Технологии и продукты Microsoft в обеспечении ИБ Лекция 17. Защита от сетевых атак на основе межсетевого экранирования

Высшая школа экономики Цели Рассмотреть понятие межсетевого экрана (firewall) Изучить основные принципы работы и особенности практического использования межсетевых экранов Оценить возможности интеграции межсетевых экранов со средствами обнаружения атак Изучить возможности системы Microsoft ISA Server Рассмотреть Microsoft Forefront TMG (Threat Management Gateway) - наследник и преемник Internet Security and Acceleration Server

Высшая школа экономики Экспертное мнение Firewalls and anti-virus programs are the only really successful security products, and they are carefully designed to require no end-user setup and to interfere very little with daily life. Butler W. Lampson Technical Fellow at Microsoft, Adjunct Professor at MIT

Высшая школа экономики Определение Межсетевые экраны (МЭ) реализуют методы контроля за информацией, поступающей в АС и/или выходящей из АС, и обеспечения защиты АС посредством фильтрации информации на основе заданных администратором критериев

Высшая школа экономики Методы фильтрации пакетов данных «Все, что не запрещено разрешено» «Все, что не разрешено запрещено»

Высшая школа экономики Режимы трансляции IP-адресов Динамический Статический Статический с динамической выборкой IP-адресов Комбинированный

Высшая школа экономики Типы критериев фильтрации По уровню стека TCP/IP Сетевой Транспортный Прикладной

Высшая школа экономики IP-адреса получателя и отправителя IP- пакета тип протокола, при помощи которого сформировано сообщение, размещенное в поле данных IP-пакета тип пакета данных ICMP и др. Примеры критериев фильтрования: сетевой уровень

Высшая школа экономики номера TCP- и UDP-портов отправителя и получателя TCP-сегмента или UDP- дейтаграммы значение флагового поля передачи TCP- сегментов длина TCP-сегмента Примеры критериев фильтрования: транспортный уровень

Высшая школа экономики длина заголовка блока данных прикладного уровня тип команды, содержащейся в блоке данных прикладно­го уровня адрес ресурса, которому предназначена содержащаяся в блоке данных прикладного уровня команда Примеры критериев фильтрования: прикладной уровень

Высшая школа экономики Защита периметра Защита серверных приложений Защита клиентской и серверной ОС Всесторонняя защита бизнес- приложений, позволяющая достичь лучшей защиты и безопасного доступа посредством глубокой интеграции и упрощенного управления Microsoft Forefront

Высшая школа экономики Microsoft Internet Security & Acceleration Server 2006 SP1 Пятое поколение продукта Сертифицирован по Common Criteria (EAL 4+); ФСТЭК (МЭ 3,4 уровней) Межсетевой экран с фильтрацией http, прокси-сервер, VPN, удобная публикация приложений, широкие возможности интеграции. Microsoft ISA Server

Высшая школа экономики Типичные сценарии: Объединение сетей филиалов Безопасный доступ к почте и другим ресурсам Единая платформа для решения ряда задач Для малого бизнеса есть возможность построить инфраструктуру на Microsoft на специальных условиях – Small Business Server Внедрение Microsoft ISA Server

Высшая школа экономики Exchange Внутрен ний веб- узел SharePoint Active Directory Внешний веб-сервер User Массив ISA 2006 DMZ Internal Network Internet S2S VPN Филиал Головной офис User CSS Administrator Integrated Security Efficient Management NEW Кэширование пакетов BITS ускоряет распространение обновлений ПО NEW Файлы ответов для автоматической установки через сменные носители Fast, Secure Access NEW Быстрое обновление политик через медленные каналы связи NEW Улучшенное управление сертификатами NEW Компрессия HTTP запросов NEW Поддержка параметров DiffServ IP для более эффективного использования канала связи Защита и поддержка филиалов

Высшая школа экономики Exchange Intranet Web Server SharePoint Active Directory External Web Server Administrator User ISA 2006 Appliance DMZ Internal Network Internet HEAD QUARTERS Integrated Security Efficient Management NEW Поддержка смарт-карт и одноразовых паролей NEW Настраиваемые формы входа для большинства устройств и приложений NEW Поддержка LDAP аутентификации для Active Directory NEW Балансировка нагрузки опубликованных веб-серверов Fast, Secure Access NEW Передача аутентификации (NTLM, Kerberos) NEW Улучшенное управление сессиями NEW Мастера публикации Exchange & SharePoint NEW Расширенное управление сертификатами NEW Единый доступ (Single sign) к различным ресурсам NEW Автоматическое преобразование ссылок Публикация серверов

Высшая школа экономики External Web Site Attacker DMZ Internal Network Internet Extranet Web Server Administrator HEAD QUARTERS Integrated Security Efficient Management NEW Улучшенная защита от атак DoS/DDoS NEW Переработанная защита от вирусов-червей с помощью квот соединений NEW Полный набор счетчиков и шаблонов действий NEW Улучшенный контроль и уведомления при атаках Fast, Secure Access Защита и фильтрация информации

Высшая школа экономики Интегрированная и всеобъемлющая защита от интернет-угроз Сетевая защита Эволюция

Высшая школа экономики Защита от вредоносного ПО и Интернет-угроз Простое управление, несмотря на масштабы инсталляций Простой, защищенный и контролируемый доступ внутрь и наружу Уже выпущен TMG MBE (Medium Business Edition) для Windows Essential Business Server В настоящий момент TMG Beta 3 Forefront Threat Management Gateway

Высшая школа экономики Контроль за политикой доступа на периметре (Firewall) Защита пользователей от веб угроз (Web Client Protection) Защита пользователей от угроз, распространяемых по ( Protection) Защита рабочих станций и серверов от вторжений (NIPS) Удаленный доступ к корпоративным ресурсам (VPN, Secure Web Publishing) Упрощенное управление (Deployment) Всеобъемлющая Интегрируемая Простая Функциональность TMG

Высшая школа экономики Поддержка VoIP traversal (SIP) Улучшенный NAT ISP Link Redundancy Firewall HTTP Анти- вирус/spyware Фильтрация URL HTTPS forward inspection Безопасный Web доступ Интеграция с Exchange Edge/FSE Anti-Virus Anti-spam Защита E- mail Network Inspection System (NIS) Security Assessment and Response (SAS) Предотвращ ение вторжений Интеграция NAP с VPN SSTP Удаленный доступ Улучшенное управление массивами Улучшения UI Отслеживание изменений Улучшенные отчеты W2K8, x64 Развертывание и управление Update Center : HTTP: AV+URL Filtering AV+Anti- Spam NIS signatures Сервисы по подписке 20 Усовершенствования

Высшая школа экономики SIP фильтрация Улучшенная поддержка NAT (ENAT) Обновленный Firewall Client Улучшенный межсетевой экран

Высшая школа экономики Мастер доступа к Web Проверка на наличие вредоносного кода Сканирование при скачивании Настройки проверок для каждого правила Фильтрация URL Проверка HTTPS Фильтрация URL, сканирование на наличие вредоносного кода, IPS Уведомления конечных пользователей посредством Firewall client Защита web-доступа

Высшая школа экономики Инспекция HTTPS

Высшая школа экономики Использованные источники Косинов М. Защита на уровне периметра сети: Microsoft ForeFront TMG и Microsoft Forefront IAG // Softline, слайды, Трофимов А. ForeFront TMG: обзор преемника ISA Server // Microsoft, слайды. Опубликовано: Сердюк В.А. Новое в защите от взлома корпоративных систем. Техносфера; Lampson B.W. Computer security in the real world. IEEE Computer 37, 6 (June 2004), pp

Спасибо за внимание!