1 / 42

Защита сети от внутренних угроз

Защита сети от внутренних угроз. InterSpect 2.0. Бутузов Юрий Эксперт по информационной безопасности Check Point Certified Security Expert kuon @ icl.kazan.ru. ОАО «АйСиЭл - КПО ВС», 420029 Казань, Сибирский тракт 34, т.: (8432)73-24-43; ф.: (8432)7 3 -55-35 (72-39-52), www.icl.kazan.ru.

kat
Download Presentation

Защита сети от внутренних угроз

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Защита сети от внутренних угроз InterSpect 2.0 Бутузов Юрий Эксперт по информационной безопасности Check Point Certified Security Expert kuon@icl.kazan.ru ОАО «АйСиЭл - КПО ВС», 420029 Казань,Сибирский тракт 34, т.: (8432)73-24-43; ф.: (8432)73-55-35 (72-39-52), www.icl.kazan.ru

  2. Сегодняшние угрозы • Раньше – обеспечение безопасности было направлено на периметр сети • Сейчас – не меньшее внимание уделяется безопасности внутри сети • Множество атак направлено изнутри • мобильные устройства (laptop/PDA ) • доверенные пользователи могут быть “заразны” • эффективные обновления требуют времени • Черви распространяются по внутренней сети молниеносно • Blaster • Slammer • Нет безупречного решения • существующие продукты решают отдельные задачи, но не являются универсальными решениями

  3. Используемые технологии не удовлетворяют всем требованиям да да

  4. Защита периметра и внутренняя защита сети Обеспечение внутренней безопасности вводит новые, уникальные задачи и требует соответствующих решений

  5. Размещение устройств по обеспечению внутренней безопасности сети

  6. Check Point InterSpect Шлюз обеспечения внутренней безопасности Ключевые особенности • Intelligent Worm Defender™ (интеллектуальная защита от червей) • Сегментация на зоны • Карантин для подозрительных компьютеров • Защита внутренних протоколов • Упреждающая защита от атак • Легкая интеграция в существующую сеть • Удобный интерфейс управления

  7. Применим только внутри сети • Специальная защита сетевых протоколов • Работа с соединениями второго уровня • Контроль доступа для внутренних сетей • Блокируются только атаки • Пропускаются все доверенные соединения Главное отличие от межсетевых экранов в том, что соединение будет прервано только в том случае, если это явно указано

  8. Решения реализованные в InterSpect • Устройство для обеспечения безопасности внутренней сети • сердце аппаратной платформы – современный процессор компании Intel • в качестве операционной системы используется специализированная разработка компании Check Point – Secure Platform • Работа на втором уровне • Физическое разбиение сети на зоны • Улучшенная производительность • для увеличения производительности в InterSpect интегрирована технология SecureXL • в зависимости от модели производительность может изменяться от 200Mbps до 1000Mbps • Поддержка VLAN • поддерживается до 4095 VLAN

  9. Решения реализованные в InterSpect • Современный подход к защите приложений • интеллектуальная защита от червей (Intelligent Worm Defender ™) • защита сетевых протоколов (LAN Protocol Protection) • упреждающая защита от атак (Pre-emptive Attack Protection) • Безопасность на уровне зон • откуда “From” и куда “To” устанавливается соединение • Управление Active Defense • режим мониторинга (Monitor only) • динамический карантин (Dynamic Quarantine) • Редактируемый листдля блокировки соединений • Лист исключений

  10. Архитектурные особенности InterSpect • InterSpect обладает двухуровневой архитектурой –непосредственно устройство InterSpect иклиентыуправления SmartConsole • Устройство InterSpect • включает в себя enforcement moduleи SmartCenter server • enforcement module определяет и предотвращает атаки на приложения используя технологию SmartDefense Active Defense • SmartCenter server • управляет модулем enforcement module, исобирает записи в журнал регистрации и учета • Клиенты управленияSmartConsole • управляют серверомSmartCenter server

  11. SmartDashboard • Обеспечивает централизованное управлениеи позволяет осуществлять контроль за атаками

  12. SmartView Tracker • Позволяет отслеживать информацию о всех соединениях в реальном масштабе времени • Позволяет выполнять операции с записями в одно действие Команды определяемые пользователем

  13. SmartView Monitor • Полная система по мониторингу • Не требуется лицензии • Данные могут быть представлены как в реальном масштабе времени, так и в виде отчетов за отдельные промежутки времени • Немедленное определение сетевых изменений

  14. SmartView Reporter • Полная система по созданию отчетов • Не требуетсявнешнего (Reporter) сервера • Не требуется лицензии • Позволяет эффективно управлять сетевой активностью и безопасностью на основании анализа создаваемых отчетов

  15. Интеграция с Log сервером • InterSpect может хранить журналы регистрации и учета как локально, так и отправлять их на существующий сервер - Check Point logging server. InterSpect Log server VPN-1 logs VPN-1 logs syslog

  16. Защита сетевых протоколов Глубокийанализ протоколов с использованием технологии Application Intelligence • RPC • CIFS • MS SQL • DCOM • HTTP • POP3 • IMAP4 • SMTP • И более! Внутренняя сеть может использовать различные протоколы Ключевые особенности • Защита и поддержка протоколов и приложений использующихся внутри сети • Обеспечение стабильности внутренних сетей

  17. Application (Layer 7) Presentation (Layer 6) Session (Layer 5) Transport (Layer 4) Network (Layer 3) Data Link (Layer 2) Physical (Layer 1) Уникальные технологии Application Intelligence • Технология Application Intelligenceпроверяет данные приложений StatefulInspection • Механизм INSPECTприменим как к обеспечению безопасности периметра так и внутренней сети

  18. Интеллектуальная защита от червей • Ключевые особенности • Блокируется распространение червей внутри сети • Могут быть добавлены типовые особенности для распознавания • Технологии Application Intelligence и Stateful Inspection используют обнаружение основанное на редактируемых шаблонах

  19. Сегментация сети на зоны • Ключевые • Особенности • Предотвращает неавторизованный доступ между зонами • Ограничивает атаки внутри сегмента сети Bridge Mode Bridge режим

  20. Пример: ASN.1 Exploit • Крупная MSFT уязвимость (MS04-007) • SMB exploit разработаннеким K-Otik • http://www.k-otik.com/exploits/02.14.MS04-007-dos.c.php: • Дополнительные направления атаки на протоколы: • Kerberos (88) • LDAP (TCP/389) • DCE-RPC (135) • SMTP (TCP/25) • HTTP (TCP/80) • Через различные протоколы exploit может обойти обязательную проверку сигнатурами

  21. Подходприменяемый в InterSpect • Перекрываются все направления атаки • понимание стандартов и уязвимостей • Создается решение • известно что, где и когда искать • перекрываются все направления атаки • Издаются обновления для SmartDefense

  22. Простота управления • Минимальные затраты времени на администрирование • нет политики разграничения доступа • интуитивно понятные настройки занимают несколько минут • централизованное управление • Аудит • сигналы предупреждений и журналы регистрации и учета в реальном режиме времени • отчеты по всем интересующим событиям • отслеживание всех событий в реальном времени

  23. Пример настройки

  24. Централизованное управление • Динамические обновления SmartDefense • Запуск консоли InterSpect • Просмотр данных SmartView Monitor

  25. Аудит и создание отчетов

  26. Карантин подозрительных компьютеров • Ключевые особенности • Изолирует атаки и скомпрометированные устройства • Препятствует заражению других компьютеров • Защищает уязвимые компьютеры, требует для них установки обновлений InterSpect При карантине пользователь и администратор извещаются динамическими web страницами

  27. Режимы работы • Три основных • режима работы • Bridge mode – полностью прозрачен для приложений и пользователей • Switch mode – работает как коммутаторвторого уровня • Router mode – может работать как маршрутизатор или коммутатор третьего уровня Работа в режиме мониторинга – InterSpect проверяет трафик не применяя к нему защиты и противодействия на случай атак

  28. Switch Mode • В этом режиме InterSpect заменяет коммутатор • InterSpect работает как мультипортовый коммутаторв котором все порты соединены между собой для создания одной зоны • готов к работе сразу после включения, не требуется дополнительных настроек

  29. Bridge mode • Стандартный режим работы • Разделяет внутреннюю сеть на защищенные зоны • InterSpect прозрачен для IP сети • InterSpect ставится в разрыв линий в сети, соединяя зоны с остальной частью сети • Каждая зона подключается к порту, который соединяет ее с остальной сетью через другой порт

  30. Router Mode • В этом режиме InterSpect заменяет маршрутизатор • на каждый активный порт должен быть настроен IP адрес • Динамическая маршрутизация не поддерживается

  31. Switch mode и Bridge Mode • В режимеbridge mode InterSpect прозрачно устанавливается между устройствами организации и остальной сетью • В режимеswitch mode InterSpect отслеживает и защищает трафик между группой компьютеров (или серверов) и всей остальной сетью Коммутатор Остальная сеть InterSpect Коммутатор InterSpect Остальная сеть Группа серверов

  32. Возможные действия применяемые InterSpect • Действия при работе с зонами: • Inspect – проверяется весь трафик • Bypass – выполняются все проверки кроме SmartDefense • Block – зона полностью изолируется • Действия при работе с динамическими листами: • Bypass – выполняются все проверки кроме SmartDefense • Block – рабочая станция или зона полностью изолируется • Quarantine – запрещен трафик с другими зонами в течении определенного промежутка времени

  33. Зональная безопасность • Настраиваемый лист блокировки соединений • определение каждого сервиса на основании исключений для определяемой зоны • использование тех же действий что и для зон • преимущество по отношению к настройкам безопасности зон • применяется ко всем объектам находящимся в зоне • дополняет и позволяет сделать более гибкой политику безопасности для зоны

  34. Виртуальные зоны и VLAN • InterSpect может быть установлен в разрыв, между двумя VLAN коммутаторамисоединенными посредством VLAN trunk • Идентификаторы VLAN находятся внутри Trunk соединения и считываются автоматически • работает без дополнительной настройки, не требуется определения виртуальных интерфейсов или VLAN • Могут быть определены настройки зон, специфичные для отдельных VLAN • Не требуется определение дополнительных интерфейсов или виртуальных интерфейсов

  35. Отказоустойчивость • Устройства InterSpect могут быть настроены для работы в режиме горячего резервирования (High Availability)или распределения нагрузки (Load Sharing) • в режиме горячего резервирования (High Availability), два устройства InterSpect образуют парув которой одно из устройств работает, а второе следит за состоянием первого, готовое в любой момент переключить весь межсетевой трафик на себя • в режиме распределения нагрузки(Load Sharing), два или более устройств InterSpect работают в режиме равномерно распределяющим нагрузку между всеми устройствами

  36. Отказоустойчивость 1. Предусмотрена возможность работы с кластерами ClusterXL 2. Поддерживается протокол STP

  37. Удовлетворяет всем требованиям Решение: InterSpect • Надежная защита от червей • быстрое искоренение червей и вирусов, предотвращение распространения их по сети • Неразрушающая модель внедрения • понимание последствий до реального включения • возможность сохранения работоспособности устаревших приложений • Простой интерфейс управления • легкость инсталляции и тонкой настройки Потребности: • Увеличение информированности о безопасности • Blaster, Slammer, другие атаки • Существующие приложения • собственные протоколы и порты • на платформе потенциально уязвимых web серверов • Логическая связность • разработка внутренних приложений • пользовательские модели сетевой безопасности • Комплексное окружение • управление патчами/антивирусные обновления в многоплатформенных средах

  38. Итог • InterSpect это первый в своем классе шлюз обеспечения внутренней безопасности • создан специально для специфических требований внутренней безопасности • InterSpect совмещает в себе технологиипозволяющее наиболее глубоко и интеллектуально защитить сеть • Требования по обеспечению внутренней безопасности постоянно повышаются, но решения от компании Check Point позволяют всегда быть на шаг вперед

  39. Выбор платформы InterSpect • Предложения по платформам InterSpect позволяют выбрать решение начиная от начальных, ориентированных на сети небольших размеров и заканчивая крупными кластерными решениями ориентированными на крупные, корпоративные сети.

  40. В следующей версии • Профайлы политик • к примеру несколько настроек технологии SmartDefense • каждая зона может иметь свой профайл • Захват пакетов • журналы регистрации и учета будут содержать информацию о захваченных пакетах • пакет сможет быть просмотрен при помощи внешнего (Ethereal) или внутреннего средства просмотра пакетов • Интеграция с коммутаторами третьих производителей • Физическая блокировка портов • Возможности второго уровня • Блокирование / карантинпо MAC адресу • MAC адреса в журналах регистрации и учета

  41. В следующей версии • Web Intelligence • Application Intelligence • Unix RPC • всесторонняя фильтрация приложений MS-SQL • проверка Citrix • расширенный анализ протокола DNS • Mail • MSN Messenger • Блокировка передачи файла, разрешение других сервисов • TFTP

  42. Контактная информация ОАО «ICL-КПО ВС» Адрес:420029, г. Казань, ул. Сибирский тракт, 34 Тел.: (8432) 73-24-43 Факс: (8432) 73-55-35 www.icl.kazan.ru

More Related