©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Концепция информационной безопасности Check Point Антон Разумов

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential

Концепция информационнойбезопасности Check Point

Антон Разумов

Check Point Software Technologies

Консультант по безопасности

[email protected]

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential2

Типы межсетевых экранов

©2000 Check Point Software Technologies Ltd. - Proprietary & Confidential

Packet FilterPacket Filter

АнализируютАнализируют трафиктрафик исключительноисключительно нана сетевомсетевомуровнеуровне. . НикакойНикакой проверкипроверки нана уровнеуровне приложенийприложенийии контроляконтроля состояниясостояния..

БезопасностьБезопасность невысоканевысока

ПрозрачныПрозрачны длядля трафикатрафика. . ВысокаяВысокаяпроизводительностьпроизводительность ии масштабируемостьмасштабируемость

Applications

Presentations

Sessions

Transport

Data Link

Physical

Data Link

Physical

Applications

Presentations

Sessions

Transport

Data Link

Physical

Network

Presentations

Sessions

Transport

Applications

Network NetworkNetwork


Application Gateways/ProxyApplication Gateways/Proxy РаботаютРаботают сс ограниченнымограниченным наборомнабором протоколовпротоколов. .

КаждыйКаждый сервиссервис требуеттребует отдельногоотдельного проксипрокси-- серверасервера

НепрозрачныНепрозрачны длядля сетевогосетевого трафикатрафика

ПроизводительностьПроизводительность невысоканевысока вв связисвязи сскопированиемкопированием данныхданных ии многочисленнымимногочисленнымипереключениямипереключениями междумежду контекстамиконтекстами

Applications

Presentations

Sessions

Transport

Data Link

Physical

Data Link

Physical

Applications

Presentations

Sessions

Transport

Data Link

Physical

Network NetworkNetwork

Presentations

Sessions

Transport

Applications


Stateful InspectionStateful Inspection ЗащищаютЗащищают любыелюбые протоколыпротоколы

ВыделяютВыделяют ии используютиспользуют информациюинформацию сосо всехвсехуровнейуровней

ПринимаютПринимают интеллектуальныеинтеллектуальные решениярешения

Applications

Presentations

Sessions

Transport

Data Link

Physical

Data Link

Physical

Applications

Presentations

Sessions

Transport

Data Link

Physical

Network Network

Network

Presentations

Sessions

Transport

I NSPECT Engine

Applications

Dynamic Dynamic State TablesState TablesDynamic Dynamic

State TablesState TablesDynamic State Tables


История инноваций

1993 – Patented Stateful Inspection, (U.S. Patent # 5,606,668)

1997 – Founded most successful partner program

1998 – First combined Firewall/VPN

2002 – First dynamic network security subscription service

2003 – First Application aware Firewall

Stateful Inspection/

FireWall-1


FireWall-1

1993

OPSECOPSEC

1997

VPN-1VPN-1

1998

ApplicationIntelligenceApplicationIntelligence

2001 2002 20031994 1995 1996 1999 2000 2004

SmartDefenseSmartDefense

2005



2004 2005

1993 – Patented Stateful Inspection, (U.S. Patent # 5,606,668)

1997 – Founded most successful partner program

1998 – First combined Firewall/VPN

2002 – First dynamic network security subscription service

2003 – First Application aware Firewall


FireWall-1


FireWall-1

1993

OPSECOPSEC

1997

VPN-1VPN-1

1998

ApplicationIntelligenceApplicationIntelligence

2001 2002 20031994 1995 1996 1999 2000

SmartDefenseSmartDefense


Check Point: Всегда на шаг впередиCheck Point: Всегда на шаг впереди


January 2004 – First to introduce Internal Security Gateway

May 2004 – First comprehensive Web infrastructure security

August 2004 – Integrity SecureClient

September 2004 – Malicious Code Protector

December 2004 – Safe@Office 400W

February 2005 – Security Event Management made simple

EventiaAnalyzerEventia

AnalyzerInterSpectInterSpect Integrity

SecureClientIntegrity

SecureClient

2004 2005

SSL Network Extender


WebIntelligence

WebIntelligence

ConnectraConnectra

Safe@Office400W

Safe@Office400W

Malicious CodeProtector

Malicious CodeProtector


Ущерб

Час 1 Час 2 Час 3 И т.д.

Нигде Везде

Реактивная: Очистка после нанесения ущерба.

Превентивная: Захват до нанесения ущерба.

Необходима Интеллектуальная, Адаптивная и Превентивная безопасность


SQL Slammer

7/24

Slammer worm is released

MS issues patch for SQL Server and Microsoft Desktop Engine

MS alerted to vulnerability

MS launches campaign to promote their patch

MS issues patch for SQL Server 7

10/2 5/16 1/25


8/14


MS issues patch for SQL Server 7, SQL Server 2000, MSDE

10/16

From vulnerability to exploit: <6 months

8/15 1/271/26


MSBlast

7/12

MS announces major “critical” DCOM RPC vulnerability

Definitions for pattern-based solutions begin to appear

MS launches campaign to promote their patch and firewalls

Chinese researchers allegedly reverse-engineer patch

MSBlast worm is released

8/14

MS reacts to prevent the DoS attack against its update servers

8/16

MS issues 2nd patch for related DCOM vulnerability

9/10

From vulnerability to exploit: <1 month

6/27 8/4 8/15


Witty Worm

3/18

ISS & eEye announce the vulnerability and issue patch

Destructive Witty Worm infects >50,000 machines

From vulnerability to exploit: <1 week

3/8


Превентивная защита от атак

timeline

Internet Security Attack Cycle

Vulnerability Disclosed

Exploit Published Patch

installedPatch

Available

Hackers’ Opportunity Window

Exploit Mutations

Check Point Application

Intelligence -Active

Defense

Signatures Updates

Too Late…

Too Narrow..


Уязвимости приложений –Современные угрозы

– Большинство организаций имеют защиту периметра• Межсетевые экраны осуществляют контроль доступа• Стандартная защита против сетевых атак

– Результат Атаки становятся более изощренными: Хакеры атакуют приложения• Ближе к данным (конечная цель) • Множество приложений создает множество направлений

для атак• Множество уязвимостей в распространенных приложениях

По данным FBI и SANS, более половины из Top 20 наиболее опасных уязвимостей

реализуются через такие приложения как Web и email


Множество публичных сервисов

Web Server

Mail Server

FTP Server

VoIP Gateway

DNS

Peer-to-Peer

Хакер

• Отказ в обслуживании легальных пользователей (DoS атаки)

• Получения администраторского доступа к серверам и компьютерам пользователей

• Получение доступа к внутренним базам данных• Установка троянских программ для обхода

систем безопасности• Прослушивание трафика для перехвата

паролей

Цели хакера

Internet

Политика безопасности часто разрешает подобные коммуникации

Microsoft Networking


Check Point Next Generation with Application Intelligence

Проверка на соответствие стандартам

Проверка на ожидаемое использование

протоколов

Блокирование злонамеренных данных

Контроль над опасными операциями

Соответствует ли приложение стандартам?

Нет ли двоичных данных в HTTP заголовках

Обычное ли использование протокола?

Избыточная длина HTTP заголовка или Обход Директорий

Вводятся ли опасные данные или команды?

Cross Site Scripting или обнаружены сигнатруы атак

Не выполняются ли запрещенные команды?

FTP команды


Превентивная защита: Blaster

Key Benefits Proactively and dynamically protects against known and

unknown attacks via SmartDefense Defends against vulnerabilities before they are exploited


NGX – особенности защиты

Усиленная защита сложных протоколов VoIP– Расширенная поддержка протоколов, поддержка NAT– Единственный вендор, защищающий от VoIP Denial of

Service основных VoIP протоколов

Преимущества для пользователей• Обеспечивает конфиденциальность и доступность

голосовой связи• Гибкое конфигурирование сетей VoIP

Защищает больше приложений и сетевых протоколов, чем любое другое решение


SmartDefense ServiceAttacks Blocked

http://www.checkpoint.com/defense/advisories/public/blocked.html

11-Oct-05 Protection against a Vulnerability in Windows shell (MS05-049)

11-Oct-05 Protection against a Directory Traversal Vulnerability in Windows FTP Client (MS05-044)

11-Oct-05 Protection against Vulnerabilities in Microsoft DTC (MS05-051)

11-Oct-05 Preemptive Protection against Microsoft Plug and Play Vulnerability (MS05-047)

11-Oct-05 Vulnerability in the Microsoft Client Service for Netware (MS05-046)

11-Oct-05 Preemptive Protection against a Vulnerability in DirectShow (MS05-050)

06-Oct-05 Preemptive Protection against Symantec Anti Virus Scan Engine Negative Content-Length Vulnerability

01-Oct-05 Microsoft Windows LSASS Protection

27-Sep-05 Preemptive Protection against TWiki Command Injection Vulnerability


Intelligent Security - Perimeter


Единая архитектура Централизованное

управление Интегрированы

Firewall, VPN, Endpoint Security

SmartDefense SecurityUpdate Service

Защита периметра

Home User & Small Business

ZoneAlarmSafe@Office

High End & Service Provider

VPN-1 VSXFireWall-1 GX

Provider-1

Enterprise & Mid-Size Business

VPN-1 ProCheck Point ExpressVPN-1 Edge


Решения Check Pointдля предотвращения атак

ПродуктыVPN-1 ProVPN-1 ExpressVPN-1 Express CIVPN-1 EdgeVPN-1 VSXInterSpectPersonal Firewalls

–Integrity–VPN-1 SecureClient

Web IntelligenceConnectraSmartDefense

Преимущества Check PointИнновации, которым доверяют

–Stateful Inspection & Application Intelligence–Защищает от 100% атак из SANS Top 20

SmartDefense – Интегрированная система предотвращения атак

–Высочайший уровень защиты–Снижает затраты (не требует отдельного устройства)

Опциональная интегрированная защита WEB серверовВеликолепная масштабируемость от удаленных пользователей до глобальных ЦОД

–Централизованное управление политиками (как офисов, так и пользователей)


Best Security combined with Best ROI !(Лучшая безопасность и быстрый возврат инвестиций)

Protocol VPN-1 NG R60Juniper

ScreenOS 5.0Juniper

ScreenOS 5.1Cisco

PIX OS 6.3.4

RIP

FULLCOVERAGE

UNABLE TO SECURE

UNABLE TO SECURE

UNABLE TO SECURE

OSPF

BGP

SOCKS

IPsec (IKE)

SQL

ICMP

IM

P2P

MS-RPC

SUN RPC

DCE-RPC

HTTP

POP3

IMAP

SMTP

FTP

DNS

Businesses can not affordto have their back end & front

end applications exposed

Check Point proactively

protects more

applications in a

single gateway

than Cisco or Juniper


TCO полного решения (Firewall + IPS)

Check Point Express 100 Juniper NetScreen-204/ Juniper IDP-10

Cisco PIX 515E/

Cisco IDS 4215

Gateway Appliance Appliance

Perimeter FW/VPN SW:$6,500 + HW:$1,595 $11,500 $7,495

IPS included $9,195 $8,000

Subscription services

Perimeter FW/VPN SmartDefense service

$1,000

Deep Inspection Signature Service $920

None available

IPS Separate service included in IDP costs Included in IDS costs

Support

Perimeter FW/VPN

$975

$1,040 $900

IPS $700

Total $10,070 $22,655 $17,095


Безопасность внутри сети


Intelligent Worm Defender™

Сегментация на зоны

Карантин Инспекция сетевых

протоколов Endpoint security

enforcement Интегрированный

SMART Management

Безопасность внутри сети

Cooperative Enforcement

Check Point IntegrityOPSEC Partner Appliances

InterSpect on X

Internal Security Gateway

InterSpect 210, 210N, 410, 610, 610F


Intelligent Security - Web


Secure Web-Based Connectivity

Integrated Endpoint Security

Malicious Code Protector ™

Advanced Streaming Inspection

Easy Deployment and Management

Безопасность Web

Integrated Endpoint Security

Integrity ClientlessSecurity

Web Security Gateway

Connectra2000, 4000, 6000Connectra SW


Web Intelligence


Безопасность и SSL VPN

Internet

RISK RISK RISKSSL VPN

Рабочие станции– Кто за консолью?– Есть ли там МСЭ, AV?– Присутствуют ли

spyware?– Конфигурация

безопасна?– Можно ли украсть

данные?

Шлюз– Платформа SSL

VPN безопасна?– Я обхожу защиту

периметра с SSL?– Создается новая

дверь для атак?– Можно ли

эффективно управлять множеством VPN?

Сервер– Безопасны ли мои

web приложения ?– Прикладные системы

защищены?– Критические системы

доступны незащи-щенным WS?

– Системы защищены от червей и атак?

“If a hacker was able to take control of a home user’s machine, the hacker would have a free ride into the network upon connection.”

-Frost and Sullivan, 2003

“Ironically, the simplicity attributes of SSL VPNs…add to the enterprise’s security risk.”

-Stratecast Partners, 1/04

“…by allowing instant messaging programs and uncontrolled SSL through the gateway, corporations are putting enterprise systems at risk.”

- IDC, 4/04


Connectraвзаимодействие через Web с непревзойденной безопасностью

Web Security Gateway FeaturesSecure Web-Based Connectivity

Integrated Server Security

Adaptive Endpoint Security

One-Click Remote SSL Access

Seamless Network Deployment

and Management

SSL VPNSSL VPN

Интегрированная безопасность

Интегрированная безопасность

Легкое развертывание

Легкое развертывание


Основные особенности

Отдельное устройство на базе SPLAT Web интерфейс для администрирования Сильная аутентификация и авторизация Поддержка приложений поверх HTTPS

– Приложений, ориентированных на Web– Файловых ресурсов Windows– Защищенной почты

• POP3S/SMTPS• IMAP клиент, интегрированный в WebMail

Проверка безопасности рабочих станций Интеграция с существующим SmartCenter

– Журналы и статус


Анализ безопасности

Web Intelligence Захват Cookie

– Cookies захватываются и хранятся на Connectra

Таймауты на сессии Контроль кэша браузера на уровне приложений Гарантия безопасности на стороне клиента

(Integrity Clientless Security)– Обнаружение

• червей• троянских программ• хакерских инструментов• вредоносных программ


Подключение


Делая VPN безопасными

IPSec SSL

Other IPSec VPN Gateways

Check Point VPN-1

OtherSSL VPN Gateways

Check Point

Connectra

Transit

User

Authentication Granular Access

Control Web Only

Endpoint

Secure Desktop

Non Integrated (3rd party) Non Integrated

(3rd party)Multi Layer

Configuration Check

Non Integrated (3rd party) Limited

Gateway

Web

Security

Limited

Limited Application

Security Network Security

NoSecurity

No Security

Check Point обеспечивает наивысший уровень

безопасности и гибкостипри построении VPN


SSL VPN шлюзы:Обеспечивая превосходный возврат инвестиций в совокупности с интегрированной безопасностью

Check Point превентивно защищает от большего количества удаленных атак через SSL VPN в едином устройстве с лучшим ROI, чем Cisco, F5 или Juniper

Отчет Tolly Group


Интеллектуальные решенияCheck Point

Management

VPN & Remote Access

Application Access

SMART

Stateful Inspection

Application Intelligence

Integrity SecureClient

Web Portal

Network & Application

Security

Endpoint Security Integrity

Integrity Clientless Security

Web InternalPerimeter

Granular Access Control

Application Level Authorization

Network Zone Segmentation

SSL Remote Access

IPSec Remote Access

Site to Site VPN (IPSec)

Web Intelligence

InterSpectInternal Security Gateway

ConnectraWeb

SecurityGateway

VPN-1Perimeter Security Gateway

Web Intelligence


VPN-1

Endpoint Security Product Line


Стратегия безопасной архитектурыРасширение

Фаза I - Расширение – Предлагаем решения для вновь появляющихся требований– Выпустили InterSpect (ЛВС), Integrity и ZoneAlarm (Рабочие

станции), Connectra (Web)

Safe@Office W

ConnectraInterSpect

VPN-1Edge

hbornst

renamed title to strategyremoved the dateadd the first line "expand..."changed the animationremove the PIW (too crowded)


Стратегия безопасной архитектурыУнификация

Фаза II - Унификация– Объединение всей архитектуры безопасности единым

управлением– Управление событиями, Анализ и Отчеты (Eventia)

Safe@Office W

Connectra

InterSpect

VPN-1Edge

Eventia Analyzer & Reporter

hbornst

remove the dateadd SMART management


Стратегия безопасной архитектуры Актуальность защиты

Любое решение Check Point обновляется в реальном времени и

защищает как от известных, так и от неизвестных атак

Фаза III – Актуальность защиты– Обновления всех компонентов безопасности– Универсальный SmartDefense

hbornst

maybe change the graphics to better reflect the smartDefense overall updateability

hbornst

minor rearrange


Check Point 2005 - Унифицированная архитектура безопасности

Интеллектуальная безопасность– Application Intelligence– Web Intelligence– Malicious Code Protection– Program Advisor

Масштабируемая безопасность– От рабочих станций до множества шлюзов

безопасности, расположенных где угодно

Безопасность будущего– SmartDefense Services

Интегрированное управление безопасностью– Perimeter, Internal, Web, Endpoint– Total Access Protection


Охвачены все сегменты рынка

Market Segments

MediumBusiness

SmallBusiness

ServiceProviderEnterpriseConsumer

Cellular/Mobile

Infrastructure

Data Center

ZoneAlarmZoneAlarm Safe@OfficeSafe@Office

InterSpectInterSpect

ConnectraConnectra

VPN-1 ProVPN-1 Pro

VPN-1 EdgeVPN-1 Edge

Check PointCheck PointExpressExpress SMP Security Management PortalSMP Security Management Portal

IntegrityIntegrity VSXVSX

Integrity SecureClientIntegrity SecureClient

FW-1 GXFW-1 GX

Documents

©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Концепция информационной безопасности Check Point Антон Разумов