1. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential Концепция информационной безопасности Check Point Антон Разумов Check Point Software Technologies Консультант по безопасности arazumov@checkpoint.com

2. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 2 Типы межсетевых экранов

3. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 3 История инноваций 1993 – Patented Stateful Inspection, (U.S. Patent # 5,606,668) 1997 – Founded most successful partner program 1998 – First combined Firewall/VPN 2002 – First dynamic network security subscription service 2003 – First Application aware Firewall Stateful Inspection/ FireWall-1 1993 OPSEC 1997 VPN-1 1998 Application Intelligence 200120022003 19941995 1996199920002004 SmartDefense 2005

4. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 4 История инноваций 20042005 1993 – Patented Stateful Inspection, (U.S. Patent # 5,606,668) 1997 – Founded most successful partner program 1998 – First combined Firewall/VPN 2002 – First dynamic network security subscription service 2003 – First Application aware Firewall Stateful Inspection/ FireWall-1 1993 OPSEC 1997 VPN-1 1998 Application Intelligence 200120022003 19941995 199619992000 SmartDefense

5. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 5 Check Point: Всегда на шаг впереди История инноваций January 2004 – First to introduce Internal Security Gateway May 2004 – First comprehensive Web infrastructure security August 2004 – Integrity SecureClient September 2004 – Malicious Code Protector December 2004 – Safe@Office 400W February 2005 – Security Event Management made simple Eventia Analyzer InterSpect Integrity SecureClient 20042005 SSL Network Extender Web Intelligence Connectra Safe@Office 400W Malicious Code Protector

6. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 6 Ущерб Час 1Час 2Час 3И т.д. Нигде Везде Реактивная: Очистка после нанесения ущерба. Превентивная: Захват до нанесения ущерба. Необходима Интеллектуальная, Адаптивная и Превентивная безопасность

7. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 7 SQL Slammer 7/24 Slammer worm is released MS issues patch for SQL Server and Microsoft Desktop Engine MS alerted to vulnerability MS launches campaign to promote their patch MS issues patch for SQL Server 7 10/2 5/161/25 MS issues patch for SQL Server 2000 8/14 MS issues patch for SQL Server 7 MS issues patch for SQL Server 7, SQL Server 2000, MSDE 10/16 From vulnerability to exploit: <6 months 8/15 1/271/26

8. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 8 MSBlast 7/12 MS announces major “critical” DCOM RPC vulnerability Definitions for pattern-based solutions begin to appear MS launches campaign to promote their patch and firewalls Chinese researchers allegedly reverse-engineer patch MSBlast worm is released 8/14 MS reacts to prevent the DoS attack against its update servers 8/16 MS issues 2 nd patch for related DCOM vulnerability 9/10 From vulnerability to exploit: <1 month 6/278/4 8/15

9. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 9 Witty Worm 3/18 ISS & eEye announce the vulnerability and issue patch Destructive Witty Worm infects >50,000 machines From vulnerability to exploit: <1 week 3/8

10. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 10 Превентивная защита от атак timeline  Internet Security Attack Cycle Vulnerability Disclosed Exploit Published Patch installed Patch Available Hackers’ Opportunity Window Exploit Mutations Check Point Application Intelligence - Active Defense Signatures Updates Too Late… Too Narrow..

11. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 11 Уязвимости приложений – Современные угрозы –Большинство организаций имеют защиту периметра Межсетевые экраны осуществляют контроль доступа Стандартная защита против сетевых атак –Результат  Атаки становятся более изощренными: Хакеры атакуют приложения Ближе к данным (конечная цель) Множество приложений создает множество направлений для атак Множество уязвимостей в распространенных приложениях По данным FBI и SANS, более половины из Top 20 наиболее опасных уязвимостей реализуются через такие приложения как Web и email

12. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 12 Множество публичных сервисов Web Server Mail Server FTP Server VoIP Gateway DNS Peer-to-Peer Хакер Отказ в обслуживании легальных пользователей (DoS атаки) Получения администраторского доступа к серверам и компьютерам пользователей Получение доступа к внутренним базам данных Установка троянских программ для обхода систем безопасности Прослушивание трафика для перехвата паролей Цели хакера Internet Политика безопасности часто разрешает подобные коммуникации Microsoft Networking

13. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 13 Check Point Next Generation with Application Intelligence Проверка на соответствие стандартам Проверка на ожидаемое использование протоколов Блокирование злонамеренных данных Контроль над опасными операциями Соответствует ли приложение стандартам? Нет ли двоичных данных в HTTP заголовках Обычное ли использование протокола? Избыточная длина HTTP заголовка или Обход Директорий Вводятся ли опасные данные или команды? Cross Site Scripting или обнаружены сигнатруы атак Не выполняются ли запрещенные команды? FTP команды

14. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 14 Превентивная защита: Blaster Key Benefits  Proactively and dynamically protects against known and unknown attacks via SmartDefense  Defends against vulnerabilities before they are exploited

15. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 15 NGX – особенности защиты  Усиленная защита сложных протоколов VoIP –Расширенная поддержка протоколов, поддержка NAT –Единственный вендор, защищающий от VoIP Denial of Service основных VoIP протоколов Преимущества для пользователей Обеспечивает конфиденциальность и доступность голосовой связи Гибкое конфигурирование сетей VoIP Защищает больше приложений и сетевых протоколов, чем любое другое решение

16. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 16 SmartDefense Service Attacks Blocked http://www.checkpoint.com/defense/advisories/public/blocked.html 11-Oct-05Protection against a Vulnerability in Windows shell (MS05-049) 11-Oct-05Protection against a Directory Traversal Vulnerability in Windows FTP Client (MS05-044) 11-Oct-05Protection against Vulnerabilities in Microsoft DTC (MS05-051) 11-Oct-05Preemptive Protection against Microsoft Plug and Play Vulnerability (MS05-047) 11-Oct-05Vulnerability in the Microsoft Client Service for Netware (MS05-046) 11-Oct-05Preemptive Protection against a Vulnerability in DirectShow (MS05-050) 06-Oct-05Preemptive Protection against Symantec Anti Virus Scan Engine Negative Content-Length Vulnerability 01-Oct-05Microsoft Windows LSASS Protection 27-Sep-05Preemptive Protection against TWiki Command Injection Vulnerability

17. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 17 Intelligent Security - Perimeter

18. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 18  Единая архитектура  Централизованное управление  Интегрированы Firewall, VPN, Endpoint Security  SmartDefense Security Update Service Защита периметра Home User & Small Business ZoneAlarm Safe@Office High End & Service Provider VPN-1 VSX FireWall-1 GX Provider-1 Enterprise & Mid-Size Business VPN-1 Pro Check Point Express VPN-1 Edge

19. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 19 Решения Check Point для предотвращения атак Продукты  VPN-1 Pro  VPN-1 Express  VPN-1 Express CI  VPN-1 Edge  VPN-1 VSX  InterSpect  Personal Firewalls –Integrity –VPN-1 SecureClient  Web Intelligence  Connectra  SmartDefense Преимущества Check Point  Инновации, которым доверяют –Stateful Inspection & Application Intelligence –Защищает от 100% атак из SANS Top 20  SmartDefense – Интегрированная система предотвращения атак –Высочайший уровень защиты –Снижает затраты (не требует отдельного устройства)  Опциональная интегрированная защита WEB серверов  Великолепная масштабируемость от удаленных пользователей до глобальных ЦОД –Централизованное управление политиками (как офисов, так и пользователей)

20. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 20 Best Security combined with Best ROI ! (Лучшая безопасность и быстрый возврат инвестиций) ProtocolVPN-1 NG R60 Juniper ScreenOS 5.0 Juniper ScreenOS 5.1 Cisco PIX OS 6.3.4 RIP FULL COVERAGE UNABLE TO SECURE OSPF BGP SOCKS IPsec (IKE) SQL ICMP IM P2P MS-RPC SUN RPC DCE-RPC HTTP POP3 IMAP SMTP FTP DNS Businesses can not afford to have their back end & front end applications exposed Check Point proactively protects more applications in a single gateway than Cisco or Juniper

21. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 21 TCO полного решения (Firewall + IPS) Check Point Express 100Juniper NetScreen-204/ Juniper IDP-10 Cisco PIX 515E/ Cisco IDS 4215 Gateway Appliance Perimeter FW/VPNSW:$6,500 + HW:$1,595$11,500$7,495 IPSincluded$9,195$8,000 Subscription services Perimeter FW/VPNSmartDefense service $1,000 Deep Inspection Signature Service $920 None available IPSSeparate service included in IDP costs Included in IDS costs Support Perimeter FW/VPN $975 $1,040$900 IPS$700 Total$10,070$22,655$17,095

22. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 22 Безопасность внутри сети

23. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 23  Intelligent Worm Defender™  Сегментация на зоны  Карантин  Инспекция сетевых протоколов  Endpoint security enforcement  Интегрированный SMART Management Безопасность внутри сети Cooperative Enforcement Check Point Integrity OPSEC Partner Appliances InterSpect on X Internal Security Gateway InterSpect 210, 210N, 410, 610, 610F

24. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 24 Intelligent Security - Web

25. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 25  Secure Web-Based Connectivity  Integrated Endpoint Security  Malicious Code Protector ™  Advanced Streaming Inspection  Easy Deployment and Management Безопасность Web Integrated Endpoint Security Integrity Clientless Security Web Security Gateway Connectra 2000, 4000, 6000 Connectra SW SSL Network Extender Web Intelligence

26. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 26 Безопасность и SSL VPN Internet RISK SSL VPN  Рабочие станции –Кто за консолью? –Есть ли там МСЭ, AV? –Присутствуют ли spyware? –Конфигурация безопасна? –Можно ли украсть данные?  Шлюз –Платформа SSL VPN безопасна? –Я обхожу защиту периметра с SSL? –Создается новая дверь для атак? –Можно ли эффективно управлять множеством VPN?  Сервер –Безопасны ли мои web приложения ? –Прикладные системы защищены? –Критические системы доступны незащи- щенным WS? –Системы защищены от червей и атак? “If a hacker was able to take control of a home user’s machine, the hacker would have a free ride into the network upon connection.” -Frost and Sullivan, 2003 “Ironically, the simplicity attributes of SSL VPNs…add to the enterprise’s security risk.” -Stratecast Partners, 1/04 “…by allowing instant messaging programs and uncontrolled SSL through the gateway, corporations are putting enterprise systems at risk.” - IDC, 4/04

27. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 27 Connectra взаимодействие через Web с непревзойденной безопасностью Web Security Gateway Features Secure Web-Based Connectivity Integrated Server Security Adaptive Endpoint Security One-Click Remote SSL Access Seamless Network Deployment and Management SSL VPN Интегрированная безопасность Легкое развертывание

28. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 28 Основные особенности  Отдельное устройство на базе SPLAT  Web интерфейс для администрирования  Сильная аутентификация и авторизация  Поддержка приложений поверх HTTPS –Приложений, ориентированных на Web –Файловых ресурсов Windows –Защищенной почты POP3S/SMTPS IMAP клиент, интегрированный в WebMail  Проверка безопасности рабочих станций  Интеграция с существующим SmartCenter –Журналы и статус

29. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 29 Анализ безопасности  Web Intelligence  Захват Cookie –Cookies захватываются и хранятся на Connectra  Таймауты на сессии  Контроль кэша браузера на уровне приложений  Гарантия безопасности на стороне клиента (Integrity Clientless Security) –Обнаружение червей троянских программ хакерских инструментов вредоносных программ

30. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 30 Подключение

31. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 31 Делая VPN безопасными IPSecSSL Other IPSec VPN Gateways Check Point VPN-1 Other SSL VPN Gateways Check Point Connectra Transit User Authentication Granular Access Control Web Only Endpoint Secure Desktop Non Integrated (3 rd party) Non Integrated (3 rd party) Multi Layer Configuration Check Non Integrated (3 rd party) Limited Gateway Web Security Limited Limited Application Security Network Security No Security No Security Check Point обеспечивает наивысший уровень безопасности и гибкости при построении VPN

32. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 32 SSL VPN шлюзы: Обеспечивая превосходный возврат инвестиций в совокупности с интегрированной безопасностью Check Point превентивно защищает от большего количества удаленных атак через SSL VPN в едином устройстве с лучшим ROI, чем Cisco, F5 или Juniper Отчет Tolly Group

33. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 33 Интеллектуальные решения Check Point Management VPN & Remote Access Application Access SMART Stateful Inspection Application Intelligence Integrity SecureClient Web Portal Network & Application Security Endpoint Security Integrity Integrity Clientless Security WebInternal Perimeter Granular Access Control Application Level Authorization Network Zone Segmentation SSL Remote Access IPSec Remote Access Site to Site VPN (IPSec) Web Intelligence InterSpect Internal Security Gateway Connectra Web Security Gateway VPN-1 Perimeter Security Gateway Web Intelligence SSL Network Extender VPN-1 Endpoint Security Product Line

34. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 34 Стратегия безопасной архитектуры Расширение  Фаза I - Расширение –Предлагаем решения для вновь появляющихся требований –Выпустили InterSpect (ЛВС), Integrity и ZoneAlarm (Рабочие станции), Connectra (Web) Safe@Office W Connectra InterSpect VPN-1 Edge

35. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 35 Стратегия безопасной архитектуры Унификация  Фаза II - Унификация –Объединение всей архитектуры безопасности единым управлением –Управление событиями, Анализ и Отчеты (Eventia) Safe@Office W Connectra InterSpect VPN-1 Edge Eventia Analyzer & Reporter

36. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 36 Стратегия безопасной архитектуры Актуальность защиты Любое решение Check Point обновляется в реальном времени и защищает как от известных, так и от неизвестных атак  Фаза III – Актуальность защиты –Обновления всех компонентов безопасности –Универсальный SmartDefense

37. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 37 Check Point 2005 - Унифицированная архитектура безопасности  Интеллектуальная безопасность –Application Intelligence –Web Intelligence –Malicious Code Protection –Program Advisor  Масштабируемая безопасность –От рабочих станций до множества шлюзов безопасности, расположенных где угодно  Безопасность будущего –SmartDefense Services  Интегрированное управление безопасностью –Perimeter, Internal, Web, Endpoint –Total Access Protection

38. ©2005 Check Point Software Technologies Ltd. Proprietary & Confidential 38 Охвачены все сегменты рынка Market Segments Medium Business Small Business Service Provider EnterpriseConsumer Cellular/ Mobile Infrastructure Data Center ZoneAlarmSafe@Office InterSpect Connectra VPN-1 Pro VPN-1 Edge Check Point Express SMP Security Management Portal Integrity VSX Integrity SecureClient FW-1 GX