Title: VoIP esitlus
1CheckPoint Endpoint Security update Michailas
Ornovskis, CCSE
2Esitluse struktuur
- Mida võimaldab CheckPoint Endpoint Security
- CP Endpoint Security komponendid
- Full Disk Encryption komponent
- Media Encryption Port Protection komponent
- Secure Access komponent
- CP Endpoint Security Total Security kliendi
tarkvara - Haldusserverid ja halduskonsoolid
- Logide käsitlemine
- Lahendused Linuxi ja Maci jaoks
- Areng lähimas tulevikus ja CP roadmap
3Mida võimaldab CheckPoint Endpoint Security
- Endpoint Security on tööjaamade keskne infoturbe
kontroll, mis võimaldab rakendada ettevõte
turbepoliitikat tööjaamadele ja jälgida selle
toimivust. - CP Endpoint Security koosneb mitmest erinevast
moodulist, kuigi need moodulid on koondatud ühe
kliendiprogrammi alla alates versioonist 7.2.
4CP Endpoint Security komponendid (1)
- CP Endpoint Security koosneb mitmest
konponendist, iga komponent sisaldab erinevaid
programmi mooduleid - Full Disk Encryption (arvuti kõvaketta
krüpteerimine) - Media Encryption (väliste andmekandjate
krüpteerimine ja arvuti portide/seadmete
kontroll) - Secure Access (CP Integrity osa, sisaldab kõiki
ülejäänuid komponente)
5CP Endpoint Security komponendid (2)
- CP Endpoint Security software blades
6Full Disk Encryption komponent (1)
- FDE komponent sisaldab ainult FDE mooduli
- FDE moodul vastab kõvaketta krüpteerimise eest ja
on saadaval ka eraldi programmina CP Pointsec PC. - FDE moodul kaitseb süsteemi kahel viisil läbi
kasutajate autentimise operatsioonisüsteemi
eelses keskkonnas (preboot) ning
kõvaketta/kettade krüpteerimise kaudu.
7Full Disk Encryption komponent (2)
8Full Disk Encryption komponent (3)
- FDE juures saab valida, kuidas kasutaja logib
sisse kas kiipkaardiga,püsiparooliga või siis
pin kalkulaatoriga - Lisaks valitakse, milliseid arvuti partitsioone
tuleb krüpteerida ja millist algoritmi kasutame
AES, 3DES, CAST, BlowFish - Kliendi programmis saab vahetada keelt ja/või
sisselogimise parooli - FDE juures on palju erinevaid lisafunktsioone
9Full Disk Encryption komponent (4)
- FDE preboot keskkond on mõeldud turvaliseks
sisselogimiseks - Juhul kui sisselogimise tunnus on ununenud või
kaotsi läinud (kiipkaardi korral), siis saab
lukustatud arvutit lahti teha kasutades Remote
Help ehk Challenge Response protseduuri
10Full Disk Encryption komponent (5)
- Remote Help korral kasutaja kas helistab
HelpDeski või saadab SMSi - Protseduuri teostamiseks peab ta teadma oma
kasutajanime - HelpDesk täidab vastavad väljad ja vahendab
kasutajaga salavõtmeid - Response Two ongi salakood, millega pääseb ligi
parooli vahetamise aknasse - Samas Response Two võib olla ka ühekordne parool
11Media Encryption Port Protection komponent (1)
- ME komponent sisaldab kahte mooduli Media
Encryption ise ja Port Protection - Media Encryption moodul rakendab ettevõte
poliitikat välise meedia suhtes kas seda
krüpteeritakse või mitte, kellel on ligipääs ilma
paroolita, kas üldse saab kolmandas arvutis lahti
teha jne - Port Protection moodul jälgib, millistel arvuti
seadmetel millised õigused on antud kas COM
pordid ja WiFi on blokeeritud, kas iPod peal
tohib olla info ainult krüpteeritud kujul jne.
Lisaks Port Protection jälgib kasutaja arvutisse
kopeeritavaid faile näiteks kui .exe laiendus
on keelatud kopeerimiseks, siis seda ei saa
kopeerida isegi siis kui fail on arhiveeritud ja
arhiivi laiendus on .docx muudetud
12Media Encryption Port Protection komponent (2)
- ME komponent pidevalt suhtleb serveriga siis kui
arvuti võrgus on ning iga muudetus kasutaja jaoks
loodud profiilis jõustub mõne minuti jooksul - Seadmete valik on suhteliselt suur, kui mingit
seadet ei ole kirjas, siis seda saab alati sisse
importeerida ning vastav poliitika luua
- ME ennetab andmeleket isegi kui arvuti ei ole
võrgus, talle kehtib offline profiil, kus on
määratud õigused info kopeerimise kohta
13Media Encryption Port Protection komponent (3)
- Iga kord kui kasutaja ühendab arvutiga uue
seadme, mida ta pole varem ühendanud, toimib
selle seadme autoriseerimise protsess - Autoriseerimise protsessi kestel seadme
skaneeritakse läbi ning kui on tegemist näiteks
mälupulgaga, siis kontrollitakse et peal ei oleks
viiruseid ja/või keelatud faililaiendusi - Skaneerimist teostatakse kohaliku viirusetõrjega
ning PSG utiliidiga, mis otsib keelatuid
faililaiendusi - Positiivse tulemuse korral seadmele hakkab
kehtima vaikimisi määratud profiil, kui tulemus
on negatiivne, siis seadme pealt kustutatakse
keelatuid faile ja viiruseid (või kasutaja
kustutab faile manuaalselt) - Kui kehtib reegel, et ligipääs on lubatud ainult
krüpteeritud seadmetele, siis seadet
krüpteeritakse ära AES-256 võtmega
14Media Encryption Port Protection komponent (4)
- EPM klient rakendus on mõeldud väliste
meediakandjate manuaalseks krüpteerimiseks - Removable Media Manager on välise meedia skänner
- Device Manager näitab turvatud porte ja seadmeid
- Program Security Guard kontrollib kopeeritavaid
faile ja nende laiendusi
15Media Encryption Port Protection komponent (5)
- EPM kliendis kasutaja ise saab krüpteerida
väliseid andmekandjaid - Iga mälukandja juures valitakse ära, millises
ulatuses failikonteinteri luua kui näiteks
valida 100, siis kogu mälukandja peale tuleb üks
suur krüpteeritud konteiner - Tavaliselt pannakse kaasa unlock.exe utiliit,
millega saab seadme lahti teha kolmandas arvutis,
kui parooli tead - Juhul kui parool on ununenud, siis kehtib ka oma
Chellenge/Response meetod, millega saab seadme
ikka lahti teha - Arvuti, kus konteiner oli loodud, avab seda ise
ilma paroolita
16(No Transcript)
17Secure Access komponent (2)
- Secure Access komponent tagab tööjaamade
vastavuse kontrolli (viirusetõrje mustrid,
Windows uuendused jne), sisaldab viirusetõrje,
pahavaratõrje, e-mail protection, personaalse
tulemüüri, võrgu juurdepääsu kontrolli, VPNi ja
muid mooduleid - Secure Access sätteid võib panna sõltuvusse
tööjaama asukohast näiteks kui tööjaam on
sisevõrgus, siis tulemüüris saab avada CIFS
protokolli porte, kui on muus võrgus, siis
tulemüüri pordid on kõik kinni jne - Secure Access element on paindlik, võib teha
erinevaid reegleid sõltuvalt kasutajast, tema
asukohast, programmi versioonist jne
18Secure Access komponent (3)
- Igale tööjaamale antakse üks või mitu policyd
(reeglite nimekiri), mis defineerivad tööjaama
käitumist - Policyd on erinevad neid jagatakse kahte
tüüpi Enterpise Policy (määratud keskhalduse
serveri poolt) ja Personal Policy (seda klient
teeb ise). - Enterprise Policyd omakorda jagunevad kahte
gruppi Connected Policy ja Disconnected Policy. - Connected Policy kehtib tööjaamale siis, kui ta
on ühenduses Endpoint Security serveriga - Disconnected Policy kehtib siis, kui ei ole
19Secure Access komponent (4)
- Iga policy koosneb praktiliselt kaheksast osast
- 1.) Access Zones siin määratakse ära, kas võrk,
milles tööjaam hetkel asub, on turvaline või
mitte. Seda tehakse kahel viisil esimene viis
on ära defineerida IP aadresside järgi, kas panna
see võrk Trusted, Blocked või Internet tsooni. - Teine viis on küsida tööjaama kasutaja käest,
millisesse tsooni ta seda paneb. - Olenevalt asukoha tsoonist, määratakse ka eraldi
reeglid ja turvalisuse tase.
20Secure Access komponent (5)
- Teine osa käsitleb arvuti personaalse tulemüüri.
Siin määratakse ära reeglid personaalse tulemüüri
jaoks. - Tulemüüri reeglite alla kuuluvad kõik arvuti
pordid, erinevad protokollid jm - Connected ja Disconnected policyde kohta
kehtivad erinevad personaalse tulemüüri reeglid
21Secure Access komponent (5)
- Programmide reeglite moodul määravad ära,
millistel programmidel on lubatud ligipääs võrku
ja millistel mitte. Erinevad reeglid sõltuvad ka
sellest, kuidas programm on seotud tööjaamaga. - Näiteks kui programmis tööjaam on server, siis
selle kohta võib kehtida deny reegel - Kui tööjaam on klient, siis allow reegel
- Eeldefineeritud programmide nimekiri on
suhteliselt suur - Lisaks sellele CP kehtib teenus Program
Advisor, mis annab nõu ka paljude muude
programmide kohta - Program Advisor on andmebaas, kus on
refereeritud üle 500.000 programmi. Lisaks on ka
keelatud programmide andmebaas, kui on 2.500.000
programmi
22(No Transcript)
23Secure Access komponent (7)
- Peale CP Endpoint Security paigaldamist on
mõistlik teada saada, millised programmid asuvad
kliendi arvutis enne kui tema neid käivitab - Selleks võib näiteks kasutada utiliidi
appscan.exe, mis loob kliendi rakendustest (.exe,
.msi, .bat jne) XML formaadis dokumendi. Peale
uploadi serverisse server tuvastab neid rakendusi - Kui näiteks mõned rakendused ei asu Program
Advisor andmebaasis ega ka serveris, siis on
administraatoril otsustada, mida nendega teha
24Secure Access komponent (8)
- Viirusetõrje ja pahavaratõrje kaitseb arvutit
arbitraarse koodi käivitamise, viiruste ja
pahavara vastu - Kasutusel on Kaspersky viirusetõrje mootor,
antispyware jaoks on McAfee. WebCheck moodul on
integreeritud - Endpoint Security server muuseas toetab ku muid
viirusetõrje rakendusi, ta kontrollida, et
kliendil oleksid viimased mustri uuendused - Administraator saab ise valida, mida teha
erinevate viirustega, milliseid
partitsioone/seadmeid skaneerida ja kui sageli
25Secure Access komponent (9)
- Smart-Defense on autonoomne moodul mis on
mõeldud võrgu kaitseks rünnakute vastu - Smart-Defense on võimeline tuvastama ja
blokeerima selliseid rünnakuid nagu ping of
Death, HTTP header rejection, Tear Drop, SQL
slammer jm - Kuna moodul on autonoomne, siis seda ei saa
hallata, saab ainult sisse/välja lülitada ja
vaadata logisid
26Secure Access komponent (10)
- Messaging Settings moodul töötab SMTP
protokolliga ja määrab ära, kui palju e-maile
tohib saata välja tööjaam teatud aja jooksul - Lisaks moodul hoiatab kasutajat, kui sõnumi
aadressaadide arv ületab teatud arvu - Moodul kaitseb võrku potentsiaalsete e-mail
rünnakute vastu
27Secure Access komponent (11)
- Enforcement settings moodulis määratakse ära,
millistele reeglitele tööjaam peaks vastama, et
saada ühendust võrguga - Saab ära defineerida, milline peab olema
viirusetõrje versioon, Windows viimane update,
millist tarkvara tohib kasutada ja millist mitte - Enforcement rules toimib tööjaama tasemel ning
kui näiteks tööjaamas aktiveeritakse keelatud
rakendus, siis seda kohe termineeritakse - Samas Enforcement settings moodulis saab
määrata, mitme seanssi pärast termineerida
non-compliant tööjaam. Kui näiteks nelja
seanssi (heartbeat) jooksul reeglite vastavus ei
ole paigas, siis ligipääs sisevõrku on
termineeritud ja vastavad tulemüüri reeglid on
aktiveeritud tööjaamas
28Secure Access komponent (12)
- Client Settings moodulis määratakse ära,
milliseid hoiatusi klient näeb - Saab näiteks ära sättida, et klient näeks, et ta
viirusetõrje ja pahavaratõrje hoiatusi ja ka
compliance mooduli hoiatusi - Samas moodulis saab välja lülitada Windows
tulemüüri kliendi poole peal ja ka lubada/keelata
registreerimise Hot-Spot võrkudes
29CP Endpoint Security Total Security kliendi
tarkvara (1)
- Total Security on ühine klient, milles sisaldub
kogu Endpoint funktsionaalsus - Kliente jagatakse nelja tüüpi funktsionaalsuse
järgi - Eksisteerib Agent, Flex, VPN Agent ja VPN Flex
- Agent tarkvara on mõeldud kasutajatele, kellele
antakse vähe õigusi. Reeglina nemad ei saa midagi
muuta Endpoint kliendis - Flex tarkvara on mõeldud kasutajatele, kellel on
rohkem õigusi (näiteks administraatorid). Nemad
saavad teatud määral ise konfigureerida
tulemüüri, välja lülitada erinevaid mooduleid jne - VPN Agent ja VPN Flex tähendavad neid rakendusi,
millistesse on integreeritud ka VPN klient
30CP Endpoint Security Total Security kliendi
tarkvara (2)
- Total Security VPN Agent tarkvara
31CP Endpoint Security Total Security kliendi
tarkvara (3)
- Total Security VPN Flex tarkvara, versioon 7.0
32Haldusserverid ja halduskonsoolid (1)
- CP Endpoint Security lahendust saab hetkel
hallata kahest või kolmest konsoolist, oleneb
kliendi valikust - Secure Access komponendi hallatakse Endpoint
Security Serverist, mis asub aadressil
https//serverinimi/signon.do - FDE komponendi hallatakse FDE konsoolist, mis
ise ei oma veebiliidest - ME komponendi hallatakse ME konsoolsit, mis ei
oma veebiliidest - FDE ja ME konsoolid võib viia kokku ühise
konsooli alla, mille nimeks on CP Pointsec MI
(Management Infrastructure)
33Haldusserverid ja halduskonsoolid (2)
- CP Endpoint Security Serveri veebiliides (Secure
Access haldus)
34Haldusserverid ja halduskonsoolid (3)
35Haldusserverid ja halduskonsoolid (4)
36Logide käsitlemine
- FDE ja ME logifailid on integreeritavad Windows
Event Vieweriga. Samas neid saab vaadata ka
konsoolidest - Secure Access komponendi logisid saab vaadata
kas vastavas veebiliideses või siis SmartView
Tracker rakendusega CP Endpoint Security tooted
on omavahel integreeritud
37Lahendused Linuxi ja Maci jaoks
Check Point Endpoint Security Bundles Check Point Endpoint Security Bundles Check Point Endpoint Security Bundles Check Point Endpoint Security Bundles Operating Systems Operating Systems Operating Systems
Secure Access F ull Disk Encryption Port Protection Total Security Windows Mac Linux
Desktop Firewall ? ? ? ?
Program Control ? ? ?
NAC ? ? ? ?
Remote Access VPN ? ? ? ? ?
Antivirus/Anti-spyware ? ? ?
Full Disk Encryption ? ? ? ?
Port Protection ? ? ?
Media Encryption ? ? ?
38Areng lähimas tulevikus ja CP roadmap
- Lähimas tulevikus kõik konsoolid viiakse ühe
liidese alla tuleb keskhaldus kõikide
komponentide jaoks - Lisandub funktsionaalsus ME osas administraator
saab ajaliselt määrata profiili kehtivust
tööjaamadele - Ja kindlasti palju muud
39CP Endpoint Security
Tänan. Küsimused?
40Tänan! Michailas Ornovskis michailas_at_stallion.ee
1