Bezpieczna sie to duo wicej ni firewall.

Transkrypt

1 Bezpieczna sie to duo wicej ni firewall. Grzegorz Wróbel Systems Engineer CCIE# Security 1

2 Ewolucja zagroe Rozmiar celu Eskalacja zagroenia dla instytucji Wpływ na infrastruktur wiatow Sieci Regionalne Wiele Sieci Pojedyncza sie Pojedynczy komputer Tygodnie I Gen Boot viruses Dni II-ga Gen Macro viruses Denial of Service Minuty III Gen Distributed Denial of Service Blended threats Sekundy Nastpne Generacje Flash threats Ogromne DDoS wywoływ. przez worm Worm atakujcy payload

3 Sapphire Worm lub Slammer Ilo zainfekowanych hostów rosła dwukrotnie co 8.5 sekundy Zainfekowano 75,000 hostów w 11 minut Spowodował przerwy w pracy sieci, anulowanie połcze lotniczych, problemy z uywaniem bankomatów 11 Minut po wypuszczeniu W szczycie, skanowano 55 milionów hostów na sekund 8 6 3

4 Sieci 5-10 lat temu Zamkite sieci PSTN PSTN Oddział zdalny Frame Relay X.25 Łcza stałe 4

5 Dzisiejsze sieci 5

6 Osigalno narzdzi Connected to 6

7 Dzisiejsze sieci Co moe sta si przedmiotem ataku? Cechy Sieci Szeroki dostp do internetu Centra danych Uytkownicy mobilni Sieci bezprzewodowe Rónorodno medium Zmiana typów zagroe!!! Co moe by celem ataku? Urzdzenia sieciowe!!! Stacje i serwery Całe sieci/usługi Aplikacje Informacja/Dane System zarzdzania 7

8 Spojrzenie na bezpieczestwo sieciowe musi ulec zmianie DOTYCHCZAS OD TERAZ Reaktywne Wydzielone Dedykowany produkt Proaktywne Zintegrowane, Na wielu poziomach Sie / System kocowy 8

9 Ewolucja wizji Cisco Security Strategy Cisco Self-Defending Network SDN Faza III Adaptacyjna ochrona przed zagroeniami Wzajemna wiadomo pomidzy usługami bezpieczestwa i inteligencj sieciow Podnoszenie efektywnoci zabezpieczenia, umoliwienie proaktywnej reakcji Konsolidacja usług, zwikszenie efektywnoci operacyjnej Rozpoznawanie i inspekcja aplikacji dla bezpiecznego dostarczania do nich danych i optymalizacji ich pracy Technologie punktowe Wiele oddzielnych dedykowanych urzdze Odseparowane oprogramowania do zarzdzania SDN Faza II Współpracujce systemy bezpieczestwa Bezpieczestwo staje si systemem odpornociowym w całym organimie sieci : Stacje kocowe + Sie + Polityki Wiele usług i urzdze współpracujych z sob oraz aktywnym systemem zarzdzania w celu udaremniania ataków NAC, IBNS, SWAN SDN Faza I Zintegrowane I bezpieczestwo Kady element sieci jest punktem obrony Routery, Switche,Urzdzenia dedykowane,stacje kocowe Bezpieczna łczno (V3PN, DMVPN), Obrona przed zagroeniami, Zaufanie & tosamo Ochrona fundamentów sieci 9

10 Bezpieczenstwo na wszystkich poziomach sieci Threat Defense Ochrona Brzegu sieci : Firewalls Prevents Attacks / Access Control Monitorowanie ruchu: Intrusion Detection / Prevention Monitors traffic / Prevents Attacks Ochrona stacji i serwerów: Cisco Security Agent (CSA) Protects Hosts Against Worms Internet Trust and Identity Weryfikacja tosamoci: Identity and Policy Servers Control Who/What Has Access Si Si Secure Comm. Bezpieczny transport: IPSec & SSL VPN Protects Data/Voice Confidentiality Mgm t Zintegrowane zarzdzanie: CiscoWorks VMS Operational Integration Across Services 10

11 Nowa generacja urzdze Cisco Systems Serie Cisco 3800, 2800 i 1800 Wydajno i skalowalno Seria 3800 Skalowalno modułów usługowych oraz Wysoka wydajno 2800 Series Seria 2800 Wbudowana obsługa głosu, danych, wideo & Zintegrowane bezpieczestwo Zintegrowana transmisja danych oraz bezpieczestwo Nowa, zintegrowana funkcjonalno Firewall Intrusion Detection/Prevention Szyfrowanie danych i głosu Filtrowanie URL i cache Seria 1800 Duy Oddział Biuro, oddział Małe i rednie Firmy 11

12 Infekcja robak internetowy Wireless LAN Uytkownik Mobilny Ataki pochodz praktycznie zewszd LAN Data Center Internet Branch Samopropagujce si robaki w dalszym cigu blokuj działanie firm, powoduj zaprzestanie działania sieci oraz wymuszaj patchowanie Lokalizowanie i izolowanie zainfekowanych systemów i segmentów jest kosztowne i czasochłonne Wiele funkcji pracowniczych, metod i sposobów dostpu potguje problem 12

13 Idealne rozwizanie: System Zintegrowany Klient zgodny: Zgoda! Policy Servers Uytkownik Zdalny Klient niezgodny Odmowa! Kwarantanna! Internet Oddział Rozwizanie składa si z wielu komponentów Oprogramowanie instalowane na systemach kocowych jest wiadome warunków bezpieczestwa Serwery polityk definiuj zgodno z regułami dostpu Urzdzenia sieciowe (routery, przełczniki) wymuszaj polityk Ochrona przed wirusami/robakami wymaga współpracy midzy producentami 13

14 Rozwizanie Network Admission Control NAC: Wykorzystanie sieci do inteligentnego narzucenia uprawnie dostpowych na bazie security posture urzdzenia kocowego Charakterystyka NAC : Wszechobecne rozwizanie dla wszystkich metod połacze Host dajcy dostpu do sieci Cisco Trust Agent Credentials EAP/UDP, Sieciowe urzdzenia dostpowe 1 2 EAP/802.1x Notyfikacja 6 Wymuszenie policy Credentials RADIUS Uprawnienia dostpu 5 4 Policy Server Podejmowanie decyzji Policy (AAA) 2a Sever Credentials Zgodny? 3 HTTPS AV Server Sprawdza wszystkie hosty Wykorzystuje inwestycje w sie i oprogramowanie antywirusowe Usługi Quarantine & remediation Skalowalne rozwizanie 14

15 Zintegrowane bezpieczestwo w sieci Ochrona w sieci wewntrznej LAN Man in the Middle Attack Kwarantan na Blokada Nieuprawnionego uytkownika Blokada dla Podstawionego Access Point Autoryzowany Uytkownik z dostepem do Baz Danych Uytkownik autoryzowany Record Data Host IPS (CSA) i Cisco Identity Based Network Admiss Control (NAC) Networking Services (IBNS) Wykrycie i izolacja Zainfekowanych uytkowników Uwierzytelnienie i autoryzacja dostpu do sieci i okrelonych zasobów Cisco Catalyst Integrated Security Ochrona przed atakami w Sieci LAN Man-in-the-Middle DHCP Server Spoofing IP Address Spoofing 15

16 Komponet NAC - Cisco Security Agent Rozwizanie HIPS nowej generacji Ochrona serwerów i stacji roboczych Wykrywa i uniemoliwia dokonanie naduycia Unikalna analiza zachowa chroni przed znanymi jak i nieznanymi zagroeniami Ochrona m.in. przed: Mydoom W32.Blaster Fizzer Bugbear Sobig.E SQL Slammer Sircam.A CodeRed Nimda W32.Netsk I wieloma innymi, BEZ update ów sygnatur! 16

17 Funkcje CSA Adresuje zagroenia day-zero Obnia koszty zwizane z atakiem Eliminuje kwestie zwizane z niedostpnoci systemów Obnia obcienia zwizane patch owaniem mały wpływ na wydajno stacji Obnia koszty zwizane z odtworzeniem danych Inwentaryzacja oprogramowania Okrelenie polityki i zdalne blokowanie konkretnych aplikacji na stacji uytkownika 17

18 NAC aplikacje... Cisco Systems Cisco Security Agent & Cisco Trust Agent NAI / McAfee VirusScan 7.x, 8.0i integration Symantec Enterprise Development Alliance Program Trend Micro IBM OfficeScan & Control Manager integration Tivoli integration in progress Computer Associates Signed agreement Microsoft Signed agreement 18

19 Koszty alternatywne w technologiach zabezpiecze Uzupełniajce si mechanizmy, Ograniczone moliwoci rozwoju Firewall Usługi IPS Usługi Network AV Usługi IPSec/SSL VPN Usługi Usługi kontroli dostpu Inspekcja pakietów Walidacja protokołów Precyzja egzekwowania polityki Szeroki zakres wykrywanych ataków Precyzyjna inspekcja pakietów Kontrola aplikacji Dynamiczna reakcja na zdarzenie Ochrona antywirusowa Spyware, Adware, Malware- Wykrywanie i kontrola Ochrona przed wrogim kodem SSL VPN IPSec VPN Zarzdzanie uytkownikami Zarzdzanie grupami Klastrowanie Ataki na dostp do danych Naduycia w sesjach L4 Skanowanie portów Tworzenie wrogich pakietów Ataki w L7 DOS Znane ataki Ruch tunelowany Ograniczona ochrona Zainfekowany ruch Wiele oddzielnych osług x Wiele lokalizacji = Koszty alternatywne w bezpieczestwie 19

20 Adaptacyjna ochrona przed zagroeniami Konwergencja usług umoliwia tworzenie bardziej efektywnych zabezpiecze Kontrola dostpu, inspekcja pakietów Usługi typu Firewall wiadomo aplikacji, inspekcja treci, powstrzymywanie wirusów Usługi IPS oraz AV Identyfikacja, wirtualizacja, QoS segmentacja, Network Intelligence Cisco Router CSA Cisco DDoS Catalyst VPN VPN Access Cisco Router Catalyst PIX Identity-Based Networking NAC CSA Quarantine VLAN Cisco IPS CSA 20

21 Przedstawiamy Cisco Adaptive Security Appliances Adaptacyjna ochrona przed zagro eniami Inspekcja Inspekcja warstwy warstwy aplikacji aplikacji,, kontrola kontrola WWW,granularna WWW,granularna polityka polityka Bezpiecze Bezpiecze stwo stwo aplikacji aplikacji Obrona Obrona przed przed oprogramowaniem oprogramowaniem typy typy malware malware,, wykrywanie wykrywanie anomali anomali Drobiazgowa Drobiazgowa kontrola kontrola ruchu, ruchu, proaktywna proaktywna reakcja reakcja Granularna Granularna kontrola kontrola ruchu ruchu Ochrona Ochrona Anti-X Anti-X Catalyst CSA Cisco Router Cisco DDoS VPN Cisco Router VPN Access Catalyst Quarantine VLAN NAC CSA PIX Identity-Based Networking Cisco IPS The Cisco ASA 5500 Series CSA 21

22 Seria Cisco ASA 5500 Konwergencja usług,wydajno,połczenie sprawdzonych na rynku technologii Znane Technologie Adaptive Threat Defense, Secure Connectivity Technologie Firewall Cisco PIX Bezpieczestwo aplikacji Technologie IPS Cisco IPS Ochrona Anti-X Technologie NW-AV Cisco IPS, AV Technologie VPN Cisco VPN 3000 Granularna kontrola ruchu Inteligencja sieci Cisco Network Services IPSec i SSL VPN 22

23 ASA 5500 Najwysza wydajno, maksymalne bezpieczestwo Rezultaty testów przeprowadzonych przez firm Miercom Miercom porównał ASA 5520, Netscreen 208, Checkpoint NGX oraz Fortinet 1000 Rezultaty obejmujce ASA 5500: Wysza wydajno ASA pobiła wszystkich konkurentów w kadym ze scenariuszów Ponad szeciokrotnie wiksza przepustowo przy jednoczenie testowanych usługach IPS/Firewall 3x wiksza przepustowo dla sieci VPN 4x wicej jednoczesnych połcze ni u najmocniejszego rywala Wyszy poziom zabezpiecze zatrzymuje wicej zagroe ni konkurencja ASA podczas testów zatrzymała 100% ataków konkurencja rednio około 30-40% 23

24 Cisco ISR Routers and ASA 5500 Series Elastyczno w bezpieczestwie i sieciach VPN Adaptive Security Appliance Dla preferujcych dedykowane urzdzenia zwizane z bezpieczestwem Udostpnia najnowsze technologie z dziedziny zapobiegania zagroeniom Bogatszy zestaw funkcji dla sieci VPN typu remote-access Mniejsza złoono licencjonowania oprogramowania dziki specjalizacji Integrated Services Routers Dla preferujcych rodowisko IOS Dostarcza najnowsze technologie bezpieczestwa zintegrowanego z platform routujc Bogaty zestaw funkcji dla sieci VPN typu site-to-site Zwiksza efektywno inwestycji ponoszonej na platform sieciow o ogólnym zastosowaniu Rozwizania dopasowane do kadego klienta 24

25 SAFE ~ Jak poskłada to wszystko w cało? Zbiór najlepszych praktyk zwizanych z implementowaniem zintegrowanych zabezpiecze sieciowych Pozycjonowany dla: Duych przedsibiorstw Małego biznesu Sieci typu IPSec VPN Rozwiza głosowych Rozwiza bezprzewodowych Handlu elektronicznego Rozwiza warstwy drugiej 25

26 26