Защита сети от внутренних угроз. InterSpect 2.0 - ICL
реклама
Защита сети от внутренних угроз InterSpect 2.0 Бутузов Юрий Эксперт по информационной безопасности Check Point Certified Security Expert [email protected] ОАО «АйСиЭл - КПО ВС», 420029 Казань, Сибирский тракт 34, т.: (8432)73-24-43; ф.: (8432)73-55-35 (72-39-52), www.icl.kazan.ru Сегодняшние угрозы Раньше – обеспечение безопасности было направлено на периметр сети Сейчас – не меньшее внимание уделяется безопасности внутри сети Множество атак направлено изнутри мобильные устройства (laptop/PDA ) доверенные пользователи могут быть “заразны” эффективные обновления требуют времени Черви распространяются по внутренней сети молниеносно Blaster Slammer Нет безупречного решения существующие продукты решают отдельные задачи, но не являются универсальными решениями Используемые технологии не удовлетворяют всем требованиям Маршрутизаторы/ Коммутаторы Защита от червей Разделение сети на зоны Карантин -- Межсетевые экраны периметра зависит от производителя ограниченно да Антивирусы сигнатуры -- -- -- возможен Защита сетевых протоколов -- зависит от производителя только отдельной станции Защита от атак -- зависит от производителя -- непросто настраивать и управлять политика настраивается разрешением правил требуется настройка каждого устройства Настройка и управление IDS/IPS да базовое ограниченно ограниченно ограниченно огромный объем работ по настройке Защита периметра и внутренняя защита сети Защита периметра сети Защита внутренней сети Стандартные, хорошо известные приложения Приложения клиент – сервер Строгое соответствие протоколам Наличие централизованного координирующего утройства Малоизвестные приложения Приложения клиент – клиент Нестрогое соответствие протоколам Отсутствие централизованного координирующего устройства Политика доступа по умолчанию Блокируется весь трафик, кроме явно разрешенного Разрешается весь трафик, кроме явно блокированного Приоритет 1. Безопасность 2. Не нарушение трафика 1. Не нарушение трафика 2. Безопасность Сетевые протоколы Сетевые протоколы могут быть блокированы Сетевые протоколы не могут быть блокированы Интерфейс приложений Обеспечение внутренней безопасности вводит новые, уникальные задачи и требует соответствующих решений Размещение устройств по обеспечению внутренней безопасности сети Этажный коммутатор Перед одной рабочей группой Этажный коммутатор Перед группами серверов InterSpect InterSpect Перед группами рабочих станций За мершрутизаторами доступа к WAN InterSpect InterSpect Центральный коммутатор Перед несколькими рабочими станциями Перед центральным коммутатором Межсетевой экран периметра InterSpect InterSpect Этажный коммутатор Перед группой серверов WAN InterSpect Check Point InterSpect Шлюз обеспечения внутренней безопасности Ключевые особенности Intelligent Worm Defender™ (интеллектуальная защита от червей) Сегментация на зоны Карантин для подозрительных компьютеров Защита внутренних протоколов Упреждающая защита от атак Легкая интеграция в существующую сеть Удобный интерфейс управления Применим только внутри сети Специальная защита сетевых протоколов Работа с соединениями второго уровня Контроль доступа для внутренних сетей ― Блокируются только атаки ― Пропускаются все доверенные соединения Главное отличие от межсетевых экранов в том, что соединение будет прервано только в том случае, если это явно указано Решения реализованные в InterSpect Устройство для обеспечения безопасности внутренней сети сердце аппаратной платформы – современный процессор компании Intel в качестве операционной системы используется специализированная разработка компании Check Point – Secure Platform Работа на втором уровне Физическое разбиение сети на зоны Улучшенная производительность для увеличения производительности в InterSpect интегрирована технология SecureXL в зависимости от модели производительность может изменяться от 200Mbps до 1000Mbps Поддержка VLAN поддерживается до 4095 VLAN Решения реализованные в InterSpect Современный подход к защите приложений интеллектуальная защита от червей (Intelligent Worm Defender ™) защита сетевых протоколов (LAN Protocol Protection) упреждающая защита от атак (Pre-emptive Attack Protection) Безопасность на уровне зон откуда “From” и куда “To” устанавливается соединение Управление Active Defense режим мониторинга (Monitor only) динамический карантин (Dynamic Quarantine) Редактируемый лист для блокировки соединений Лист исключений Архитектурные особенности InterSpect InterSpect обладает двухуровневой архитектурой – непосредственно устройство InterSpect и клиенты управления SmartConsole Устройство InterSpect включает в себя enforcement module и SmartCenter server enforcement module определяет и предотвращает атаки на приложения используя технологию SmartDefense Active Defense SmartCenter server управляет модулем enforcement module, и собирает записи в журнал регистрации и учета Клиенты управления SmartConsole управляют сервером SmartCenter server SmartDashboard Обеспечивает централизованное управление и позволяет осуществлять контроль за атаками SmartView Tracker Позволяет отслеживать информацию о всех соединениях в реальном масштабе времени Позволяет выполнять операции с записями в одно действие Команды определяемые пользователем SmartView Monitor Полная система по мониторингу Не требуется лицензии Данные могут быть представлены как в реальном масштабе времени, так и в виде отчетов за отдельные промежутки времени Немедленное определение сетевых изменений SmartView Reporter Полная система по созданию отчетов Не требуется внешнего (Reporter) сервера Не требуется лицензии Позволяет эффективно управлять сетевой активностью и безопасностью на основании анализа создаваемых отчетов Интеграция с Log сервером InterSpect может хранить журналы регистрации и учета как локально, так и отправлять их на существующий сервер - Check Point logging server. InterSpect Log server VPN-1 logs VPN-1 logs syslog Защита сетевых протоколов Глубокий анализ протоколов с использованием технологии Application Intelligence Внутренняя сеть может использовать различные протоколы Ключевые особенности Защита и поддержка протоколов и приложений использующихся внутри сети Обеспечение стабильности внутренних сетей RPC CIFS MS SQL DCOM HTTP POP3 IMAP4 SMTP И более! Уникальные технологии Application Intelligence Application (Layer 7) Технология Application Intelligence проверяет данные приложений Presentation (Layer 6) Session (Layer 5) Stateful Inspection Transport (Layer 4) Network (Layer 3) Data Link (Layer 2) Physical (Layer 1) Механизм INSPECT применим как к обеспечению безопасности периметра так и внутренней сети Интеллектуальная защита от червей Ключевые особенности Блокируется распространение червей внутри сети Могут быть добавлены типовые особенности для распознавания • Технологии Application Intelligence и Stateful Inspection используют обнаружение основанное на редактируемых шаблонах Сегментация сети на зоны Internet Этажный коммутатор Ключевые Особенности Предотвращает неавторизованный доступ между зонами Ограничивает атаки внутри сегмента сети Финансовая зона Router IP 1 Межсетевой экран Этажный коммутатор Зона управления IP 2 Этажный коммутатор Центральный коммутатор InterSpect (bridge mode) Bridge Mode Bridge режим Зона Отдела кадров Пример: ASN.1 Exploit Крупная MSFT уязвимость (MS04-007) SMB exploit разработан неким K-Otik http://www.k-otik.com/exploits/02.14.MS04-007dos.c.php: Дополнительные направления атаки на протоколы: Kerberos (88) LDAP (TCP/389) DCE-RPC (135) SMTP (TCP/25) HTTP (TCP/80) Через различные протоколы exploit может обойти обязательную проверку сигнатурами Подход применяемый в InterSpect Перекрываются все направления атаки понимание стандартов и уязвимостей Создается решение известно что, где и когда искать перекрываются все направления атаки Издаются обновления для SmartDefense Простота управления Минимальные затраты времени на администрирование нет политики разграничения доступа интуитивно понятные настройки занимают несколько минут централизованное управление Аудит сигналы предупреждений и журналы регистрации и учета в реальном режиме времени отчеты по всем интересующим событиям отслеживание всех событий в реальном времени Пример настройки Централизованное управление Динамические обновления SmartDefense Запуск консоли InterSpect Просмотр данных SmartView Monitor Аудит и создание отчетов Карантин подозрительных компьютеров Ключевые особенности Изолирует атаки и скомпрометированные устройства Препятствует заражению других компьютеров Защищает уязвимые компьютеры, требует для них установки обновлений При карантине пользователь и администратор извещаются динамическими web страницами InterSpect Режимы работы Три основных режима работы 1. Bridge mode – полностью прозрачен для приложений и пользователей 2. Switch mode – работает как коммутатор второго уровня 3. Router mode – может Работа в режиме мониторинга – работать как маршрутизатор или InterSpect проверяет трафик не коммутатор третьего применяя к нему защиты и противодействия на случай атак уровня Switch Mode В этом режиме InterSpect Switch mode Switch режим заменяет коммутатор Internet InterSpect работает как мультипортовый IP 1 Router коммутатор в котором все порты соединены между IP 2 собой для создания одной Внешний МСЭ зоны Этажный коммутатор Отдел финансов Отдел кадров Этажный коммутатор Этажный коммутатор готов к работе сразу после включения, не требуется дополнительных настроек InterSpect ( Switch mode) Отдел менеджмента Bridge mode Стандартный режим работы Разделяет внутреннюю сеть на защищенные зоны InterSpect прозрачен для IP сети InterSpect ставится в разрыв линий в сети, соединяя зоны с остальной частью сети Каждая зона подключается к порту, который соединяет ее с остальной сетью через другой порт Финансовая Зона зона управления Зона Отдела кадров Межсетевой экран Центральный коммутатор InterSpect (In- line mode) InterSpect (In-line mode) IP 1 Финансовая Зона зона Зона Отдела управления кадров Межсетевой экран Центральный коммутатор SmartConsole Client Router Mode В этом режиме InterSpect заменяет маршрутизатор на каждый активный порт должен быть настроен IP адрес Динамическая маршрутизация не поддерживается Internet Этажный коммутатор Финансовая зона Router Этажный коммутатор IP 1 Межсетевой экран Зона управления IP 2 IP 3 IP 4 IP 5 Центральный коммутатор InterSpect (router mode) Этажный коммутатор Зона Отдела кадров Switch mode и Bridge Mode В режиме bridge mode InterSpect прозрачно устанавливается между устройствами организации и остальной сетью В режиме switch mode InterSpect отслеживает и защищает трафик между группой компьютеров (или серверов) и всей остальной сетью Коммутатор Остальная сеть InterSpect Коммутатор InterSpect Остальная сеть Группа серверов Возможные действия применяемые InterSpect Действия при работе с зонами: 1. Inspect – проверяется весь трафик 2. Bypass – выполняются все проверки кроме SmartDefense 3. Block – зона полностью изолируется Действия при работе с динамическими листами: 1. Bypass – выполняются все проверки кроме SmartDefense 2. Block – рабочая станция или зона полностью изолируется 3. Quarantine – запрещен трафик с другими зонами в течении определенного промежутка времени Зональная безопасность Настраиваемый лист блокировки соединений определение каждого сервиса на основании исключений для определяемой зоны использование тех же действий что и для зон преимущество по отношению к настройкам безопасности зон применяется ко всем объектам находящимся в зоне дополняет и позволяет сделать более гибкой политику безопасности для зоны Виртуальные зоны и VLAN InterSpect может быть установлен в разрыв, между двумя VLAN коммутаторами соединенными посредством VLAN trunk Идентификаторы VLAN находятся внутри Trunk соединения и считываются автоматически работает без дополнительной настройки, не требуется определения виртуальных интерфейсов или VLAN Могут быть определены настройки зон, специфичные для отдельных VLAN Не требуется определение дополнительных интерфейсов или виртуальных интерфейсов VLAN Tag: 1 Virtual Zone: VLAN 1 VLAN Tag: 2 Virtual Zone: VLAN 2 Switch A VLAN 1 VLAN 2 VLAN 3 VLAN 4 Switch B eth3 eth4 Trunk соединение Trunk соединение InterSpect VLAN Tag: 3 Virtual Zone: VLAN 3 VLAN 1 VLAN 2 VLAN 3 VLAN 4 Отказоустойчивость Устройства InterSpect могут быть настроены для работы в режиме горячего резервирования (High Availability) или распределения нагрузки (Load Sharing) в режиме горячего резервирования (High Availability), два устройства InterSpect образуют пару в которой одно из устройств работает, а второе следит за состоянием первого, готовое в любой момент переключить весь межсетевой трафик на себя в режиме распределения нагрузки (Load Sharing), два или более устройств InterSpect работают в режиме равномерно распределяющим нагрузку между всеми устройствами Отказоустойчивость 1. Предусмотрена возможность работы с кластерами ClusterXL маршрутизатор 2. Поддерживается протокол STP коммутатор InterSpect Шлюз МЭ InterSpect bridge mode/ switch mode InterSpect Шлюз МЭ интерфейс синхронизации коммутатор коммутатор кластер коммутатор коммутатор Удовлетворяет всем требованиям Потребности: Увеличение информированности о безопасности Blaster, Slammer, другие атаки Существующие приложения собственные протоколы и порты на платформе потенциально уязвимых web серверов Логическая связность разработка внутренних приложений пользовательские модели сетевой безопасности Комплексное окружение управление патчами/антивирусные обновления в многоплатформенных средах Решение: InterSpect Надежная защита от червей быстрое искоренение червей и вирусов, предотвращение распространения их по сети Неразрушающая модель внедрения понимание последствий до реального включения возможность сохранения работоспособности устаревших приложений Простой интерфейс управления легкость инсталляции и тонкой настройки Итог InterSpect это первый в своем классе шлюз обеспечения внутренней безопасности создан специально для специфических требований внутренней безопасности InterSpect совмещает в себе технологии позволяющее наиболее глубоко и интеллектуально защитить сеть Требования по обеспечению внутренней безопасности постоянно повышаются, но решения от компании Check Point позволяют всегда быть на шаг вперед Выбор платформы InterSpect InterSpect InterSpect по InterSpect InterSpect InterSpect Crossbeam Crossbeam Предложения платформам InterSpect позволяют выбрать решение начиная отX45 20 210N 410 610 610F X80 начальных, ориентированных на сети небольших Особенности размеров и Одна заканчивая крупными кластерными Одна Несколько МультиМультирабочая рабочая рабочих Гигабитная Гигабитная Гигабитная Гигабитная ориентированными на сети крупные, Ориентирован решениями группа группа групп защита сети защита защита сети защита сети Производительностькорпоративные 200 Mbps 500 Mbps 1000 Mbps 4000 Mbps 8000 Mbps сети. Слоты расширения Отсутствуют Количество портов 2 1 3-10 3-14 5 11 8-32 8-64 Количество портов управления 1 3 (+3 резервных) 3 (+3 резервных) Встроенное распределение нагрузки Отсутствует Да Да Максимальное количество портов 10 медных или 8 оптических 32 медных или 16 оптических 64 медных или 32 оптических Отказоустойчивость 3 14 медных или 8 оптических Да В следующей версии Профайлы политик к примеру несколько настроек технологии SmartDefense каждая зона может иметь свой профайл Захват пакетов журналы регистрации и учета будут содержать информацию о захваченных пакетах пакет сможет быть просмотрен при помощи внешнего (Ethereal) или внутреннего средства просмотра пакетов Интеграция с коммутаторами третьих производителей Физическая блокировка портов Возможности второго уровня Блокирование / карантин по MAC адресу MAC адреса в журналах регистрации и учета В следующей версии Web Intelligence Application Intelligence Unix RPC всесторонняя фильтрация приложений MS-SQL проверка Citrix расширенный анализ протокола DNS Mail MSN Messenger Блокировка передачи файла, разрешение других сервисов TFTP Контактная информация ОАО «ICL-КПО ВС» Адрес: 420029, г. Казань, ул. Сибирский тракт, 34 Тел.: (8432) 73-24-43 Факс: (8432) 73-55-35 www.icl.kazan.ru
