управление
  • Аудит
    • сигналы предупреждений и журналы регистрации и учета в реальном режиме времени
    • отчеты по всем интересующим событиям
    • отслеживание всех событий в реальном времени
slide24
Централизованное управление
  • Динамические обновления SmartDefense
  • Запуск консоли InterSpect
  • Просмотр данных SmartView Monitor
slide26
Карантин подозрительных компьютеров
  • Ключевые особенности
  • Изолирует атаки и скомпрометированные устройства
  • Препятствует заражению других компьютеров
  • Защищает уязвимые компьютеры, требует для них установки обновлений

InterSpect

При карантине пользователь и администратор извещаются динамическими web страницами

slide27
Режимы работы
  • Три основных
  • режима работы
  • Bridge mode – полностью прозрачен для приложений и пользователей
  • Switch mode – работает как коммутаторвторого уровня
  • Router mode – может работать как маршрутизатор или коммутатор третьего уровня

Работа в режиме мониторинга – InterSpect проверяет трафик не применяя к нему защиты и противодействия на случай атак

switch mode
Switch Mode
  • В этом режиме InterSpect заменяет коммутатор
  • InterSpect работает как мультипортовый коммутаторв котором все порты соединены между собой для создания одной зоны
    • готов к работе сразу после включения, не требуется дополнительных настроек
bridge mode
Bridge mode
  • Стандартный режим работы
  • Разделяет внутреннюю сеть на защищенные зоны
    • InterSpect прозрачен для IP сети
    • InterSpect ставится в разрыв линий в сети, соединяя зоны с остальной частью сети
  • Каждая зона подключается к порту, который соединяет ее с остальной сетью через другой порт
router mode
Router Mode
  • В этом режиме InterSpect заменяет маршрутизатор
    • на каждый активный порт должен быть настроен IP адрес
  • Динамическая маршрутизация не поддерживается
switch mode bridge mode
Switch mode и Bridge Mode
  • В режимеbridge mode InterSpect прозрачно устанавливается между устройствами организации и остальной сетью
  • В режимеswitch mode InterSpect отслеживает и защищает трафик между группой компьютеров (или серверов) и всей остальной сетью

Коммутатор

Остальная сеть

InterSpect

Коммутатор

InterSpect

Остальная сеть

Группа серверов

interspect4
Возможные действия применяемые InterSpect
  • Действия при работе с зонами:
  • Inspect – проверяется весь трафик
  • Bypass – выполняются все проверки кроме SmartDefense
  • Block – зона полностью изолируется
  • Действия при работе с динамическими листами:
  • Bypass – выполняются все проверки кроме SmartDefense
  • Block – рабочая станция или зона полностью изолируется
  • Quarantine – запрещен трафик с другими зонами в течении определенного промежутка времени
slide33
Зональная безопасность
  • Настраиваемый лист блокировки соединений
    • определение каждого сервиса на основании исключений для определяемой зоны
    • использование тех же действий что и для зон
    • преимущество по отношению к настройкам безопасности зон
    • применяется ко всем объектам находящимся в зоне
    • дополняет и позволяет сделать более гибкой политику безопасности для зоны
slide34
Виртуальные зоны и VLAN
  • InterSpect может быть установлен в разрыв, между двумя VLAN коммутаторамисоединенными посредством VLAN trunk
  • Идентификаторы VLAN находятся внутри Trunk соединения и считываются автоматически
    • работает без дополнительной настройки, не требуется определения виртуальных интерфейсов или VLAN
  • Могут быть определены настройки зон, специфичные для отдельных VLAN
  • Не требуется определение дополнительных интерфейсов или виртуальных интерфейсов
slide35
Отказоустойчивость
  • Устройства InterSpect могут быть настроены для работы в режиме горячего резервирования (High Availability)или распределения нагрузки (Load Sharing)
    • в режиме горячего резервирования (High Availability), два устройства InterSpect образуют парув которой одно из устройств работает, а второе следит за состоянием первого, готовое в любой момент переключить весь межсетевой трафик на себя
    • в режиме распределения нагрузки(Load Sharing), два или более устройств InterSpect работают в режиме равномерно распределяющим нагрузку между всеми устройствами
slide36
Отказоустойчивость

1. Предусмотрена возможность работы с кластерами ClusterXL

2. Поддерживается протокол STP

slide37
Удовлетворяет всем требованиям

Решение: InterSpect

  • Надежная защита от червей
    • быстрое искоренение червей и вирусов, предотвращение распространения их по сети
  • Неразрушающая модель внедрения
    • понимание последствий до реального включения
    • возможность сохранения работоспособности устаревших приложений
  • Простой интерфейс управления
    • легкость инсталляции и тонкой настройки

Потребности:

  • Увеличение информированности о безопасности
    • Blaster, Slammer, другие атаки
  • Существующие приложения
    • собственные протоколы и порты
    • на платформе потенциально уязвимых web серверов
  • Логическая связность
    • разработка внутренних приложений
    • пользовательские модели сетевой безопасности
  • Комплексное окружение
    • управление патчами/антивирусные обновления в многоплатформенных средах
slide38
Итог
  • InterSpect это первый в своем классе шлюз обеспечения внутренней безопасности
    • создан специально для специфических требований внутренней безопасности
  • InterSpect совмещает в себе технологиипозволяющее наиболее глубоко и интеллектуально защитить сеть
  • Требования по обеспечению внутренней безопасности постоянно повышаются, но решения от компании Check Point позволяют всегда быть на шаг вперед
interspect5
Выбор платформы InterSpect
  • Предложения по платформам InterSpect позволяют выбрать решение начиная от начальных, ориентированных на сети небольших размеров и заканчивая крупными кластерными решениями ориентированными на крупные, корпоративные сети.
slide40
В следующей версии
  • Профайлы политик
    • к примеру несколько настроек технологии SmartDefense
    • каждая зона может иметь свой профайл
  • Захват пакетов
    • журналы регистрации и учета будут содержать информацию о захваченных пакетах
    • пакет сможет быть просмотрен при помощи внешнего (Ethereal) или внутреннего средства просмотра пакетов
  • Интеграция с коммутаторами третьих производителей
    • Физическая блокировка портов
  • Возможности второго уровня
    • Блокирование / карантинпо MAC адресу
    • MAC адреса в журналах регистрации и учета
slide41
В следующей версии
  • Web Intelligence
  • Application Intelligence
    • Unix RPC
    • всесторонняя фильтрация приложений MS-SQL
    • проверка Citrix
    • расширенный анализ протокола DNS
    • Mail
    • MSN Messenger
      • Блокировка передачи файла, разрешение других сервисов
  • TFTP
slide42
Контактная информация

ОАО «ICL-КПО ВС»

Адрес:420029, г. Казань,

ул. Сибирский тракт, 34

Тел.: (8432) 73-24-43

Факс: (8432) 73-55-35

www.icl.kazan.ru