©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Комплексные решения безопасности масштаба предприятия. Решения от компании Check Point Антон Разумов Check Point Software Technologies Консультант по безопасности

2 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Компании развиваются 2 Tele- working Application sharing Connecting branch offices ing with outsiders on PDAs Web applications Extranets Instant messaging IP Telephony Mobile workers

3 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. IPS UTM VPN Firewall Развитие интегрированных шлюзов

4 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. IPS UTM VPN Firewall Personal firewall Disk Encryption Anti-Virus VPN Client Защита в едином агенте на конечных точках

5 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. SMART Security Management Architecture Management Compliance Reporting Monitoring IPS Personal firewall UTM Disk Encryption VPNAnti-Virus FirewallVPN Client Единая консоль управления

6 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Perimetrix: Самые популярные средства ИБ Самые популярные средства ИБ

7 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point PURE Security

8 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point PURE Security

9 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point PURE Security

10 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point PURE Security

11 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point PURE Security

12 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point PURE Security

13 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point PURE Security

©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Защита периметра

15 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point Next Generation with Application Intelligence Проверка на соответствие стандартам Проверка на ожидаемое использование протоколов Блокирование злонамеренных данных Контроль над опасными операциями Соответствует ли приложение стандартам? Нет ли двоичных данных в HTTP заголовках Обычное ли использование протокола? Избыточная длина HTTP заголовка или Обход Директорий Вводятся ли опасные данные или команды? Cross Site Scripting или обнаружены сигнатуры атак Не выполняются ли запрещенные команды? FTP команды

16 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Pro-active Protection (ex: 2007)

17 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Механизмы защиты Total Security Intrusion prevention subscription Anti spyware subscription Web application firewall expansion SSL VPN expansion Web Filtering subscription VPN (site-to-site, remote access) standard Antivirus (at the gateway) subscription The best Firewall in the market HTTPFTP Instant Msg P2P VoIPSQL standard * End of Q Messaging security subscription NEW!

18 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Gateway security landscape Point product providersRequirementsPure security Firewall IDS/IPS Messaging Security Remote access Content Security Firewall Vendors VPN Vendors IDS/IPS Vendors Msg Sec Vendors Content Vendors Market leading firewall with Application Intelligence IPS/IDS – dedicated and integrated VPN: site-to-site, access, client/clientless, IPSEC/SSL Unified, managed, integrated into the gateway Content & Messaging Security Data Leak Prevention* Any scale, size, performance, virtualization, availability Firewall with application awareness IDS/IPS VPN Site-to-site / remote access Data, content, messaging security Virtualization, availability, scalability Unified, managed, integrated with endpoint * planned Check Point is only company to integrate these security components into single gateway Scaleable for any size with Unified Management

©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Предотвращение атак

20 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point IPS-1 NGX R65 SmartCenter IPS-1 Mgmt Новый IPS-1 Management Dashboard Sensor работает на SPLAT IPS-1 Management Server работает на SPLAT SmartCenter + IPS-1 Management Server устанавливаются на один сервер под управлением SPLAT (общие администраторы)

21 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Основные компоненты IPS-1 IPS-1 – выделенное решение IDS/IPS масштаба крупного предприятия: –Hybrid Detection Engine (HDE) –N-Code language –Central Management VPN-1IPS-1 Central Management Stateful Inspection HDE INSPECT language N-Code language

22 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Application Intelligence HDE комбинирует лучшие техники обнаружения и анализа Hybrid Detection Engine Protocol Analysis Context Based Protocol Anomaly Detection OS Fingerprinting Application Fingerprinting SMART IP Reassembly Alert Flood Suppression Dynamic Worm Mitigation Confidence Indexing Advanced Signature Based Detection Dynamic Shielding Unique

©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Защита WEB и безопасный удаленный доступ

24 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Бизнес зависит от Web Internet Web серверы Серверы приложений Данные заказчиков Заказчики Партнеры Сотрудники Базы данных 75% кибератак происходит через Internet приложения

©2003–2008 Check Point Software Technologies Ltd. All rights reserved. SQL Injection Web Intelligence

26 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. SQL Injection Допустим, на сервере имеется такой код: myCommand = new SqlDataAdapter( "SELECT * FROM Users WHERE UserName ='" + txtuid.Text + "'", conn); Пользователь ввел в поле txtuid : '*; DROP TABLE Customers " SELECT * FROM Users WHERE UserName=*''; DROP TABLE Customers This will delete your user table !!!

27 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Атаки на Web приложения SSL не защитит –SSL защищает конфиденциальность (от чужих глаз) –Атаки могут веститсь и внутри SSL –МСЭ и IDS не могут читать такие данные Традиционные МСЭ не спасают –Атаки идут по разрешенным портам HTTP и HTTPS –Более того, МСЭ «слепо» пропускают HTTPS

28 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. SQL Injection: Есть надежда на IPS? Предположим такой запрос на сервере myCommand = new SqlDataAdapter( "SELECT * FROM Users WHERE UserName = " + txtuid.Text + AND Password= " + Pass.Text +,conn); Атакующий может ввести (Pass, имя неважно ): pass OR 1=1 Получается: SELECT * FROM Users WHERE UserName=user AND password=pass OR 1=1

29 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Итак, IPS бессильны IPS работает с сигнатурами. Мы можем добавить 1=1 в шаблоны Но с точки зрения SQL также валидны: 2=2 1 Like 1 9>8 7 IN (7) 3 BETWEEN 1 AND 5 Невозможно сформировать сигнатуры, прокрывающие все богатство языка SQL

30 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Безопасное подключение через Web Connectra Web Portal Файловые ресурсы Доступ к почте через Web Приложения client/server через plug-in к броузеру Web сайты и приложения

31 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Connectra

32 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Защищенные программы Защищенные документы Интегрирована с Program Advisor! Check Point Secure Workspace

33 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Единая система управления для контроля всей системы ИБ

34 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Check Point PURE Security

©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Provider-1

36 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Управление множеством доменов безопасности Multi-Domain Server

37 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Одновременная работа

38 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Иерархия политик безопасности Global SmartDashboard CMA SmartDashboard

39 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Иерархия политик безопасности CMA SmartDashboard CMA SmartDashboard with Global Policy

©2003–2008 Check Point Software Technologies Ltd. All rights reserved. VSX

41 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Virtual Routing and Firewalling Виртуальная среда VPN-1 VSX NGX состоит из нескольких виртуальных устройств Virtual System (VS) VPN-1 Firewall Module Virtual System In Bridge Mode IP Router Virtual Cable (warp link) Network Cable VPN-1 Firewall Module In Bridge Mode Virtual Router (VR) Switch Virtual Switch (V-SW)

42 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Динамическая маршрутизация Поддержка протоколов динамической маршрутизации –Unicast Routing – RIPv1/2, OSPFv2 & BGP-4 –Multicast Routing – IGMPv2, PIM-DM & PIM-SM Каждое устройство обеспечивает взаимодействие »Virtual Device to Virtual Device »Virtual Device to external router 802.1q Virtual Switch Virtual Router OSPF PIM-SM Marketing IGMPv2 BGP-4 OSPF

43 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Использование технологии VLAN Floor L-2 Access Switches Finance Networks Main Building Hybrid networks R&D Networks Distribution Switches 802.1q connectivity matrix Routed Core 802.1q Trunks Vlan IP interface – Inter Vlan connectivity

44 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Пример виртуальной среды Интеграция с MPLS Косвенная интеграция с MPLS Компоненты MPLS преобразуют метки MPLS в VLAN tags Разные политики VS в зависимости от метки MPLS

45 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Пример виртуальной среды VS в ЦОД Интерфейс VLAN Каждая VS защищает свой набор приложений и сервисов Специфические настройки SmartDefense для каждой VS (каждого сервера/сервиса)

46 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Управление с Provider-1 VSX Gateway Customer Management Add-On (CMA) Customer B Customer A Customer C Customer Management Add-On (Main CMA)

47 [Public]For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. ENDPOINT One single security client GATEWAY One unified product line MANAGEMENT One single console totalsecurity from Check Point

©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Антон Разумов Check Point Software Technologies Консультант по безопасности