VoIP esitlus - PowerPoint PPT Presentation

About This Presentation
Title:

VoIP esitlus

Description:

... sisaldab ainult FDE mooduli FDE moodul vastab k vaketta kr pteerimise eest ja on saadaval ka eraldi programmina CP Pointsec PC. – PowerPoint PPT presentation

Number of Views:164
Avg rating:3.0/5.0
Slides: 41
Provided by: Michailas
Category:
Tags: voip | esitlus | pointsec

less

Transcript and Presenter's Notes

Title: VoIP esitlus


1
CheckPoint Endpoint Security update Michailas
Ornovskis, CCSE
2
Esitluse struktuur
  • Mida võimaldab CheckPoint Endpoint Security
  • CP Endpoint Security komponendid
  • Full Disk Encryption komponent
  • Media Encryption Port Protection komponent
  • Secure Access komponent
  • CP Endpoint Security Total Security kliendi
    tarkvara
  • Haldusserverid ja halduskonsoolid
  • Logide käsitlemine
  • Lahendused Linuxi ja Maci jaoks
  • Areng lähimas tulevikus ja CP roadmap

3
Mida võimaldab CheckPoint Endpoint Security
  • Endpoint Security on tööjaamade keskne infoturbe
    kontroll, mis võimaldab rakendada ettevõte
    turbepoliitikat tööjaamadele ja jälgida selle
    toimivust.
  • CP Endpoint Security koosneb mitmest erinevast
    moodulist, kuigi need moodulid on koondatud ühe
    kliendiprogrammi alla alates versioonist 7.2.

4
CP Endpoint Security komponendid (1)
  • CP Endpoint Security koosneb mitmest
    konponendist, iga komponent sisaldab erinevaid
    programmi mooduleid
  • Full Disk Encryption (arvuti kõvaketta
    krüpteerimine)
  • Media Encryption (väliste andmekandjate
    krüpteerimine ja arvuti portide/seadmete
    kontroll)
  • Secure Access (CP Integrity osa, sisaldab kõiki
    ülejäänuid komponente)

5
CP Endpoint Security komponendid (2)
  • CP Endpoint Security software blades

6
Full Disk Encryption komponent (1)
  • FDE komponent sisaldab ainult FDE mooduli
  • FDE moodul vastab kõvaketta krüpteerimise eest ja
    on saadaval ka eraldi programmina CP Pointsec PC.
  • FDE moodul kaitseb süsteemi kahel viisil läbi
    kasutajate autentimise operatsioonisüsteemi
    eelses keskkonnas (preboot) ning
    kõvaketta/kettade krüpteerimise kaudu.

7
Full Disk Encryption komponent (2)
8
Full Disk Encryption komponent (3)
  • FDE juures saab valida, kuidas kasutaja logib
    sisse kas kiipkaardiga,püsiparooliga või siis
    pin kalkulaatoriga
  • Lisaks valitakse, milliseid arvuti partitsioone
    tuleb krüpteerida ja millist algoritmi kasutame
    AES, 3DES, CAST, BlowFish
  • Kliendi programmis saab vahetada keelt ja/või
    sisselogimise parooli
  • FDE juures on palju erinevaid lisafunktsioone

9
Full Disk Encryption komponent (4)
  • FDE preboot keskkond on mõeldud turvaliseks
    sisselogimiseks
  • Juhul kui sisselogimise tunnus on ununenud või
    kaotsi läinud (kiipkaardi korral), siis saab
    lukustatud arvutit lahti teha kasutades Remote
    Help ehk Challenge Response protseduuri

10
Full Disk Encryption komponent (5)
  • Remote Help korral kasutaja kas helistab
    HelpDeski või saadab SMSi
  • Protseduuri teostamiseks peab ta teadma oma
    kasutajanime
  • HelpDesk täidab vastavad väljad ja vahendab
    kasutajaga salavõtmeid
  • Response Two ongi salakood, millega pääseb ligi
    parooli vahetamise aknasse
  • Samas Response Two võib olla ka ühekordne parool

11
Media Encryption Port Protection komponent (1)
  • ME komponent sisaldab kahte mooduli Media
    Encryption ise ja Port Protection
  • Media Encryption moodul rakendab ettevõte
    poliitikat välise meedia suhtes kas seda
    krüpteeritakse või mitte, kellel on ligipääs ilma
    paroolita, kas üldse saab kolmandas arvutis lahti
    teha jne
  • Port Protection moodul jälgib, millistel arvuti
    seadmetel millised õigused on antud kas COM
    pordid ja WiFi on blokeeritud, kas iPod peal
    tohib olla info ainult krüpteeritud kujul jne.
    Lisaks Port Protection jälgib kasutaja arvutisse
    kopeeritavaid faile näiteks kui .exe laiendus
    on keelatud kopeerimiseks, siis seda ei saa
    kopeerida isegi siis kui fail on arhiveeritud ja
    arhiivi laiendus on .docx muudetud

12
Media Encryption Port Protection komponent (2)
  • ME komponent pidevalt suhtleb serveriga siis kui
    arvuti võrgus on ning iga muudetus kasutaja jaoks
    loodud profiilis jõustub mõne minuti jooksul
  • Seadmete valik on suhteliselt suur, kui mingit
    seadet ei ole kirjas, siis seda saab alati sisse
    importeerida ning vastav poliitika luua
  • ME ennetab andmeleket isegi kui arvuti ei ole
    võrgus, talle kehtib offline profiil, kus on
    määratud õigused info kopeerimise kohta

13
Media Encryption Port Protection komponent (3)
  • Iga kord kui kasutaja ühendab arvutiga uue
    seadme, mida ta pole varem ühendanud, toimib
    selle seadme autoriseerimise protsess
  • Autoriseerimise protsessi kestel seadme
    skaneeritakse läbi ning kui on tegemist näiteks
    mälupulgaga, siis kontrollitakse et peal ei oleks
    viiruseid ja/või keelatud faililaiendusi
  • Skaneerimist teostatakse kohaliku viirusetõrjega
    ning PSG utiliidiga, mis otsib keelatuid
    faililaiendusi
  • Positiivse tulemuse korral seadmele hakkab
    kehtima vaikimisi määratud profiil, kui tulemus
    on negatiivne, siis seadme pealt kustutatakse
    keelatuid faile ja viiruseid (või kasutaja
    kustutab faile manuaalselt)
  • Kui kehtib reegel, et ligipääs on lubatud ainult
    krüpteeritud seadmetele, siis seadet
    krüpteeritakse ära AES-256 võtmega

14
Media Encryption Port Protection komponent (4)
  • EPM klient rakendus on mõeldud väliste
    meediakandjate manuaalseks krüpteerimiseks
  • Removable Media Manager on välise meedia skänner
  • Device Manager näitab turvatud porte ja seadmeid
  • Program Security Guard kontrollib kopeeritavaid
    faile ja nende laiendusi

15
Media Encryption Port Protection komponent (5)
  • EPM kliendis kasutaja ise saab krüpteerida
    väliseid andmekandjaid
  • Iga mälukandja juures valitakse ära, millises
    ulatuses failikonteinteri luua kui näiteks
    valida 100, siis kogu mälukandja peale tuleb üks
    suur krüpteeritud konteiner
  • Tavaliselt pannakse kaasa unlock.exe utiliit,
    millega saab seadme lahti teha kolmandas arvutis,
    kui parooli tead
  • Juhul kui parool on ununenud, siis kehtib ka oma
    Chellenge/Response meetod, millega saab seadme
    ikka lahti teha
  • Arvuti, kus konteiner oli loodud, avab seda ise
    ilma paroolita

16
(No Transcript)
17
Secure Access komponent (2)
  • Secure Access komponent tagab tööjaamade
    vastavuse kontrolli (viirusetõrje mustrid,
    Windows uuendused jne), sisaldab viirusetõrje,
    pahavaratõrje, e-mail protection, personaalse
    tulemüüri, võrgu juurdepääsu kontrolli, VPNi ja
    muid mooduleid
  • Secure Access sätteid võib panna sõltuvusse
    tööjaama asukohast näiteks kui tööjaam on
    sisevõrgus, siis tulemüüris saab avada CIFS
    protokolli porte, kui on muus võrgus, siis
    tulemüüri pordid on kõik kinni jne
  • Secure Access element on paindlik, võib teha
    erinevaid reegleid sõltuvalt kasutajast, tema
    asukohast, programmi versioonist jne

18
Secure Access komponent (3)
  • Igale tööjaamale antakse üks või mitu policyd
    (reeglite nimekiri), mis defineerivad tööjaama
    käitumist
  • Policyd on erinevad neid jagatakse kahte
    tüüpi Enterpise Policy (määratud keskhalduse
    serveri poolt) ja Personal Policy (seda klient
    teeb ise).
  • Enterprise Policyd omakorda jagunevad kahte
    gruppi Connected Policy ja Disconnected Policy.
  • Connected Policy kehtib tööjaamale siis, kui ta
    on ühenduses Endpoint Security serveriga
  • Disconnected Policy kehtib siis, kui ei ole

19
Secure Access komponent (4)
  • Iga policy koosneb praktiliselt kaheksast osast
  • 1.) Access Zones siin määratakse ära, kas võrk,
    milles tööjaam hetkel asub, on turvaline või
    mitte. Seda tehakse kahel viisil esimene viis
    on ära defineerida IP aadresside järgi, kas panna
    see võrk Trusted, Blocked või Internet tsooni.
  • Teine viis on küsida tööjaama kasutaja käest,
    millisesse tsooni ta seda paneb.
  • Olenevalt asukoha tsoonist, määratakse ka eraldi
    reeglid ja turvalisuse tase.

20
Secure Access komponent (5)
  • Teine osa käsitleb arvuti personaalse tulemüüri.
    Siin määratakse ära reeglid personaalse tulemüüri
    jaoks.
  • Tulemüüri reeglite alla kuuluvad kõik arvuti
    pordid, erinevad protokollid jm
  • Connected ja Disconnected policyde kohta
    kehtivad erinevad personaalse tulemüüri reeglid

21
Secure Access komponent (5)
  • Programmide reeglite moodul määravad ära,
    millistel programmidel on lubatud ligipääs võrku
    ja millistel mitte. Erinevad reeglid sõltuvad ka
    sellest, kuidas programm on seotud tööjaamaga.
  • Näiteks kui programmis tööjaam on server, siis
    selle kohta võib kehtida deny reegel
  • Kui tööjaam on klient, siis allow reegel
  • Eeldefineeritud programmide nimekiri on
    suhteliselt suur
  • Lisaks sellele CP kehtib teenus Program
    Advisor, mis annab nõu ka paljude muude
    programmide kohta
  • Program Advisor on andmebaas, kus on
    refereeritud üle 500.000 programmi. Lisaks on ka
    keelatud programmide andmebaas, kui on 2.500.000
    programmi

22
(No Transcript)
23
Secure Access komponent (7)
  • Peale CP Endpoint Security paigaldamist on
    mõistlik teada saada, millised programmid asuvad
    kliendi arvutis enne kui tema neid käivitab
  • Selleks võib näiteks kasutada utiliidi
    appscan.exe, mis loob kliendi rakendustest (.exe,
    .msi, .bat jne) XML formaadis dokumendi. Peale
    uploadi serverisse server tuvastab neid rakendusi
  • Kui näiteks mõned rakendused ei asu Program
    Advisor andmebaasis ega ka serveris, siis on
    administraatoril otsustada, mida nendega teha

24
Secure Access komponent (8)
  • Viirusetõrje ja pahavaratõrje kaitseb arvutit
    arbitraarse koodi käivitamise, viiruste ja
    pahavara vastu
  • Kasutusel on Kaspersky viirusetõrje mootor,
    antispyware jaoks on McAfee. WebCheck moodul on
    integreeritud
  • Endpoint Security server muuseas toetab ku muid
    viirusetõrje rakendusi, ta kontrollida, et
    kliendil oleksid viimased mustri uuendused
  • Administraator saab ise valida, mida teha
    erinevate viirustega, milliseid
    partitsioone/seadmeid skaneerida ja kui sageli

25
Secure Access komponent (9)
  • Smart-Defense on autonoomne moodul mis on
    mõeldud võrgu kaitseks rünnakute vastu
  • Smart-Defense on võimeline tuvastama ja
    blokeerima selliseid rünnakuid nagu ping of
    Death, HTTP header rejection, Tear Drop, SQL
    slammer jm
  • Kuna moodul on autonoomne, siis seda ei saa
    hallata, saab ainult sisse/välja lülitada ja
    vaadata logisid

26
Secure Access komponent (10)
  • Messaging Settings moodul töötab SMTP
    protokolliga ja määrab ära, kui palju e-maile
    tohib saata välja tööjaam teatud aja jooksul
  • Lisaks moodul hoiatab kasutajat, kui sõnumi
    aadressaadide arv ületab teatud arvu
  • Moodul kaitseb võrku potentsiaalsete e-mail
    rünnakute vastu

27
Secure Access komponent (11)
  • Enforcement settings moodulis määratakse ära,
    millistele reeglitele tööjaam peaks vastama, et
    saada ühendust võrguga
  • Saab ära defineerida, milline peab olema
    viirusetõrje versioon, Windows viimane update,
    millist tarkvara tohib kasutada ja millist mitte
  • Enforcement rules toimib tööjaama tasemel ning
    kui näiteks tööjaamas aktiveeritakse keelatud
    rakendus, siis seda kohe termineeritakse
  • Samas Enforcement settings moodulis saab
    määrata, mitme seanssi pärast termineerida
    non-compliant tööjaam. Kui näiteks nelja
    seanssi (heartbeat) jooksul reeglite vastavus ei
    ole paigas, siis ligipääs sisevõrku on
    termineeritud ja vastavad tulemüüri reeglid on
    aktiveeritud tööjaamas

28
Secure Access komponent (12)
  • Client Settings moodulis määratakse ära,
    milliseid hoiatusi klient näeb
  • Saab näiteks ära sättida, et klient näeks, et ta
    viirusetõrje ja pahavaratõrje hoiatusi ja ka
    compliance mooduli hoiatusi
  • Samas moodulis saab välja lülitada Windows
    tulemüüri kliendi poole peal ja ka lubada/keelata
    registreerimise Hot-Spot võrkudes

29
CP Endpoint Security Total Security kliendi
tarkvara (1)
  • Total Security on ühine klient, milles sisaldub
    kogu Endpoint funktsionaalsus
  • Kliente jagatakse nelja tüüpi funktsionaalsuse
    järgi
  • Eksisteerib Agent, Flex, VPN Agent ja VPN Flex
  • Agent tarkvara on mõeldud kasutajatele, kellele
    antakse vähe õigusi. Reeglina nemad ei saa midagi
    muuta Endpoint kliendis
  • Flex tarkvara on mõeldud kasutajatele, kellel on
    rohkem õigusi (näiteks administraatorid). Nemad
    saavad teatud määral ise konfigureerida
    tulemüüri, välja lülitada erinevaid mooduleid jne
  • VPN Agent ja VPN Flex tähendavad neid rakendusi,
    millistesse on integreeritud ka VPN klient

30
CP Endpoint Security Total Security kliendi
tarkvara (2)
  • Total Security VPN Agent tarkvara

31
CP Endpoint Security Total Security kliendi
tarkvara (3)
  • Total Security VPN Flex tarkvara, versioon 7.0

32
Haldusserverid ja halduskonsoolid (1)
  • CP Endpoint Security lahendust saab hetkel
    hallata kahest või kolmest konsoolist, oleneb
    kliendi valikust
  • Secure Access komponendi hallatakse Endpoint
    Security Serverist, mis asub aadressil
    https//serverinimi/signon.do
  • FDE komponendi hallatakse FDE konsoolist, mis
    ise ei oma veebiliidest
  • ME komponendi hallatakse ME konsoolsit, mis ei
    oma veebiliidest
  • FDE ja ME konsoolid võib viia kokku ühise
    konsooli alla, mille nimeks on CP Pointsec MI
    (Management Infrastructure)

33
Haldusserverid ja halduskonsoolid (2)
  • CP Endpoint Security Serveri veebiliides (Secure
    Access haldus)

34
Haldusserverid ja halduskonsoolid (3)
  • FDE konsooli liides

35
Haldusserverid ja halduskonsoolid (4)
  • ME konsooli liides

36
Logide käsitlemine
  • FDE ja ME logifailid on integreeritavad Windows
    Event Vieweriga. Samas neid saab vaadata ka
    konsoolidest
  • Secure Access komponendi logisid saab vaadata
    kas vastavas veebiliideses või siis SmartView
    Tracker rakendusega CP Endpoint Security tooted
    on omavahel integreeritud

37
Lahendused Linuxi ja Maci jaoks
Check Point Endpoint Security Bundles Check Point Endpoint Security Bundles Check Point Endpoint Security Bundles Check Point Endpoint Security Bundles Operating Systems Operating Systems Operating Systems
Secure Access F ull Disk Encryption Port Protection Total Security Windows Mac Linux
Desktop Firewall ? ? ? ?
Program Control ? ? ?
NAC ? ? ? ?
Remote Access VPN ? ? ? ? ?
Antivirus/Anti-spyware ? ? ?
Full Disk Encryption ? ? ? ?
Port Protection ? ? ?
Media Encryption ? ? ?
38
Areng lähimas tulevikus ja CP roadmap
  • Lähimas tulevikus kõik konsoolid viiakse ühe
    liidese alla tuleb keskhaldus kõikide
    komponentide jaoks
  • Lisandub funktsionaalsus ME osas administraator
    saab ajaliselt määrata profiili kehtivust
    tööjaamadele
  • Ja kindlasti palju muud

39
CP Endpoint Security
Tänan. Küsimused?
40
Tänan! Michailas Ornovskis michailas_at_stallion.ee
1
Write a Comment
User Comments (0)
About PowerShow.com