Защита сети от внутренних угроз. InterSpect 2.0 - ICL

Защита сети от
внутренних угроз
InterSpect 2.0
Бутузов Юрий
Эксперт по информационной безопасности
Check Point Certified Security Expert
kuon@icl.kazan.ru
ОАО «АйСиЭл - КПО ВС», 420029 Казань, Сибирский тракт 34,
т.: (8432)73-24-43; ф.: (8432)73-55-35 (72-39-52), www.icl.kazan.ru
Сегодняшние угрозы
Раньше – обеспечение безопасности было
направлено на периметр сети
Сейчас – не меньшее внимание уделяется
безопасности внутри сети
Множество атак направлено изнутри
мобильные устройства (laptop/PDA )
доверенные пользователи могут быть “заразны”
эффективные обновления требуют времени
Черви распространяются по внутренней сети
молниеносно
Blaster
Slammer
Нет безупречного решения
существующие продукты решают отдельные задачи, но не
являются универсальными решениями
Используемые технологии не
удовлетворяют всем требованиям
Маршрутизаторы/
Коммутаторы
Защита от
червей
Разделение
сети на
зоны
Карантин
--
Межсетевые
экраны
периметра
зависит от
производителя
ограниченно
да
Антивирусы
сигнатуры
--
--
--
возможен
Защита
сетевых
протоколов
--
зависит от
производителя
только
отдельной
станции
Защита от
атак
--
зависит от
производителя
--
непросто
настраивать и
управлять
политика
настраивается
разрешением
правил
требуется
настройка
каждого
устройства
Настройка и
управление
IDS/IPS
да
базовое
ограниченно
ограниченно
ограниченно
огромный
объем работ
по настройке
Защита периметра и внутренняя
защита сети
Защита периметра сети
Защита внутренней сети
Стандартные, хорошо известные
приложения
Приложения клиент – сервер
Строгое соответствие протоколам
Наличие централизованного
координирующего утройства
Малоизвестные приложения
Приложения клиент – клиент
Нестрогое соответствие протоколам
Отсутствие централизованного
координирующего устройства
Политика доступа
по умолчанию
Блокируется весь трафик, кроме
явно разрешенного
Разрешается весь трафик, кроме
явно блокированного
Приоритет
1. Безопасность
2. Не нарушение трафика
1. Не нарушение трафика
2. Безопасность
Сетевые
протоколы
Сетевые протоколы могут быть
блокированы
Сетевые протоколы не могут быть
блокированы
Интерфейс
приложений
Обеспечение внутренней безопасности вводит
новые, уникальные задачи и требует
соответствующих решений
Размещение устройств по обеспечению
внутренней безопасности сети
Этажный
коммутатор
Перед одной
рабочей группой
Этажный
коммутатор
Перед группами
серверов
InterSpect
InterSpect
Перед группами
рабочих станций
За мершрутизаторами
доступа к WAN
InterSpect
InterSpect
Центральный
коммутатор
Перед несколькими
рабочими станциями
Перед центральным
коммутатором
Межсетевой
экран периметра
InterSpect
InterSpect
Этажный
коммутатор
Перед группой
серверов
WAN
InterSpect
Check Point InterSpect
Шлюз обеспечения внутренней безопасности
Ключевые особенности
 Intelligent Worm Defender™ (интеллектуальная
защита от червей)
 Сегментация на зоны
 Карантин для подозрительных компьютеров
 Защита внутренних протоколов
 Упреждающая защита от атак
 Легкая интеграция в существующую сеть
 Удобный интерфейс управления
Применим только внутри сети
Специальная защита сетевых протоколов
Работа с соединениями второго уровня
Контроль доступа для внутренних сетей
― Блокируются только атаки
― Пропускаются все доверенные соединения
Главное отличие от межсетевых экранов в том,
что соединение будет прервано только в том
случае, если это явно указано
Решения реализованные в
InterSpect
Устройство для обеспечения безопасности
внутренней сети
сердце аппаратной платформы – современный
процессор компании Intel
в качестве операционной системы используется
специализированная разработка компании Check Point
– Secure Platform
Работа на втором уровне
Физическое разбиение сети на зоны
Улучшенная производительность
для увеличения производительности в InterSpect
интегрирована технология SecureXL
в зависимости от модели производительность может
изменяться от 200Mbps до 1000Mbps
Поддержка VLAN
поддерживается до 4095 VLAN
Решения реализованные в
InterSpect
Современный подход к защите приложений
интеллектуальная защита от червей (Intelligent Worm
Defender ™)
защита сетевых протоколов (LAN Protocol Protection)
упреждающая защита от атак (Pre-emptive Attack
Protection)
Безопасность на уровне зон
откуда “From” и куда “To” устанавливается соединение
Управление Active Defense
режим мониторинга (Monitor only)
динамический карантин (Dynamic Quarantine)
Редактируемый лист для блокировки
соединений
Лист исключений
Архитектурные особенности
InterSpect
InterSpect обладает двухуровневой архитектурой –
непосредственно устройство InterSpect и клиенты
управления SmartConsole
Устройство InterSpect
включает в себя enforcement module и SmartCenter server
enforcement module определяет и предотвращает атаки на
приложения используя технологию SmartDefense Active
Defense
SmartCenter server
управляет модулем enforcement module, и собирает
записи в журнал регистрации и учета
Клиенты управления SmartConsole
управляют сервером SmartCenter server
SmartDashboard
Обеспечивает централизованное
управление и позволяет осуществлять
контроль за атаками
SmartView Tracker
Позволяет отслеживать
информацию о всех соединениях в
реальном масштабе времени
Позволяет выполнять операции с
записями в одно действие
Команды
определяемые
пользователем
SmartView Monitor
Полная система по
мониторингу
Не требуется
лицензии
Данные могут быть
представлены как в
реальном масштабе
времени, так и в
виде отчетов за
отдельные
промежутки времени
Немедленное
определение
сетевых изменений
SmartView Reporter
Полная система по
созданию отчетов
Не требуется
внешнего (Reporter)
сервера
Не требуется
лицензии
Позволяет
эффективно
управлять сетевой
активностью и
безопасностью на
основании анализа
создаваемых отчетов
Интеграция с Log сервером

InterSpect может хранить журналы регистрации
и учета как локально, так и отправлять их на
существующий сервер - Check Point logging
server.
InterSpect
Log server
VPN-1 logs
VPN-1 logs
syslog
Защита сетевых протоколов
Глубокий анализ протоколов
с использованием технологии
Application Intelligence




Внутренняя сеть может
использовать
различные протоколы





Ключевые особенности
 Защита и поддержка протоколов и
приложений использующихся внутри сети
 Обеспечение стабильности внутренних
сетей
RPC
CIFS
MS SQL
DCOM
HTTP
POP3
IMAP4
SMTP
И более!
Уникальные технологии
Application
Intelligence
Application (Layer 7)
 Технология Application
Intelligence проверяет
данные приложений
Presentation (Layer 6)
Session (Layer 5)
Stateful
Inspection
Transport (Layer 4)
Network (Layer 3)
Data Link (Layer 2)
Physical (Layer 1)
 Механизм INSPECT
применим как к
обеспечению
безопасности
периметра так и
внутренней сети
Интеллектуальная защита от
червей
Ключевые
особенности
 Блокируется
распространение червей
внутри сети
 Могут быть добавлены
типовые особенности для
распознавания
• Технологии Application
Intelligence и Stateful Inspection
используют обнаружение
основанное на редактируемых
шаблонах
Сегментация сети на зоны
Internet
Этажный
коммутатор
Ключевые
Особенности
 Предотвращает
неавторизованный
доступ между зонами
 Ограничивает атаки
внутри сегмента сети
Финансовая
зона
Router
IP 1
Межсетевой
экран
Этажный
коммутатор
Зона
управления
IP 2
Этажный
коммутатор
Центральный
коммутатор
InterSpect
(bridge mode)
Bridge Mode
Bridge режим
Зона
Отдела
кадров
Пример: ASN.1 Exploit




Крупная MSFT уязвимость (MS04-007)
SMB exploit разработан неким K-Otik
 http://www.k-otik.com/exploits/02.14.MS04-007dos.c.php:
Дополнительные направления атаки на протоколы:
 Kerberos (88)
 LDAP (TCP/389)
 DCE-RPC (135)
 SMTP (TCP/25)
 HTTP (TCP/80)
Через различные протоколы exploit может обойти
обязательную проверку сигнатурами
Подход применяемый в InterSpect
Перекрываются все
направления атаки
понимание стандартов
и уязвимостей
Создается решение
известно что, где и
когда искать
перекрываются все
направления атаки
Издаются обновления
для SmartDefense
Простота управления
Минимальные затраты времени на
администрирование
нет политики разграничения доступа
интуитивно понятные настройки занимают
несколько минут
централизованное управление
Аудит
сигналы предупреждений и журналы регистрации
и учета в реальном режиме времени
отчеты по всем интересующим событиям
отслеживание всех событий в реальном времени
Пример настройки
Централизованное управление
Динамические обновления SmartDefense
Запуск консоли InterSpect
Просмотр данных SmartView Monitor
Аудит и создание отчетов
Карантин подозрительных
компьютеров
Ключевые особенности
 Изолирует атаки и
скомпрометированные устройства
 Препятствует заражению других
компьютеров
 Защищает уязвимые компьютеры,
требует для них установки
обновлений
При карантине пользователь и
администратор извещаются
динамическими web страницами
InterSpect
Режимы работы
Три основных
режима работы
1. Bridge mode –
полностью прозрачен
для приложений и
пользователей
2. Switch mode –
работает как
коммутатор второго
уровня
3. Router mode – может
Работа в режиме мониторинга –
работать как
маршрутизатор или InterSpect проверяет трафик не
коммутатор третьего применяя к нему защиты и
противодействия на случай атак
уровня
Switch Mode
В этом режиме InterSpect Switch mode
Switch режим
заменяет коммутатор
Internet
InterSpect работает как
мультипортовый
IP 1
Router
коммутатор в котором все
порты соединены между
IP 2
собой для создания одной
Внешний
МСЭ
зоны
Этажный
коммутатор
Отдел
финансов
Отдел кадров
Этажный
коммутатор
Этажный
коммутатор
готов к работе сразу после
включения, не требуется
дополнительных настроек
InterSpect
( Switch mode)
Отдел
менеджмента
Bridge mode
Стандартный режим
работы
Разделяет внутреннюю
сеть на защищенные зоны
InterSpect прозрачен для IP
сети
InterSpect ставится в разрыв
линий в сети, соединяя
зоны с остальной частью
сети
Каждая зона
подключается к порту,
который соединяет ее с
остальной сетью через
другой порт
Финансовая Зона
зона управления
Зона
Отдела
кадров
Межсетевой
экран
Центральный
коммутатор
InterSpect
(In- line mode)
InterSpect
(In-line mode)
IP 1
Финансовая
Зона
зона Зона
Отдела
управления кадров
Межсетевой
экран
Центральный
коммутатор
SmartConsole
Client
Router Mode
В этом режиме
InterSpect заменяет
маршрутизатор
на каждый активный
порт должен быть
настроен IP адрес
Динамическая
маршрутизация не
поддерживается
Internet
Этажный
коммутатор
Финансовая
зона
Router
Этажный
коммутатор
IP 1
Межсетевой
экран
Зона
управления
IP 2
IP 3
IP 4
IP 5
Центральный
коммутатор
InterSpect
(router mode)
Этажный
коммутатор
Зона
Отдела
кадров
Switch mode и Bridge Mode
 В режиме bridge mode
InterSpect прозрачно
устанавливается между
устройствами
организации и остальной
сетью
 В режиме switch mode
InterSpect отслеживает и
защищает трафик между
группой компьютеров
(или серверов) и всей
остальной сетью
Коммутатор
Остальная сеть
InterSpect
Коммутатор
InterSpect
Остальная сеть
Группа серверов
Возможные действия
применяемые InterSpect
Действия при работе с зонами:
1. Inspect – проверяется весь трафик
2. Bypass – выполняются все проверки
кроме SmartDefense
3. Block – зона полностью изолируется
Действия при работе с динамическими листами:
1. Bypass – выполняются все проверки кроме
SmartDefense
2. Block – рабочая станция или зона полностью
изолируется
3. Quarantine – запрещен трафик с другими зонами в
течении определенного промежутка времени
Зональная безопасность
Настраиваемый лист блокировки
соединений
определение каждого сервиса на основании
исключений для определяемой зоны
использование тех же действий что и для зон
преимущество по отношению к настройкам
безопасности зон
применяется ко всем объектам находящимся
в зоне
дополняет и позволяет сделать более гибкой
политику безопасности для зоны
Виртуальные зоны и VLAN
InterSpect может быть установлен в разрыв, между двумя
VLAN коммутаторами соединенными посредством VLAN trunk
Идентификаторы VLAN находятся внутри Trunk соединения и
считываются автоматически
работает без дополнительной настройки, не требуется
определения виртуальных интерфейсов или VLAN
Могут быть определены настройки зон, специфичные для
отдельных VLAN
Не требуется определение дополнительных интерфейсов или
виртуальных интерфейсов
VLAN Tag: 1
Virtual Zone: VLAN 1
VLAN Tag: 2
Virtual Zone: VLAN 2
Switch A
VLAN 1
VLAN 2
VLAN 3
VLAN 4
Switch B
eth3
eth4
Trunk
соединение
Trunk
соединение
InterSpect
VLAN Tag: 3
Virtual Zone: VLAN 3
VLAN 1
VLAN 2
VLAN 3
VLAN 4
Отказоустойчивость
Устройства InterSpect могут быть настроены для
работы в режиме горячего резервирования (High
Availability) или распределения нагрузки (Load
Sharing)
в режиме горячего резервирования (High Availability),
два устройства InterSpect образуют пару в которой
одно из устройств работает, а второе следит за
состоянием первого, готовое в любой момент
переключить весь межсетевой трафик на себя
в режиме распределения нагрузки (Load Sharing), два
или более устройств InterSpect работают в режиме
равномерно распределяющим нагрузку между всеми
устройствами
Отказоустойчивость
1. Предусмотрена возможность работы с
кластерами ClusterXL
маршрутизатор
2. Поддерживается протокол STP
коммутатор
InterSpect
Шлюз МЭ
InterSpect
bridge mode/
switch mode
InterSpect
Шлюз МЭ
интерфейс
синхронизации
коммутатор
коммутатор
кластер
коммутатор
коммутатор
Удовлетворяет всем требованиям
Потребности:
Увеличение информированности о
безопасности
Blaster, Slammer, другие атаки
Существующие приложения
собственные протоколы и
порты
на платформе потенциально
уязвимых web серверов
Логическая связность
разработка внутренних
приложений
пользовательские модели
сетевой безопасности
Комплексное окружение
управление
патчами/антивирусные
обновления в
многоплатформенных средах
Решение: InterSpect
Надежная защита от червей
быстрое искоренение
червей и вирусов,
предотвращение
распространения их по
сети
 Неразрушающая модель
внедрения
понимание последствий до
реального включения
возможность сохранения
работоспособности
устаревших приложений
 Простой интерфейс
управления
легкость инсталляции и
тонкой настройки
Итог
InterSpect это первый в своем классе
шлюз обеспечения внутренней
безопасности
создан специально для специфических
требований внутренней безопасности
InterSpect совмещает в себе технологии
позволяющее наиболее глубоко и
интеллектуально защитить сеть
Требования по обеспечению внутренней
безопасности постоянно повышаются, но
решения от компании Check Point
позволяют всегда быть на шаг вперед
Выбор платформы InterSpect
InterSpect
InterSpect по
InterSpect
InterSpect
InterSpect
Crossbeam
Crossbeam
 Предложения
платформам
InterSpect
позволяют
выбрать
решение
начиная
отX45
20
210N
410
610
610F
X80
начальных, ориентированных на сети небольших
Особенности
размеров
и Одна
заканчивая
крупными кластерными
Одна
Несколько
МультиМультирабочая
рабочая
рабочих
Гигабитная
Гигабитная
Гигабитная
Гигабитная
ориентированными
на сети
крупные,
Ориентирован решениями
группа
группа
групп
защита сети
защита
защита сети
защита сети
Производительностькорпоративные
200 Mbps
500 Mbps
1000 Mbps
4000 Mbps
8000 Mbps
сети.
Слоты расширения
Отсутствуют
Количество портов
2
1
3-10
3-14
5
11
8-32
8-64
Количество портов
управления
1
3 (+3
резервных)
3 (+3
резервных)
Встроенное
распределение нагрузки
Отсутствует
Да
Да
Максимальное
количество портов
10 медных
или 8
оптических
32 медных
или 16
оптических
64 медных
или 32
оптических
Отказоустойчивость
3
14 медных или 8 оптических
Да
В следующей версии
Профайлы политик
к примеру несколько настроек технологии SmartDefense
каждая зона может иметь свой профайл
Захват пакетов
журналы регистрации и учета будут содержать информацию
о захваченных пакетах
пакет сможет быть просмотрен при помощи внешнего
(Ethereal) или внутреннего средства просмотра пакетов
Интеграция с коммутаторами третьих
производителей
Физическая блокировка портов
Возможности второго уровня
Блокирование / карантин по MAC адресу
MAC адреса в журналах регистрации и учета
В следующей версии
Web Intelligence
Application Intelligence
Unix RPC
всесторонняя фильтрация приложений
MS-SQL
проверка Citrix
расширенный анализ протокола DNS
Mail
MSN Messenger
Блокировка передачи файла, разрешение других
сервисов
TFTP
Контактная информация
ОАО «ICL-КПО ВС»
Адрес: 420029, г. Казань,
ул. Сибирский тракт, 34
Тел.: (8432) 73-24-43
Факс: (8432) 73-55-35
www.icl.kazan.ru