©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Инициатива Total Access Protection Антон Разумов Check Point Software Technologies Консультант по безопасности

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 2 Почему важна внутренняя безопасность? Угрозы приходят не только извне Mobile PC Home Computer Internet Infected Laptop x Unmanaged Security Policy x VPN Connection x End Users on LAN

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 3 The Perimeter Защита внутри сети – важная составная часть многоуровневой безопасности The Core - Internal Network The Desktop – Endpoint Что такое внутренняя безопасность? We are seeing more and more attacks come from a computer that's already inside. -Brian Haboush, Intelligent Connections (InterSpect partner) DMZs, firewalls, IDS, gateway AV Отражает атаки изнутри Контроль безопасности на клиенте Внутренняя безопасность: Что рекомендуется: Сегментация сети МСЭ внутри Своевременные обновления Автоматизация управления пользователями Мониторинг вторжений Meta, Aug 2004

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 4 Удовлетворяем пожелания заказчиков Проблемы внутренней безопасности Сегодня угрозы появляются внутри сети Сдержать распространение червей Предотвратить атаки изнутри Управлять доступом сотрудников к внутренним устройствам Повысить защищенность без прерывания сервисов Обеспечить доступ в сеть только проверенным компьютерам Удовлетворяют уникальным требованиям Карантин и предотвращение распространения Превентивная защита Сегментация на зоны Неразрушающая модель внедрения Интеграция с защитой рабочих станций Решения внутренней безопасности Внутренняя безопасность предъявляет особенные требования и нуждается в специализированном решении

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 5 Сравнительные требования к безопасности периметра и внутри сети Защита периметра Внутренняя безопасность Приложения Стандартные, хорошо известные сервисы Клиент-серверные приложения Строгое следование стандартам Централизованное управление безопасностью Доморощенные приложения Клиент-серверные приложения Слабое соблюдение стандартов Нет единого координатора Политика доступа по умолчанию Блокирование трафика, за исключением явно разрешенного Разрешен весь трафик, за исключением явно запрещенного Приоритеты 1.Безопасность 2.Непрерывность сервиса 1.Непрерывность сервиса 2.Безопасность Внутрисетевые протоколы Внутрисетевые протоколы можно блокировать Внутрисетевые протоколы нельзя блокировать Внутренняя безопасность требует особенного подхода и новых решений

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 6 Локальная сеть нуждается в многоуровневой защите Endpoint Network Application Policy Enforcement Application Control Intrusion Prevention Remediation Assistance Zone Segmentation Network Access Controls Threat Containment Traffic Inspection Malicious Code Detection Intrusion Prevention Authentication Enforce Proper Use Безопасность должна быть Интеллекту- альной, Адаптивной, Превентивной и Принудительной

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 7 Решения Check Point для внутренней безопасности Stateful Personal Firewall with Stealthing Outbound Threat Protection and Instant Messaging Security Scalable, Flexible Management Assured Network Access Policy Enforcement Intelligent Worm Defender Network Zone Segmentation LAN Protocol Protection Cooperative Enforcement with Integrity Centralized Management via SMART Check Point InterSpect The Internal Security Gateway Malicious Code Protector Application Intelligence Web Intelligence INSPECT Check Point Inspection Technologies Intelligent, Adaptive and Pre-Emptive

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 8 Check Point представляет InterSpect Шлюз для защиты внутри сети Ключевые особенности Intelligent Worm Defender (умная защита от червей) Сегментация зон Карантин подозрительных компьютеров Защита внутренних протоколов сети Упреждающая защита от атак Легкая интеграция в существующую сеть Удобный интерфейс управления

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 9 Intelligent Worm Defender (защита от червей) Check Point InterSpect Ключевые преимущества Блокирование распространения червей/атак внутри сети Защита от молниеносных червей Использует технологии Application Intelligence и Stateful Inspection при обеспечении безопасности внутри сети

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 10 Сегментация сети на зоны безопасности Ключевые преимущества Предотвращает неавторизованный доступ между зонами Ограничивает атаки внутри сегмента сети Bridge Mode Режим бриджа Router Внешний МСЭ Главный коммутатор Finance QA R&D Коммутаторh Коммутатор IP 1 IP 2 Internet InterSpect

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 11 Карантин подозрительных компьютеров Check Point InterSpect Ключевые преимущества Изолирует атаки и скомпрометированные устройства Препятствует заражению других компьютеров Защищает уязвимые компьютеры, требует для них установки обновлений При карантине пользователь и администратор извещаются динамическими web страницами Уникально для InterSpect

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 12 Защита сетевых протоколов Microsoft RPC CIFS MS SQL DCOM Sun RPC DCE RPC HTTP Множество других! Ключевые преимущества Защищает и поддерживает протоколы и приложения, используемые внутри сети Обеспечивает стабильность рабоы внутри сети Внутри сети и на периметре используются разные протоколы Широкая и глубокая инспекция протоколов через Application Intelligence: Уникально для InterSpect

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 13 Превентивная защита и удобное внедрение и администрирование Ключевые преимущества Устанавливается в считанные минуты Легок и удобен в управлении Не блокирует разрешенный трафик Не нарушает работоспособность существующей инфраструктуры Множество режимов работы для удобства внедрения Bridge Switch Router Возможность мониторинга Графический интерфейс управления и мониторинга

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 14 Удовлетворяет потребностям заказчиков Потребности: Увеличение информированности о безопасности –Blaster, Slammer, другие атаки Существующие приложения –Собственные протоколы и порты –На платформе потенциально уязвимых web серверов Логическая связность –Разработка внутренних приложений –Пользовательские модели сетевой безопасности Комплексное окружение –Управление патчами/антивирусные обновления в многоплатформенных средах Решение: InterSpect Надежная защита от червей –Быстрое искоренение червей и вирусов, предотвращение распространения их по сети Неразрушающая модель внедрения –Понимание последствий до реального включения –Возможность сохранения работоспособности устаревших приложений Простой интерфейс управления –Легкость инсталляции и тонкой настройки

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 15 Сегментация на зоны Router Mode Bridge Mode Основные преимущества Предотвращает неавторизованный доступ между зонами Сдерживает атаки внутри одного сегмента сети Router Perimeter Firewall Internet Backbone switch Finance QA R&D Floor switch Floor switch Floor switch Router Perimeter Firewall Finance QA R&D Floor switch Floor switch Floor switch Internet IP 1 IP 2 IP 3 IP 2 IP 1 IP 5 IP 4

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Защита рабочих станций

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 17 Перспективы для бизнес пользователей Я хочу иметь доступ к наиболее важной информации в любое время откуда угодно Я хочу выбирать когда, где и как Дом Бизнес центры Кафе Аэропорт КПК Ноутбуки Телефоны PC

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 18 Что такое TAP ( Total Access Protection )?

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 19 Взглянем на рынок Объявлено 3 инициативы: –Ciscos Network Admission Control (NAC) –Microsofts Network Access Protection (NAP) –Check Points Total Access Protection (TAP)

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 20 Роль Integrity в TAP Ключевой элемент TAP Управляется централизованно Проверки соответствия Гибкие исправления Интеграция со шлюзами Кооперативная безопасность

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 21 Integrity Server Integrity Database Administrative Console Event Log Integrity Client Enterprise Policy Intelligent Gateway Integrity Client Integrity Server Runs as service called Integrity Serves enterprise policy to clients Receives event logs from clients Maintains Integrity Database Supports Administrative Console Manages Cooperative Enforcement Provides Compliance Sandbox

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 22 Особенности - Архитектура Распределенная архитектура, кластеризация и балансировка обеспечивают непревзойденную масштабируемость Поддержка single и multi-domain Многоуровневое администрирование и разные роли безопасности Серверные платформы: –Microsoft Windows 2000 & 2003 Server –Red Hat Linux 9 Клиентские платформы: –Microsoft Windows –Linux

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 23 Структура сети Integrity Client Internet Remote Users Integrity Client Authentication Database Database Server Integrity Advanced Server Cluster Integrity Client Load Balancer Perimeter Remote Office

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 24 Особенности - Управление Управление политикой при отключении Групповые правила Автоматическое обновление клиентов Шаблоны политик, поддержка версий, откат и аудит Песочница Извещения по SNMP, Syslog, SMTP, базы данных и текстовые файлы

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 25 Возможность самолечения ВозможностиПреимущества «Не соответствующие» пользователи имеют доступ только к ресурсам для исправления ситуации Минимизирует запросы к техподдержке, позволяя сотрудникам самим привести свой компьютер в порядок. Не соответству- ющий компьютер Обновления антивируса Обновле- ния ОС Outlook Web Access Остальная сеть

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 26 Кооперативная безопасность Что такое Cooperative Enforcement? –Проверить наличие Integrity Client –Проверка Соответствия до предоставления доступа в сеть –Постоянный мониторинг состояния –Ограничение / Отключение несоответствующих PCs

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 27 Кооперативная безопасность Cooperative Enforcement with VPNs Cooperative Enforcement with LANs –802.1X –InterSpect Standalone Policy Enforcement Flexible Remediation Resources Total Client Lockdown

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 28 Cooperative Enforcement с VPN ОсобенностиПреимущества Обеспечивает соответствие сетевым правилам доступа путем интеграции с VPN шлюзами других производителей Политики могут требовать: –Современная ОС, запущенный антивирус –Установлены критические обновления –Минимальная версия ПО –Отсутствие запрещенных приложений –Специфические ключи реестра Позволяет даже предприятиям еще не перешедших на VPN-1 получить высокий уровень безопасности и принудительную политику

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 29 Cooperative Enforcement с ЛВС ОсобенностиПреимущества Применение политик внутри периметра Интеграция с >200 коммутаторами, маршрутизаторами, беспроводными точками доступа, поддерживающими 802.1x/EAP Предотвращает заражение изнутри, вторжения из-за изъянов в безопасности Гарантирует соответствие политике безопасности в мультивендорном сетевом окружении ZL

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 30 InterSpect 2.0 и Integrity Усиливает технологию Кооперативной безопасности Хосты за InterSpect ограничиваются: –Политикой сервера Integrity –Внутризоной политикой Коммуникация между зонами –InterSpect спрашивает сервер Integrity о авторизации клиента Авторизованным хостам разрешается доступ в другую зону В противном случае хост ограничивается в возможностях

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 31 Авторизация совместно с Integrity Integrity Server InterSpect Finance Dept. HR Dept. 1.Клиент пытается подключиться в другую зону 2.InterSpect задерживает соединение и запрашивает сервер Integrity о статусе клиента 3.Клиент авторизован, InterSpect выпускает данное соединение 4.InterSpect кэширует ответ для будущих соединений

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 32 Настройка совместной работы с Integrity

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 33 Логика авторизации с Integrity Авторизация Integrity применяется –По зонам В обоих направлениях Использование сервера Integrity отключает обычную политику зон –Политика создается теперь на основе данных об авторизации

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 34 Реакция на сообщения Integrity Исходящие соединения –Из зоны на backbone –Авторизуется машина-инициатор соединения внутри зоны

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 35 Реакция на сообщения Integrity Входящие соединения –Извне в наш сегмент –Проверяется авторизация хоста получателя внутри зоны

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 36 Логика направлений Входящие –Предотвращает проникновение червей извне. Клиенты Integrity защищены политикой сервера. InterSpect защищает хосты без клиента Integrity. Исходящие –Предотвращает загрузку инфицированных файлов, например по электронной почте, хостами без актуальных обновлений ПО и антивирусных баз.

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 37 Результаты, возвращаемые Integrity Integrity информирует InterSpect, что хост неавторизован если: –Клиент Integrity не установлен –Хост не соответствует политике безопасности В любом случае InterSpect выполнит действие в соответсвии с: –When host unauthorized by Integrity Server (когда хост неавторизован)

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 38 Результаты, возвращаемые Integrity А исключения?

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 39 Результаты, возвращаемые Integrity Хосты, добавленные в списки исключений обрабатываются в соответствии с: –When Source / Destination host has no Integrity Client (когда клиент Integrity не установлен) Разрешает альтернативные действия доверенным хостам без клиентов Integrity –Хосты Unix –Устаревшие платформы

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 40 Гибкая политика исправлений ОсобенностиПреимущества Предоставляет несоответствующим пользователям доступ к ограниченному набору сервисов для приведения компьютера в соответствие с корпоративной политикой безопасности Минимизирует число запросов к техподдержке, помогая работником получить доступ к сети вновь, быстро и безопасно. Out of Compliance Anti-virus updates Patches Outlook Web Access Rest of LAN

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 41 Безопасность рабочих станций Stateful Firewall Rules Application Control SmartDefense Program Advisor Trusted vs. Internet Zones Protection Instant Messaging Protection Intrusion Prevention System Application termination

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 42 SmartDefense Advisory Services Цель: –Облегчить управление безопасностью –Уменьшить затраты времени администраторов –Обеспечить больший уровень безопасности при снижении стоимости владения Advisory Services –Known good - Application Authenticity Service –Known Bad - Malware Identification Service –Policy Advisor Service – Best Practices Основано на анализе экспертами миллионов инсталляций Zone Alarm

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 43 Архитектура Advisory Services Program databaseIntegrity Server Неизвестная программа пытается получить доступ Клиент спрашивает сервер о программе Сервер запрашивает Program Advisor Program Advisor возвращает оптимальную политику TTL Сервер возвращает политику Разрешения применены

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 44 Malicious Code Protector (защита от злонамеренного кода) Malicious Code Protector –Патентованная технология –Предотвращает выполнение злонамеренного кода и атаки переполнение буфера Блокирует атаки с внедрением кода путем дизассемблирования и анализа выполняемого кода, внедренного в сетевой трафик Атаки идентифицируются на основе симуляции поведения, а не сигнатур –Предотвращает известные атаки –Предотвращает неизвестные атаки Исполняемый код? Злонамеренный код? Виртуальный симулятор Пропустить Блокировать нет Введенные данные да нет

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 45 Malicious Code Protector Превентивно обнаруживает и предотвращает атаки переполнения буфера Поддерживает множество протоколов –Сканирует потенциально опасные части протоколов –Поддерживает HTTP, FTP, IMAP, SMTP, POP3, NNTP… Легкое и надежное обнаружение Превентивная защита (Zero day) Ловит: –Slammer –Blaster –CodeRed I & II –Nimda –другие….

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 46 Охвачены все сегменты рынка Market Segments Medium Business Small Business Service Provider EnterpriseConsumer Cellular/ Mobile Infrastructure Data Center InterSpect Connectra VPN-1 Pro VPN-1 Edge Check Point Express SMP Security Management Portal Integrity VSX Integrity SecureClient FW-1 GX