Check Point NG w zastosowaniach

Transkrypt

1 Światowy lider w zabezpieczaniu INT*NETU Check Point NG w zastosowaniach Piotr wajd (piotr.kluczwajd@clico.pl) Clico Centrum Oprogramowania AGENDA! Najnowsza wersja produktów Next Generation ( )! Wykorzystanie rozwiązań Check Point " OPSEC CVP analiza kontekstowa " OPSEC UFP monitorowanie połączeń WWW " Wykrywanie i reagowanie na włamania systemy IDS " Środowisko PKI # Czym jest certyfikat? # Proces generowania certyfikatu # Zarządzanie certyfikatami # Wykorzystanie certyfikatów Pierwszy wprowadzony na rynek i zdefiniowany VPN Check Point zawsze w czołówce Opatentowanie technologii Stateful Inspection Pierwsza inicjatywa przemysłowego standardu Pierwsza integracja zapory z systemem sterowania przepływem Pierwsza integracja zapory zsystemem zarządzania adresami Pierwszy konfekcjonowany firewall Rozwiązania Secure Enterprise Networking Transformacja do SVN 2001 Check Point Software Technologies! Niekwestionowany lider Udział w rynku " 203,000+ instalacji VPN " 100,000+ pomostów VPN-1 " 83,000,000+ klientów VPN-1 " 72,000+ klientów " 25,000+ instalacji Meta IP DNS! Twórca technologii " Stateful Inspection,,IQEngine Engine,,UAM " Porozumienie OPSEC - ponad 250 partnerów! Stabilny wzrost gwarantujący odpowiedni poziom wsparcia dla klientów Powody opracowania wersji Next Generation! Bezpieczeństwo staje się coraz bardziej skomplikowane " Większa liczba punktów kontrolnych (gateway-ów ów, klientów, serwerów werów) " Potrzeba zarządzania wieloma technologiami bezpieczeństwa " Złożoność i nieustanny rozwój polityk bezpieczeństwa! Wzrasta poziom ryzyka " stał się komunikacyjnym backbone-m " Coraz większa wymyślność zagrożeń! Zwiększanie wydajności i skalowalności " Komunikacja internetowa corocznie podwaja swoje pasmo " Gwałtowny wzrost liczby użytkowników Wprowadzenie Check Point NextGeneration...! Check Point NG obejmuje wszystkie oferowane produkty i technologie, awszczególności " FireWall-1 " VPN-1 1 Gateway iaplikacjeklienckie klienckie " FloodGate-1 " Check Point Management Console i Visual Policy Editor " Nowe produkty służące do zarządzania/monitorowania 1

2 Światowy lider w zabezpieczaniu INT*NETU Uproszczenie zarządzania bezpieczeństwem Wyzwania w odniesieniu do zarządzania! Wzrastająca złożoność polityk bezpieczeństwa " Reguły: ponad 50 reguł nie jest rzadkością " Liczby obiektów: setki do tysięcy " Użytkownicy: tysiące do dziesiątków tysięcy! Wielość produktów dozarządzania bezpieczeństwem w organizacjach " Typowo: :3-43 produkty! Coraz więcej punktów kontroli przypadających na przedsiębiorstwo " Wzrost w ciągu ostatnich dwóch lat: :50-100%! Eliminowanie pojedynczych punktów awarii " Zwiększające się uzależnianie do u jako backbone-u komunikacyjnego. Next Generation - Security Dashboard Edytor reguł Upraszcza zarządzanie " Przejrzysty układ " Narzędzia nawigacyjne Drzewo obiektów Widok zbiorczy obiektów 2

3 Visual Policy Editor Wizualizacja polityki bezpieczeństwa! Visual Policy Editor " Zwiększa zrozumienie i kontrolę " Ułatwia weryfikację intencji i integralności Definiowanie reguł Wdrożenie polityki Weryfikacja intencji Wizualizuje wpływ topologii sieci na bezpieczeństwo Spójne, zintegrowane zarządzanie Reguły VPN/Firewall RegułyNAT RegułyQoS Reguły VPN-u klienckiego Next Generation logowanie zdarzeń! Inteligentna prezentacja informacji " Widoki strukturalne Active Audit Firewall QoS VPN Tunnel Accounting Intergracja z produktami firm trzecich Zarządzanie użytkownikami w oparciu LDAP! Wsparcie dla rozwijających się środowisk " Zarządzanie większą liczbą użytkowników, obiektów, polityk, produktów " Uproszczone monitorowanie i analiza połączeń! Dodatkowe wsparcie dla dużych wdrożeń " Automatyczne zarządzanie logami, alarmowaniem " Przesyłanie danych z logów Audytowanie administratorów! Upraszcza śledzenie poczynań administratorów " Tworzy zapisy do rozwiązywania problemów idebugowaniai " Detalicznie śledzi informacje umożliwiając sortowanie, wyszukiwanie, raportowanie, itp. Audytowanie administratorów! Upraszcza śledzenie poczynań administratorów " Tworzy zapisy do rozwiązywania problemów idebugowaniai " Detalicznie śledzi informacje umożliwiając sortowanie, wyszukiwanie, raportowanie, itp. Kto zmodyfikował serwer o nazwie tempest? Co robił administrator Gretchen? 3

4 Next Generation Skalowalność VPN-ów Zdalne biuro SecureUpdate zarządzający CA y Content Security Siedziba przedsiębiorstwa Bez potrzeby używania polecenia putkeys Biuro oddziału zarządzający Aktualizacja oprogramowania Dodanie/ aktualizacja licencji Bez potrzeby używania polecenia putlic CPV4.1 NG Dodanie fukcjonalności VPN i QoS CP V4.1NG Biuro oddziału Biuro handlowe Dostarcza, bazującą na SSL,, komunikację międzymodułową, używając certyfikaty cyfrowe zgodne z x.509 Integruje, bazującą na certyfikatach, komunikację dla VPN-ów, typu site-to to-site! Automatycznie wymusza aktualizacje produktów Check Point i OPSEC! Centralnie aktualizuje licencje i funkcjonalność produktów SecureUpdate Utrzymywanie aktualnego bezpieczeństwa Wysoka dostępność dla modułów zarządzających! Eliminuje pojedynczy punkt awarii w postaci stacji zarządzającej " Dane z serwera zarządzającego są synchronizowane pomiędzy podstawowym i zapasowymi serwerami. " W wypadku awarii podstawowego serwera istnieje możliwość zarządzania ania z zapasowego " Wsparcie dla u jako podstawowego medium komunikacyjnego! Redukcja narzutu administracyjnego przy scentralizowanym podglądzie wszystkich zainstalowanych produktów! Poprawa bezpieczeństwa przez utrzymywanie bieżących wersji oprogramowania! Łatwa skalowalność sieci przy wprowadzaniu kolejnych modułów kontrolnych, licencji, dodatkowych produktów Redukcja kosztów administracji Zdalne biura Światowy lider w zabezpieczaniu INT*NETU Zapewnienie wydajności Next Generation technologie wydajności! Nowa architektura jądra " Zunifikowana tablica połączeń " Zunifikowany motor klasyfikujący! IPCOMP (kompresja pakietów IP) " Dla połączeń Site-to to-site i zdalnych klientów (SecureClient) " Kompresjanapoziomie2X! AES Rijndael " Wsparcie dla szyfrowania 128- i 256-bit bitowego " 128-bit bitowy AES wnosi 3-krotną poprawę wydajności wporównaniu z 3DES! Nowe APIs dla akceleracji pracy " PKCS#11 " SecureXL 4

5 SecureXL! Otwarte API dla przyspieszenia wielu procesów bezpieczeństwa w sprzęcie " Ochrona/filtracja " NAT " Szyfrowanie " Rozliczanie! Cel wsparcie dla przepustowości rzędu gigabitów dla ochrony sieci i połączeń VPN! Współpraca z wieloma partnerami sprzętowymi SecureXL Broadcom Intel Oprogramowanie Check Point Karta akceleratora SecureXL Urządzenie z kartą Nokia Intrusion.com Compaq Korzyści z otwartej architektury " Wybór dostawcy " Dostęp do najnowszych technologii Urządzenie z wbudowaną funkcją akceleracji Alteon/Nortel RapidStream Nokia Przepustowość FireWall-1 Przepustowość VPN-1 bez akceleracji sprzętowej Bez wspomagania sprzętowego AES256 Mbps Windows NT Solaris Linux XEON 1.7 GHz UltraSPARCIII 750 XEON 1.7 GHz Mhz Platforma 1750 Nokia IP740 Mbps Windows NT XEON Solaris Linux 1.7 GHz UltraSPARCIII 750 XEON 1.7 GHz Mhz Platforma 76 Nokia IP740 Karta akceleratora VPN-1 - przepustowość Mbps 3DES Windows NT XEON 1.7 Linux XEON1.7 Nokia IP530 GHz GHz Platforma Równoważenie obciążenia - przepustowość! Linux instalowany na przeciętnym sprzęcie! Ruch TCP! RadWare Fireproof Load Balancer Mbps Przepustowość klastra VPN (1) (2) (3) Cluster Nliczba węzłówodes Ograniczenie RadWare 5

6 FloodGate-1 End-to-end VPN QoS Reguły DiffServw rozwiązaniu FloodGate-1 Zaszyfrowane dane aplikacji ORACLE DiffServ zaznacza XX Przyspieszone przekazywanie $ QoS w wchmurce dzięki usługom Differentiated Services (DiffServ) $ DiffServ dla VPN-ów poprzez integrację Skalowalny i łatwy w użyciu QoS oparte na użytkownikach! Dziś w odniesieniu do sztywnych adresów IP " Brak QoS dla połączeń zdalnego dostępu " Brak wsparcia dla DHCP! FloodGate-1 1NG QoS dla autentykacji " Bazujące na użytkownikach reguły QoS w środowiskach z dynamicznym IP " Informacja bazująca na autentykacji " Wykorzystuje technologię UserAuthority QoS dla autentykacji Przykład zdalnego dostępu Połączenie owe to zestaw połączeń FTP, HTTP, SMTP/POP3 SZEF żąda połaczenia, aby pobrać ć pocztę Gateway autentykuje użytkownika,,zestawia VPN FG-1 1 gromadzi informacje oużytkowniku i dokonuje priorytetyzacji polityki Mail FTP HTTP VPN-1/FG 1/FG-1 SZEF! Monitor wydajności (Real-time Monitor) Analizy wydajności połączeń VPN Nowy produkt Monitor tunelu VPN Kontrola wydajności tenelu VPN Charakterystyki wydajności! Pasmo! Utrata pasma! Czas odpowiedzi Cechy " Monitor tunelu VPN " Monitor interfejsów sieciowych " Monitor poziomu usług Korzyści! Jakość VPN dla krytycznych aplikacji! Audytowanie umów w odniesieniu do jakości usług Monitor poziomu usług 6

7 Monitor interfejsów Kontrola wydajności pojedynczego segmentu sieci Kontrola ze względu na! Regułę! Usługę! Źródło/Cel! etc. Światowy lider w zabezpieczaniu INT*NETU Wdrażanie i zabezpieczanie zdalnego dostępu do sieci VPN Korzyści! Kontrola i optymalizacja polityki QoS! Identyfikacja źródeł problemów VPN-1 SecuRemote/SecureClient Przegląd Całościowa ochrona klientów VPN-1 SecureClient VPN-1 SecureClient Policy Server VPN-1 Gateway VPN-1 SecuRemote VPN-1 SecureClient! VPN-1 1 SecuRemote: " Podstawowy klient VPN dla Win 9x, NT i 2000! VPN-1 1 SecureClient: " Funkcjonalność VPN-1 SecuRemote " Centralne zarządzanie polityką osobistego firewall-a " Security Configuration Verification (SCV) " Możliwość przygotowywania paczek dla potrzeb klientów końcowych " Kompresja IPCOMP! Centralne zarządzane funkcje osobistego firewall-a! Przykład konfiguracja polityki w odniesieniu do zdalnych klientów VPN Security Configuration Verification (SCV) VPN-1 Gateway Policy Server 1. Autentykacja użytkownika 4. Użytkownik uzyskuje dostęp dosieci VPN VPN-1 SecureClient 2. Kontrola polityki i reguł SCV 3. System klienta spełnia wymagania kontroli SVC! SCV jest nowym API w ramach OPSEC " Partnerzy OPSEC wykorzystują API do tworzenia rozwiązań weryfikujących bezpieczeństwo konfiguracji! SCV umożliwia: " Dokonanie kontroli bezpieczeństwa na stacjach klienckich " Tworzenie własnych sprawdzeń np. aktualności wersji oprogramowania antywirusowego " Odrzucanie połączeń z klientami, którzy nie spełniają kontroli SCV Software Distribution Service (SDS)! Cechy " Umożliwia automatyczne aktualizacje oprogramowania VPN-1 1 SecureClient i kontrole wg SCV " Automatyczne określanie komponentów do aktualizacji " Automatyczna kontrola, czy aktualizacja wymaga restartu komputera! Korzyści " Redukuje narzut administracyjny " Wzmacnia bezpieczeństwo 7

8 VPN-1 SecuRemote/SecureClient NG dodatkowe cechy! Poprawa pobierania topologii! Wsparcie dla algorytmu Rijndael (AES)! Rozbudowane wsparcie dla urządzeń NAT! Poprawki w odniesieniu do środowisk PKI wsparcie dla CAPI i PKCS #12 Światowy lider w zabezpieczaniu INT*NETU Rozwiązania SmallOffice Small Office! Bazuje na VPN-1/ 1/FireWall-1! Bezbolesna integracja z wielodomenowym zarządzaniem na poziomie korporacyjnym! Dedykowane dla małych firm lub oddziałów (od 5 do 50 IP)! Dostępny dla różnych platform sprzętowych! Dostępne w wersji NG również dla standardowych platform FW-1 1 (np. Linux )! Intrusion.com (ODS) SecureCom seria PDS 21OO/23OO! Ramp Networks WebRamp serie 610I i 1700 Światowy lider w zabezpieczaniu INT*NETU OPSEC CVP, UFP Źródła pochodzenia złośliwego kodu Typowa architektura sieci 43% Inne 4% WWW 5% Nieznane 7% owy FireWall-1 Dom 19% Disk/CD 8% Ściąganie plików 14% Odpowiedzi Zapytania LAN 8

9 Content Security Content Security wewnętrzna wewnętrzna antywirusowy innego producenta Szyfrowana sesja IPSEC DMZ Klaster serwerów Web pocztowy Centralne badanie kontekstu Wzorzec Klient Java/Active-X Filtrowanie poczty, filtrowanie URL DMZ Klaster serwerów Web pocztowy wewnętrzna Content Security antywirusowy innego producenta Konfiguracja systemu FW-1 Nazwa serwera DMZ Klaster serwerów Web pocztowy Centralne badanie kontekstu Otwarta architektura z OPSEC Jedna polityka Swoboda wyboru Tryb pracy Światowy lider w zabezpieczaniu INT*NETU Wykrywanie intruzów za pomocą RealSecure Systemy IDS Wykrywanie intruzów wcałych sieciach (segmentach) Monitorowanie całego ruchu (Ethernet, Fast Ethernet, FDDI, Token Ring) Ponad 150 wzorców Automatyczna reakcja na ataki Integracja z FireWall-1 poprzez OPSEC API SAMP Alarmy ( , SNMP, Pager, okienko Pop-Up) Integracja z HP-OpenView i Tivoli NT i Sun Solaris Opracowany we współpracy i na bazie ISS RealSecure 9

10 Światowy lider w zabezpieczaniu INT*NETU UWAGA! WYKRYTO ATAK NAGRAJ SESJĘ WYŚLIJ ZAPAMIĘTAJ SESJĘ ATAK WEWNĘTRZNY Środowisko PKI / LOG/ RAPORT ZMIEŃ KONFIGURACJĘ -a PRZERWIJ SESJĘ ATAK ZEWNĘTRZNY UWAGA! WYKRYTO ATAK NAGRAJ SESJĘ Szyfrowanie symetryczne Szyfrowanie asymetryczne To jest tajna wiadomość, która powinna zostać zaszyfrowana Szyfrowanie ~!@#$%&)&*#~* %*ONKL!@N()!# HJ!#()J!@#129 8klh !~Kh Kh`2 Deszyfrowanie To jest tajna wiadomość, która powinna zostać zaszyfrowana To jest tajna wiadomość, która powinna zostać zaszyfrowana Szyfrowanie AJHasdy23ghut7 %*ONKL!@N()!# #@!@# 8klh UI123h12! Deszyfrowanie To jest tajna wiadomość, która powinna zostać zaszyfrowana Potrójny DES (3DES) DES, CAST, AES (Rijndael( Rijndael) - najnowszy standard, następca DES-a RC2, IDEA, RSA, DSA, wykorzystujące krzywe eliptyczne Funkcja skrótu Tworzenie certyfikatu To jest orginalna wiadomość % DHK@DE*(@#$H f478f (**@#&@& *@$&*@$H@$&@ (e) użytkownika + inne informacje o nim (np. , imię, nazwisko) Scalenie obu informacji CERTYFIKAT (e) użytkownika + inne informacje o nim (np. , imię, nazwisko) MD5 SHA1 [128 bitów] [160 bitów] Wyliczenie funkcji skrótu KL1hj23ljk!LKJ@# &612kjhsdkj(!@&!l L!N@#Lhj1,.nml1 13jke4klu*()&!@3 23hj12m,.N!@Lkj hjiou 1l l3 ;1o1l#!l #>?!K2;3k1!JK@l ;23l 12./1 Zaszyfrowanie skrótu kluczem prywatnym CA &612kjhsdkj(!@&!l 13jke4klu*()&!@3 hjiou 1l l3 ;1o1l#!l ;23l 12./1 10

11 Weryfikacja certyfikatu Czas życia certyfikatu CERTYFIKAT (e) użytkownika + inne informacje o nim (np. , imię, nazwisko) &612kjhsdkj(!@&!l 13jke4klu*()&!@3 hjiou 1l l3 ;1o1l#!l ;23l 12./1 Odszyfrowanie skrótu kluczem publicznym CA Wyliczenie funkcji skrótu informacji identyfikującej użytkownika KL1hj23ljk!LKJ@# L!N@#Lhj1,.nml1 23hj12m,.N!@Lkj #>?!K2;3k1!JK@l Porównanie uzyskanego wyniku KL1hj23ljk!LKJ@# L!N@#Lhj1,.nml1 23hj12m,.N!@Lkj #>?!K2;3k1!JK@l Generowanie Wydanie certyfikatu Uaktualnianie Wygaśnięcie Walidacja Użytkowanie Public Certyfikat Key Prywatny Klient VPN Certyfikat Prywatny Prywatny Certyfikat Cufrowy Przechowywane w bezpiecznym miejscu 1. generuje parę kluczy (publiczny/prywatny) dla użytkownika. 2. tworzy certyfikat cyfrowy zawierający klucz publiczny Janka, jego dane indentyfikacyjne (nazwisko, imię, nazwę firmy, itp..) oraz podpis cyfrowy Urzędu Certyfikacji. & przekazuje Jankowi jego certyfikat cyfrowy wraz z kluczem prywatnym w bezpieczny sposób (np. pocztą kurierską) & zachowuje te dane w bezpiecznym miejscu 2001 Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania -67- Certyfikat Prywatny PrywatnyCertyfikat Certyfikat Prywatny Back-up PrywatnyCertyfikat Certyfikat Certyfikat Janka jest umieszczony w publicznie dostępnym miejscu Certyfikat archiwizuje klucz prywatny Janka (Back-up) 2001 Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania

12 CRL Certyfikat cyfrowy VPN Zapytanie Klient Sprawdzenie VPN do znajduje Katalogu czy certyfikat Certyfikatówo Kontrola domenę Próba połączenia autentyczności nie został VPN unieważniony serwera certyfikatu ( zserwerem weryfikacja względem VPN CRL) oraz Listę Certyfikatów Unieważnionych (CRL) FireWall-1 Certificate CRL Certyfikat cyfrowy VPN Certyfikat Janka VPN wykonuje te same czynności względm Janka (jako klienta VPN) 2001 Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania -71- Tajny klucz szyfrowania Sesja VPN Tajny klucz szyfrowania Odpoweidz serwera Sesja VPN Negocjacja Próba połączenia kluczy szyfrowania Janka z serwerem i uwierzytelniania jest sprawdzana pomiędzy pod kątem zgodności VPN i zpolityką Klient VPN bezpieczeństwa () Zgodnie z polityką bezpieczeństwa nawiązuje połączenie z serwerem 2001 Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania -73- Web WAP Możliwość użycia tego samego certyfikatu w różnych aspektach VPN PKI 2001 Check Point Software Technologies Ltd., CLICO Centrum Oprogramowania -74- ERP Desktop! Security Systems! Entrust Technologies! WebTrends! JSB surfcontrol/surfwatch surfwatch! Aladdin esafe! Trend Micro! Century Software! SUN-Netscape Netscape Alliance! StoneSoft! Websense 12

13 Pytania? 13