ОАО «АйСиЭл - КПО ВС», Казань, Сибирский тракт 34, т.: (8432) ; ф.: (8432) ( ), Защита сети от внутренних угроз InterSpect 2.0 Бутузов Юрий Эксперт по информационной безопасности Check Point Certified Security Expert

Сегодняшние угрозы Раньше – обеспечение безопасности было направлено на периметр сети Сейчас – не меньшее внимание уделяется безопасности внутри сети Множество атак направлено изнутри мобильные устройства (laptop/PDA ) доверенные пользователи могут быть заразны эффективные обновления требуют времени Черви распространяются по внутренней сети молниеносно Blaster Slammer Нет безупречного решения существующие продукты решают отдельные задачи, но не являются универсальными решениями

Используемые технологии не удовлетворяют всем требованиям Маршрутизаторы/ Коммутаторы Межсетевые экраны периметра АнтивирусыIDS/IPS Защита от червей - зависит от производителя сигнатуры Разделение сети на зоны ограниченно - базовое Карантин - возможен ограниченно Защита сетевых протоколов - зависит от производителя только отдельной станции ограниченно Защита от атак - зависит от производителя - ограниченно Настройка и управление непросто настраивать и управлять политика настраивается разрешением правил требуется настройка каждого устройства огромный объем работ по настройке да

Защита периметра и внутренняя защита сети Обеспечение внутренней безопасности вводит новые, уникальные задачи и требует соответствующих решений

Размещение устройств по обеспечению внутренней безопасности сети

Check Point InterSpect Шлюз обеспечения внутренней безопасности Ключевые особенности Intelligent Worm Defender (интеллектуальная защита от червей) Сегментация на зоны Карантин для подозрительных компьютеров Защита внутренних протоколов Упреждающая защита от атак Легкая интеграция в существующую сеть Удобный интерфейс управления

Применим только внутри сети Специальная защита сетевых протоколов Работа с соединениями второго уровня Контроль доступа для внутренних сетей Блокируются только атаки Пропускаются все доверенные соединения Главное отличие от межсетевых экранов в том, что соединение будет прервано только в том случае, если это явно указано

Решения реализованные в InterSpect Устройство для обеспечения безопасности внутренней сети сердце аппаратной платформы – современный процессор компании Intel в качестве операционной системы используется специализированная разработка компании Check Point – Secure Platform Работа на втором уровне Физическое разбиение сети на зоны Улучшенная производительность для увеличения производительности в InterSpect интегрирована технология SecureXL в зависимости от модели производительность может изменяться от 200Mbps до 1000Mbps Поддержка VLAN поддерживается до 4095 VLAN

Решения реализованные в InterSpect Современный подход к защите приложений интеллектуальная защита от червей (Intelligent Worm Defender ) защита сетевых протоколов (LAN Protocol Protection) упреждающая защита от атак (Pre-emptive Attack Protection) Безопасность на уровне зон откуда From и куда To устанавливается соединение Управление Active Defense режим мониторинга (Monitor only) динамический карантин (Dynamic Quarantine) Редактируемый лист для блокировки соединений Лист исключений

Архитектурные особенности InterSpect InterSpect обладает двухуровневой архитектурой – непосредственно устройство InterSpect и клиенты управления SmartConsole Устройство InterSpect включает в себя enforcement module и SmartCenter server enforcement module определяет и предотвращает атаки на приложения используя технологию SmartDefense Active Defense SmartCenter server управляет модулем enforcement module, и собирает записи в журнал регистрации и учета Клиенты управления SmartConsole управляют сервером SmartCenter server

SmartDashboard Обеспечивает централизованное управление и позволяет осуществлять контроль за атаками

SmartView Tracker Позволяет отслеживать информацию о всех соединениях в реальном масштабе времени Позволяет выполнять операции с записями в одно действие Команды определяемые пользователем

SmartView Monitor Полная система по мониторингу Не требуется лицензии Данные могут быть представлены как в реальном масштабе времени, так и в виде отчетов за отдельные промежутки времени Немедленное определение сетевых изменений

SmartView Reporter Полная система по созданию отчетов Не требуется внешнего (Reporter) сервера Не требуется лицензии Позволяет эффективно управлять сетевой активностью и безопасностью на основании анализа создаваемых отчетов

Интеграция с Log сервером InterSpect может хранить журналы регистрации и учета как локально, так и отправлять их на существующий сервер - Check Point logging server. syslog VPN-1 logs Log server InterSpect

Защита сетевых протоколов RPC CIFS MS SQL DCOM HTTP POP3 IMAP4 SMTP И более! Ключевые особенности Защита и поддержка протоколов и приложений использующихся внутри сети Обеспечение стабильности внутренних сетей Внутренняя сеть может использовать различные протоколы Глубокий анализ протоколов с использованием технологии Application Intelligence

Уникальные технологии Physical (Layer 1) Data Link (Layer 2) Network (Layer 3) Transport (Layer 4) Session (Layer 5) Presentation (Layer 6) Application (Layer 7) Stateful Inspection Технология Application Intelligence проверяет данные приложений Механизм INSPECT применим как к обеспечению безопасности периметра так и внутренней сети Application Intelligence

Интеллектуальная защита от червей Ключевые особенности Блокируется распространение червей внутри сети Могут быть добавлены типовые особенности для распознавания Технологии Application Intelligence и Stateful Inspection используют обнаружение основанное на редактируемых шаблонах

Сегментация сети на зоны Ключевые Особенности Предотвращает неавторизованный доступ между зонами Ограничивает атаки внутри сегмента сети Bridge Mode Bridge режим

Крупная MSFT уязвимость (MS04-007) SMB exploit разработан неким K-Otik dos.c.php: dos.c.php Дополнительные направления атаки на протоколы: Kerberos (88) LDAP (TCP/389) DCE-RPC (135) SMTP (TCP/25) HTTP (TCP/80) Через различные протоколы exploit может обойти обязательную проверку сигнатурами Пример: ASN.1 Exploit

Подход применяемый в InterSpect Перекрываются все направления атаки понимание стандартов и уязвимостей Создается решение известно что, где и когда искать перекрываются все направления атаки Издаются обновления для SmartDefense

Простота управления Минимальные затраты времени на администрирование нет политики разграничения доступа интуитивно понятные настройки занимают несколько минут централизованное управление Аудит сигналы предупреждений и журналы регистрации и учета в реальном режиме времени отчеты по всем интересующим событиям отслеживание всех событий в реальном времени

Пример настройки

Централизованное управление Динамические обновления SmartDefense Запуск консоли InterSpect Просмотр данных SmartView Monitor

Аудит и создание отчетов

Карантин подозрительных компьютеров InterSpect Ключевые особенности Изолирует атаки и скомпрометированные устройства Препятствует заражению других компьютеров Защищает уязвимые компьютеры, требует для них установки обновлений При карантине пользователь и администратор извещаются динамическими web страницами

Режимы работы Три основных режима работы 1. 1.Bridge mode – полностью прозрачен для приложений и пользователей 2. 2.Switch mode – работает как коммутатор второго уровня 3. 3.Router mode – может работать как маршрутизатор или коммутатор третьего уровня Работа в режиме мониторинга – InterSpect проверяет трафик не применяя к нему защиты и противодействия на случай атак

Switch Mode В этом режиме InterSpect заменяет коммутатор InterSpect работает как мультипортовый коммутатор в котором все порты соединены между собой для создания одной зоны готов к работе сразу после включения, не требуется дополнительных настроек

Bridge mode Стандартный режим работы Разделяет внутреннюю сеть на защищенные зоны InterSpect прозрачен для IP сети InterSpect ставится в разрыв линий в сети, соединяя зоны с остальной частью сети Каждая зона подключается к порту, который соединяет ее с остальной сетью через другой порт

Router Mode В этом режиме InterSpect заменяет маршрутизатор на каждый активный порт должен быть настроен IP адрес Динамическая маршрутизация не поддерживается

Switch mode и Bridge Mode В режиме bridge mode InterSpect прозрачно устанавливается между устройствами организации и остальной сетью В режиме switch mode InterSpect отслеживает и защищает трафик между группой компьютеров (или серверов) и всей остальной сетью InterSpect Группа серверов InterSpect Коммутатор Остальная сеть Коммутатор Остальная сеть

Возможные действия применяемые InterSpect Действия при работе с зонами: 1. 1.Inspect – проверяется весь трафик 2. 2.Bypass – выполняются все проверки кроме SmartDefense 3. 3.Block – зона полностью изолируется Действия при работе с динамическими листами: 1. 1.Bypass – выполняются все проверки кроме SmartDefense 2. 2.Block – рабочая станция или зона полностью изолируется 3. 3.Quarantine – запрещен трафик с другими зонами в течении определенного промежутка времени

Зональная безопасность Настраиваемый лист блокировки соединений определение каждого сервиса на основании исключений для определяемой зоны использование тех же действий что и для зон преимущество по отношению к настройкам безопасности зон применяется ко всем объектам находящимся в зоне дополняет и позволяет сделать более гибкой политику безопасности для зоны

Виртуальные зоны и VLAN InterSpect может быть установлен в разрыв, между двумя VLAN коммутаторами соединенными посредством VLAN trunk Идентификаторы VLAN находятся внутри Trunk соединения и считываются автоматически работает без дополнительной настройки, не требуется определения виртуальных интерфейсов или VLAN Могут быть определены настройки зон, специфичные для отдельных VLAN Не требуется определение дополнительных интерфейсов или виртуальных интерфейсов

Отказоустойчивость High Availability Load Sharing Устройства InterSpect могут быть настроены для работы в режиме горячего резервирования (High Availability) или распределения нагрузки (Load Sharing) High Availability в режиме горячего резервирования (High Availability), два устройства InterSpect образуют пару в которой одно из устройств работает, а второе следит за состоянием первого, готовое в любой момент переключить весь межсетевой трафик на себя Load Sharing в режиме распределения нагрузки (Load Sharing), два или более устройств InterSpect работают в режиме равномерно распределяющим нагрузку между всеми устройствами

Отказоустойчивость 1. Предусмотрена возможность работы с кластерами ClusterXL 2. Поддерживается протокол STP

Удовлетворяет всем требованиям Потребности: Увеличение информированности о безопасности Blaster, Slammer, другие атаки Существующие приложения собственные протоколы и порты на платформе потенциально уязвимых web серверов Логическая связность разработка внутренних приложений пользовательские модели сетевой безопасности Комплексное окружение управление патчами/антивирусные обновления в многоплатформенных средах Решение: InterSpect Надежная защита от червей быстрое искоренение червей и вирусов, предотвращение распространения их по сети Неразрушающая модель внедрения понимание последствий до реального включения возможность сохранения работоспособности устаревших приложений Простой интерфейс управления легкость инсталляции и тонкой настройки

Итог InterSpect это первый в своем классе шлюз обеспечения внутренней безопасности создан специально для специфических требований внутренней безопасности InterSpect совмещает в себе технологии позволяющее наиболее глубоко и интеллектуально защитить сеть Требования по обеспечению внутренней безопасности постоянно повышаются, но решения от компании Check Point позволяют всегда быть на шаг вперед

Выбор платформы InterSpect Предложения по платформам InterSpect позволяют выбрать решение начиная от начальных, ориентированных на сети небольших размеров и заканчивая крупными кластерными решениями ориентированными на крупные, корпоративные сети. InterSpect Crossbeam 20210N FX45X80 Особенности Ориентирован Одна рабочая группа Несколько рабочих групп Гигабитная защита сети Мульти- Гигабитная защита сети Производительность200 Mbps500 Mbps1000 Mbps4000 Mbps8000 Mbps Слоты расширенияОтсутствуют1511 Количество портов Количество портов управления1 3 (+3 резервных) Встроенное распределение нагрузкиОтсутствуетДа Максимальное количество портов3 10 медных или 8 оптических14 медных или 8 оптических 32 медных или 16 оптических 64 медных или 32 оптических ОтказоустойчивостьДа

В следующей версии Профайлы политик к примеру несколько настроек технологии SmartDefense каждая зона может иметь свой профайл Захват пакетов журналы регистрации и учета будут содержать информацию о захваченных пакетах пакет сможет быть просмотрен при помощи внешнего (Ethereal) или внутреннего средства просмотра пакетов Интеграция с коммутаторами третьих производителей Физическая блокировка портов Возможности второго уровня Блокирование / карантин по MAC адресу MAC адреса в журналах регистрации и учета

В следующей версии Web Intelligence Application Intelligence Unix RPC всесторонняя фильтрация приложений MS-SQL проверка Citrix расширенный анализ протокола DNS Mail MSN Messenger Блокировка передачи файла, разрешение других сервисов TFTP

Контактная информация ОАО «ICL-КПО ВС» Адрес: , г. Казань, ул. Сибирский тракт, 34 Тел.: (8432) Факс: (8432)