©2005 check point software technologies ltd. proprietary & confidential Концепция...
TRANSCRIPT
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential
Концепция информационнойбезопасности Check Point
Антон Разумов
Check Point Software Technologies
Консультант по безопасности
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential2
Типы межсетевых экранов
©2000 Check Point Software Technologies Ltd. - Proprietary & Confidential
Packet FilterPacket Filter
АнализируютАнализируют трафиктрафик исключительноисключительно нана сетевомсетевомуровнеуровне. . НикакойНикакой проверкипроверки нана уровнеуровне приложенийприложенийии контроляконтроля состояниясостояния..
БезопасностьБезопасность невысоканевысока
ПрозрачныПрозрачны длядля трафикатрафика. . ВысокаяВысокаяпроизводительностьпроизводительность ии масштабируемостьмасштабируемость
Applications
Presentations
Sessions
Transport
Data Link
Physical
Data Link
Physical
Applications
Presentations
Sessions
Transport
Data Link
Physical
Network
Presentations
Sessions
Transport
Applications
Network NetworkNetwork
©2000 Check Point Software Technologies Ltd. - Proprietary & Confidential
Application Gateways/ProxyApplication Gateways/Proxy РаботаютРаботают сс ограниченнымограниченным наборомнабором протоколовпротоколов. .
КаждыйКаждый сервиссервис требуеттребует отдельногоотдельного проксипрокси-- серверасервера
НепрозрачныНепрозрачны длядля сетевогосетевого трафикатрафика
ПроизводительностьПроизводительность невысоканевысока вв связисвязи сскопированиемкопированием данныхданных ии многочисленнымимногочисленнымипереключениямипереключениями междумежду контекстамиконтекстами
Applications
Presentations
Sessions
Transport
Data Link
Physical
Data Link
Physical
Applications
Presentations
Sessions
Transport
Data Link
Physical
Network NetworkNetwork
Presentations
Sessions
Transport
Applications
©2000 Check Point Software Technologies Ltd. - Proprietary & Confidential
Stateful InspectionStateful Inspection ЗащищаютЗащищают любыелюбые протоколыпротоколы
ВыделяютВыделяют ии используютиспользуют информациюинформацию сосо всехвсехуровнейуровней
ПринимаютПринимают интеллектуальныеинтеллектуальные решениярешения
Applications
Presentations
Sessions
Transport
Data Link
Physical
Data Link
Physical
Applications
Presentations
Sessions
Transport
Data Link
Physical
Network Network
Network
Presentations
Sessions
Transport
I NSPECT Engine
Applications
Dynamic Dynamic State TablesState TablesDynamic Dynamic
State TablesState TablesDynamic State Tables
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential3
История инноваций
1993 – Patented Stateful Inspection, (U.S. Patent # 5,606,668)
1997 – Founded most successful partner program
1998 – First combined Firewall/VPN
2002 – First dynamic network security subscription service
2003 – First Application aware Firewall
Stateful Inspection/
FireWall-1
Stateful Inspection/
FireWall-1
1993
OPSECOPSEC
1997
VPN-1VPN-1
1998
ApplicationIntelligenceApplicationIntelligence
2001 2002 20031994 1995 1996 1999 2000 2004
SmartDefenseSmartDefense
2005
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential4
История инноваций
2004 2005
1993 – Patented Stateful Inspection, (U.S. Patent # 5,606,668)
1997 – Founded most successful partner program
1998 – First combined Firewall/VPN
2002 – First dynamic network security subscription service
2003 – First Application aware Firewall
Stateful Inspection/
FireWall-1
Stateful Inspection/
FireWall-1
1993
OPSECOPSEC
1997
VPN-1VPN-1
1998
ApplicationIntelligenceApplicationIntelligence
2001 2002 20031994 1995 1996 1999 2000
SmartDefenseSmartDefense
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential5
Check Point: Всегда на шаг впередиCheck Point: Всегда на шаг впереди
История инноваций
January 2004 – First to introduce Internal Security Gateway
May 2004 – First comprehensive Web infrastructure security
August 2004 – Integrity SecureClient
September 2004 – Malicious Code Protector
December 2004 – Safe@Office 400W
February 2005 – Security Event Management made simple
EventiaAnalyzerEventia
AnalyzerInterSpectInterSpect Integrity
SecureClientIntegrity
SecureClient
2004 2005
SSL Network Extender
SSL Network Extender
WebIntelligence
WebIntelligence
ConnectraConnectra
Safe@Office400W
Safe@Office400W
Malicious CodeProtector
Malicious CodeProtector
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential6
Ущерб
Час 1 Час 2 Час 3 И т.д.
Нигде Везде
Реактивная: Очистка после нанесения ущерба.
Превентивная: Захват до нанесения ущерба.
Необходима Интеллектуальная, Адаптивная и Превентивная безопасность
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential7
SQL Slammer
7/24
Slammer worm is released
MS issues patch for SQL Server and Microsoft Desktop Engine
MS alerted to vulnerability
MS launches campaign to promote their patch
MS issues patch for SQL Server 7
10/2 5/16 1/25
MS issues patch for SQL Server 2000
8/14
MS issues patch for SQL Server 7
MS issues patch for SQL Server 7, SQL Server 2000, MSDE
10/16
From vulnerability to exploit: <6 months
8/15 1/271/26
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential8
MSBlast
7/12
MS announces major “critical” DCOM RPC vulnerability
Definitions for pattern-based solutions begin to appear
MS launches campaign to promote their patch and firewalls
Chinese researchers allegedly reverse-engineer patch
MSBlast worm is released
8/14
MS reacts to prevent the DoS attack against its update servers
8/16
MS issues 2nd patch for related DCOM vulnerability
9/10
From vulnerability to exploit: <1 month
6/27 8/4 8/15
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential9
Witty Worm
3/18
ISS & eEye announce the vulnerability and issue patch
Destructive Witty Worm infects >50,000 machines
From vulnerability to exploit: <1 week
3/8
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential10
Превентивная защита от атак
timeline
Internet Security Attack Cycle
Vulnerability Disclosed
Exploit Published Patch
installedPatch
Available
Hackers’ Opportunity Window
Exploit Mutations
Check Point Application
Intelligence -Active
Defense
Signatures Updates
Too Late…
Too Narrow..
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential11
Уязвимости приложений –Современные угрозы
– Большинство организаций имеют защиту периметра• Межсетевые экраны осуществляют контроль доступа• Стандартная защита против сетевых атак
– Результат Атаки становятся более изощренными: Хакеры атакуют приложения• Ближе к данным (конечная цель) • Множество приложений создает множество направлений
для атак• Множество уязвимостей в распространенных приложениях
По данным FBI и SANS, более половины из Top 20 наиболее опасных уязвимостей
реализуются через такие приложения как Web и email
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential12
Множество публичных сервисов
Web Server
Mail Server
FTP Server
VoIP Gateway
DNS
Peer-to-Peer
Хакер
• Отказ в обслуживании легальных пользователей (DoS атаки)
• Получения администраторского доступа к серверам и компьютерам пользователей
• Получение доступа к внутренним базам данных• Установка троянских программ для обхода
систем безопасности• Прослушивание трафика для перехвата
паролей
Цели хакера
Internet
Политика безопасности часто разрешает подобные коммуникации
Microsoft Networking
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential13
Check Point Next Generation with Application Intelligence
Проверка на соответствие стандартам
Проверка на ожидаемое использование
протоколов
Блокирование злонамеренных данных
Контроль над опасными операциями
Соответствует ли приложение стандартам?
Нет ли двоичных данных в HTTP заголовках
Обычное ли использование протокола?
Избыточная длина HTTP заголовка или Обход Директорий
Вводятся ли опасные данные или команды?
Cross Site Scripting или обнаружены сигнатруы атак
Не выполняются ли запрещенные команды?
FTP команды
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential14
Превентивная защита: Blaster
Key Benefits Proactively and dynamically protects against known and
unknown attacks via SmartDefense Defends against vulnerabilities before they are exploited
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential15
NGX – особенности защиты
Усиленная защита сложных протоколов VoIP– Расширенная поддержка протоколов, поддержка NAT– Единственный вендор, защищающий от VoIP Denial of
Service основных VoIP протоколов
Преимущества для пользователей• Обеспечивает конфиденциальность и доступность
голосовой связи• Гибкое конфигурирование сетей VoIP
Защищает больше приложений и сетевых протоколов, чем любое другое решение
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential16
SmartDefense ServiceAttacks Blocked
http://www.checkpoint.com/defense/advisories/public/blocked.html
11-Oct-05 Protection against a Vulnerability in Windows shell (MS05-049)
11-Oct-05 Protection against a Directory Traversal Vulnerability in Windows FTP Client (MS05-044)
11-Oct-05 Protection against Vulnerabilities in Microsoft DTC (MS05-051)
11-Oct-05 Preemptive Protection against Microsoft Plug and Play Vulnerability (MS05-047)
11-Oct-05 Vulnerability in the Microsoft Client Service for Netware (MS05-046)
11-Oct-05 Preemptive Protection against a Vulnerability in DirectShow (MS05-050)
06-Oct-05 Preemptive Protection against Symantec Anti Virus Scan Engine Negative Content-Length Vulnerability
01-Oct-05 Microsoft Windows LSASS Protection
27-Sep-05 Preemptive Protection against TWiki Command Injection Vulnerability
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential17
Intelligent Security - Perimeter
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential18
Единая архитектура Централизованное
управление Интегрированы
Firewall, VPN, Endpoint Security
SmartDefense SecurityUpdate Service
Защита периметра
Home User & Small Business
ZoneAlarmSafe@Office
High End & Service Provider
VPN-1 VSXFireWall-1 GX
Provider-1
Enterprise & Mid-Size Business
VPN-1 ProCheck Point ExpressVPN-1 Edge
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential19
Решения Check Pointдля предотвращения атак
ПродуктыVPN-1 ProVPN-1 ExpressVPN-1 Express CIVPN-1 EdgeVPN-1 VSXInterSpectPersonal Firewalls
–Integrity–VPN-1 SecureClient
Web IntelligenceConnectraSmartDefense
Преимущества Check PointИнновации, которым доверяют
–Stateful Inspection & Application Intelligence–Защищает от 100% атак из SANS Top 20
SmartDefense – Интегрированная система предотвращения атак
–Высочайший уровень защиты–Снижает затраты (не требует отдельного устройства)
Опциональная интегрированная защита WEB серверовВеликолепная масштабируемость от удаленных пользователей до глобальных ЦОД
–Централизованное управление политиками (как офисов, так и пользователей)
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential20
Best Security combined with Best ROI !(Лучшая безопасность и быстрый возврат инвестиций)
Protocol VPN-1 NG R60Juniper
ScreenOS 5.0Juniper
ScreenOS 5.1Cisco
PIX OS 6.3.4
RIP
FULLCOVERAGE
UNABLE TO SECURE
UNABLE TO SECURE
UNABLE TO SECURE
OSPF
BGP
SOCKS
IPsec (IKE)
SQL
ICMP
IM
P2P
MS-RPC
SUN RPC
DCE-RPC
HTTP
POP3
IMAP
SMTP
FTP
DNS
Businesses can not affordto have their back end & front
end applications exposed
Check Point proactively
protects more
applications in a
single gateway
than Cisco or Juniper
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential21
TCO полного решения (Firewall + IPS)
Check Point Express 100 Juniper NetScreen-204/ Juniper IDP-10
Cisco PIX 515E/
Cisco IDS 4215
Gateway Appliance Appliance
Perimeter FW/VPN SW:$6,500 + HW:$1,595 $11,500 $7,495
IPS included $9,195 $8,000
Subscription services
Perimeter FW/VPN SmartDefense service
$1,000
Deep Inspection Signature Service $920
None available
IPS Separate service included in IDP costs Included in IDS costs
Support
Perimeter FW/VPN
$975
$1,040 $900
IPS $700
Total $10,070 $22,655 $17,095
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential22
Безопасность внутри сети
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential23
Intelligent Worm Defender™
Сегментация на зоны
Карантин Инспекция сетевых
протоколов Endpoint security
enforcement Интегрированный
SMART Management
Безопасность внутри сети
Cooperative Enforcement
Check Point IntegrityOPSEC Partner Appliances
InterSpect on X
Internal Security Gateway
InterSpect 210, 210N, 410, 610, 610F
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential24
Intelligent Security - Web
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential25
Secure Web-Based Connectivity
Integrated Endpoint Security
Malicious Code Protector ™
Advanced Streaming Inspection
Easy Deployment and Management
Безопасность Web
Integrated Endpoint Security
Integrity ClientlessSecurity
Web Security Gateway
Connectra2000, 4000, 6000Connectra SW
SSL Network Extender
Web Intelligence
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential26
Безопасность и SSL VPN
Internet
RISK RISK RISKSSL VPN
Рабочие станции– Кто за консолью?– Есть ли там МСЭ, AV?– Присутствуют ли
spyware?– Конфигурация
безопасна?– Можно ли украсть
данные?
Шлюз– Платформа SSL
VPN безопасна?– Я обхожу защиту
периметра с SSL?– Создается новая
дверь для атак?– Можно ли
эффективно управлять множеством VPN?
Сервер– Безопасны ли мои
web приложения ?– Прикладные системы
защищены?– Критические системы
доступны незащи-щенным WS?
– Системы защищены от червей и атак?
“If a hacker was able to take control of a home user’s machine, the hacker would have a free ride into the network upon connection.”
-Frost and Sullivan, 2003
“Ironically, the simplicity attributes of SSL VPNs…add to the enterprise’s security risk.”
-Stratecast Partners, 1/04
“…by allowing instant messaging programs and uncontrolled SSL through the gateway, corporations are putting enterprise systems at risk.”
- IDC, 4/04
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential27
Connectraвзаимодействие через Web с непревзойденной безопасностью
Web Security Gateway FeaturesSecure Web-Based Connectivity
Integrated Server Security
Adaptive Endpoint Security
One-Click Remote SSL Access
Seamless Network Deployment
and Management
SSL VPNSSL VPN
Интегрированная безопасность
Интегрированная безопасность
Легкое развертывание
Легкое развертывание
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential28
Основные особенности
Отдельное устройство на базе SPLAT Web интерфейс для администрирования Сильная аутентификация и авторизация Поддержка приложений поверх HTTPS
– Приложений, ориентированных на Web– Файловых ресурсов Windows– Защищенной почты
• POP3S/SMTPS• IMAP клиент, интегрированный в WebMail
Проверка безопасности рабочих станций Интеграция с существующим SmartCenter
– Журналы и статус
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential29
Анализ безопасности
Web Intelligence Захват Cookie
– Cookies захватываются и хранятся на Connectra
Таймауты на сессии Контроль кэша браузера на уровне приложений Гарантия безопасности на стороне клиента
(Integrity Clientless Security)– Обнаружение
• червей• троянских программ• хакерских инструментов• вредоносных программ
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential30
Подключение
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential31
Делая VPN безопасными
IPSec SSL
Other IPSec VPN Gateways
Check Point VPN-1
OtherSSL VPN Gateways
Check Point
Connectra
Transit
User
Authentication Granular Access
Control Web Only
Endpoint
Secure Desktop
Non Integrated (3rd party) Non Integrated
(3rd party)Multi Layer
Configuration Check
Non Integrated (3rd party) Limited
Gateway
Web
Security
Limited
Limited Application
Security Network Security
NoSecurity
No Security
Check Point обеспечивает наивысший уровень
безопасности и гибкостипри построении VPN
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential32
SSL VPN шлюзы:Обеспечивая превосходный возврат инвестиций в совокупности с интегрированной безопасностью
Check Point превентивно защищает от большего количества удаленных атак через SSL VPN в едином устройстве с лучшим ROI, чем Cisco, F5 или Juniper
Отчет Tolly Group
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential33
Интеллектуальные решенияCheck Point
Management
VPN & Remote Access
Application Access
SMART
Stateful Inspection
Application Intelligence
Integrity SecureClient
Web Portal
Network & Application
Security
Endpoint Security Integrity
Integrity Clientless Security
Web InternalPerimeter
Granular Access Control
Application Level Authorization
Network Zone Segmentation
SSL Remote Access
IPSec Remote Access
Site to Site VPN (IPSec)
Web Intelligence
InterSpectInternal Security Gateway
ConnectraWeb
SecurityGateway
VPN-1Perimeter Security Gateway
Web Intelligence
SSL Network Extender
VPN-1
Endpoint Security Product Line
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential34
Стратегия безопасной архитектурыРасширение
Фаза I - Расширение – Предлагаем решения для вновь появляющихся требований– Выпустили InterSpect (ЛВС), Integrity и ZoneAlarm (Рабочие
станции), Connectra (Web)
Safe@Office W
ConnectraInterSpect
VPN-1Edge
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential35
Стратегия безопасной архитектурыУнификация
Фаза II - Унификация– Объединение всей архитектуры безопасности единым
управлением– Управление событиями, Анализ и Отчеты (Eventia)
Safe@Office W
Connectra
InterSpect
VPN-1Edge
Eventia Analyzer & Reporter
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential36
Стратегия безопасной архитектуры Актуальность защиты
Любое решение Check Point обновляется в реальном времени и
защищает как от известных, так и от неизвестных атак
Фаза III – Актуальность защиты– Обновления всех компонентов безопасности– Универсальный SmartDefense
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential37
Check Point 2005 - Унифицированная архитектура безопасности
Интеллектуальная безопасность– Application Intelligence– Web Intelligence– Malicious Code Protection– Program Advisor
Масштабируемая безопасность– От рабочих станций до множества шлюзов
безопасности, расположенных где угодно
Безопасность будущего– SmartDefense Services
Интегрированное управление безопасностью– Perimeter, Internal, Web, Endpoint– Total Access Protection
©2005 Check Point Software Technologies Ltd. Proprietary & Confidential38
Охвачены все сегменты рынка
Market Segments
MediumBusiness
SmallBusiness
ServiceProviderEnterpriseConsumer
Cellular/Mobile
Infrastructure
Data Center
ZoneAlarmZoneAlarm Safe@OfficeSafe@Office
InterSpectInterSpect
ConnectraConnectra
VPN-1 ProVPN-1 Pro
VPN-1 EdgeVPN-1 Edge
Check PointCheck PointExpressExpress SMP Security Management PortalSMP Security Management Portal
IntegrityIntegrity VSXVSX
Integrity SecureClientIntegrity SecureClient
FW-1 GXFW-1 GX