Bezpieczna mobilność rozwiązania WatchGuard Technologies. Jerzy Zaczek, Marcin Klamra 23 Listopada 2012, Kraków

Transkrypt

1 Bezpieczna mobilność rozwiązania WatchGuard Technologies Jerzy Zaczek, Marcin Klamra CCNS SA 23 Listopada 2012, Kraków

2 Agenda Problemy (z) mobilności(ą) Bezpieczny zdalny dostęp Rozwiązania WatchGuard Usługi

3 Mobilność Urządzenia mobilne są powszechnie wykorzystywane do wypełniania codziennych zadań. Z tego powodu konieczne jest chronienie tych urządzeń. Sama ochrona tych urządzeń to nie wszystko, należy chronić także sieć przed nimi.

4 BYOD 15% Nidgy 42% 10% 5% 5% Kilka razy w roku Raz czy dwa w miesiącu Kilka razy w miesiącu 22% Większość czasu Codziennie Jak często Polacy używają prywatnego sprzętu do celów służbowych? (źródło: opracowanie własne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)

5 BYOD 33% 14% 3% 26% Inne Nie chcę uzywać własego sprzętu Pracuję efektywniej 24% Mam dostęp do ulubionych aplikacji Prościej mieć mniej urządzeń Główny powód wykorzystania prywatnego sprzętu w pracy. (źródło: opracowanie własne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)

6 BYOD 2% 12% Inne 50% 36% Sądowe i wizerunkowe konsekwencje naruszenia firmowej polityki Kradzież lub utrata danych, zagrożenia/ataki Strata czasu na prywatne zajęcia w czasie pracy Jakie zdaniem pracowników stwarzają oni zagrożenie poprzez stosowanie prywatnych urządzeń do celów służbowych? (źródło: opracowanie własne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)

7 BYOD 20% TAK 80% Czy naruszysz/naruszyłeś zakaz używania urządzeń prywatnych jeśli polityka firmy zabrania tego? (źródło: opracowanie własne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)

8 BYOD Używanie platform mobilnych to wiele zagrożeń: Problemy zero-day w ios. Wysyp Malware w Google Play. Botnet y dla Symbiana. Hakowanie RIM w Blackberry. Miliony smartfonów przejętych przez złośliwy kod. Atak na autentykację SMS - Zeus

9 BYOS Pracownicy chcą korzystać ze znanych im usług: Dropbox Gmail Google Docs Facebook Twitter Skype Gadu-Gadu Tlen

10 BYOS Musisz wiedzieć: Co użytkownicy i urządzenia robią w sieci? Kto z zewnątrz próbuje uzyskać dostęp? Przeprowadzane i skuteczne ataki? Jakie urządzenia zostały zainfekowane? Jak do tego doszło? Co wykonywały po zarażeniu?

11 BYOS Polityki bezpieczeństwa bazujące na tożsamości:

12 BYOS Szczegółowy monitoring (Visibility means Security)

13 BYOS Wykrywanie nieautoryzowanych sieci wifi: Nieustanne skanowanie eteru. Wyszukiwanie obcych sieci. Powiadamianie administratora a b g n.

14 BYOS IP over DNS: Próba zestawiania tunelu VPN (OpenVPN) na porcie 53. Proxy filtrujące. Tunelowanie ruchu IP w zapytaniach DNS. Przykładowe rozwiązanie: NSTX. Stworzone w celu korzystania z płatnych sieci bezprzewodowych na lotniskach itp. Monitorowanie: Visibility means Security.

15 BYOS IP over DNS:

16 BYOS IP over ICMP: Tunelowanie ruchu w komunikatach ICMP (echo-request, echo-replay). Przykładowe rozwiązanie ICMPTX. Stworzone w celu korzystania z płatnych sieci bezprzewodowych na lotniskach itp. Ping Tunnel tuneluje TCP w ICMP. Monitorowanie: Visibility means Security. IP over anything?!

17 BYOS IP over ICMP:

18 Bezpieczny zdalny dostęp

19 Trends Driving Adoption of SSL VPN Rozproszona sieć Mniejsze nakłady, większe oczekiwania Rozwój sieci i technologii Wzrost kosztów operacyjnych Wymóg zgodności Kiedykolwiek, gdziekolwiek dostęp z dowolnego urządzenia Praca zdalna Brak raportowania i monitorowania Wymagania dotyczące raportowania Dostęp do zasobów określany per użytkownik Nowe usługi i aplikacje Oprogramowanie klienckie podnosi koszty Zdalne zagrożenia i podatności Rozwój platform

20 Użytkownicy posiadają dostęp do zasobów i usług kiedykolwiek i gdziekolwiek Uniwersalny dostęp Wysoka jakość autentykacji Dokładnie weryfikowana tożsamość użytkownika przed przyznaniem dostępu do zasobów Usługi i zasoby wyświetlane są tylko użytkownikom z uprawnieniami Zasoby dopasowane do użytkownika Ochrona maszyny użytkownika Weryfikacja stanu urządzenia użytkownika przed przyznaniem dostępu do zasobów

21 WatchGuard SSL

22 The challenge Wygoda i produktywność Dostęp z dowolnych urządzeń kiedykolwiek i gdziekolwiek: Dostęp z wykorzystaniem dedykowanego klienta i bez niego. Wsparcie dla typowych tuneli i pracy w trybie kiosk.

23 Redukcja kosztów Wszystko w jednym urządzeniu. Centralne zarządzenie regułami dostępu Łatwość konfigurowania WatchGuard reguł solution dostępu Przypisywanie reguł dostępu do zasobów w jednym kroku Centralne zarządzenie mechanizmem SSO Easeof-Use Raz tworzysz domenę SSO i możesz ja wielokrotnie wykorzystywać dla wielu zasobów Łatwość w zarządzaniu zasobami Prostota w zarządzaniu dostępnymi zasobami Intuicyjny interfejs Oszczędność czasu i minimalizacja ilości błędów

24 Niezawodna autentykacja Integracja istniejących systemów autentykacji. Dwustopniowa autentykacja z wykorzystaniem haseł jednorazowych wysyłanych na telefon komórkowy.

25 Raportowanie i wygodny dostęp

26 SSL górą Źródło: Info-Tech Research Group. Vendor Landscape: Secure Socket Layer Virtual Private Network (SSL VPN). Sierpień 2011.

27 Rozwiązania sprzętowe

28 Czym jest XTM extensible Protection Filtracja HTTPS, bezpieczeństwo VoIP, TCP/UDP proxy, Application Control, kontrola dostępu na bazie tożsamości, globalne raportowanie, 8 proxy filtrujących, ochrona przed spamem, ochrona antywirusowa, IPS, VPN. extensible Management CLI, WebUI, GUI, zarządzanie wieloma urządzeniami z wykorzystaniem ról, clustering,ha/aa oraz HA/Active N, analiza wydajności. extensible Networking Capabilities Firewall warstwy 2 (przezroczysty), wsparcie dla ruchu multicast, przekierowanie HTTP, QoS, traffic shaping, VLAN, dynamiczny routing, MultiWAN, dostęp zdalny z wykorzystaniem IPSec, SSL i PPTP, Policy Based Routing, Server Load Balancing

29 Urządzenia XTM 25/25-W, XTM 26/26-W Przepustowość firewall a Mbps Przepustowość VPN Mbps Ilość jednoczesnych sesji od do Obsługa od 10 do 30 statycznych tuneli VPN IPSec Obsługa od 5 do 40 tuneli mobilnych IPSec Obsługa od 1 do 25 tuneli mobilnych SSL Separacja pięciu sieci fizycznych (tzw. EXTERNAL, TRUSTED i OPTIONAL) Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Zarządzanie ruchem i QoS Wersja z interface m bezprzewodowym n Opcjonalne oprogramowanie XTM Pro (Multi-WAN, SSL VPN) 29

30 Urządzenia XTM 33/33-W, XTM 330 Przepustowość firewall a 850 Przepustowość VPN od 100 Mbps do 150 Mbps Ilość jednoczesnych sesji Obsługa 50 statycznych tuneli VPN IPSec Obsługa od 5 do 55 tuneli mobilnych IPSec Obsługa 55 tuneli mobilnych SSL Separacja od 5 do 7 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster (XTM 330) redundantny tryb pracy dwóch urządzeń 30

31 Urządzenia XTM 515, XTM 525, XTM 535, XTM 545 Przepustowość firewall a od 2 Gbps do 4,5 Gbps Przepustowość VPN od 250 Mbps do 750 Mbps Ilość jednoczesnych sesji od do Obsługa od 65 do 600 statycznych tuneli VPN IPSec Obsługa od 75 do 1000 tuneli mobilnych IPSec Obsługa od 65 do 600 tuneli mobilnych SSL Separacja do 7 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster redundantny tryb pracy dwóch urządzeń 31

32 Urządzenia XTM 810, XTM 820, XTM 830 Przepustowość firewall a od 3 Gbps do 5 Gbps Przepustowość VPN od 1 Gbps do 1,7 Gbps Ilość jednoczesnych sesji od do Obsługa od 1000 do 6000 statycznych tuneli VPN IPSec Obsługa od 600 do 8000 tuneli mobilnych IPSec Obsługa od 1000 do 6000 tuneli mobilnych SSL Separacja do 10 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster redundantny tryb pracy dwóch urządzeń 32

33 Urządzenie XTM 1050 Przepustowość firewall a 10 Gbps Przepustowość VPN 1,6 Gbps Ilość jednoczesnych sesji od Obsługa 7000 statycznych tuneli VPN IPSec Obsługa tuneli mobilnych IPSec Obsługa tuneli mobilnych SSL Separacja do 16 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster redundantny tryb pracy dwóch urządzeń 33

34 Urządzenie XTM 2050 Przepustowość firewall a 20 Gbps Przepustowość VPN 1,6 Gbps Ilość jednoczesnych sesji od Obsługa statycznych tuneli VPN IPSec Obsługa tuneli mobilnych IPSec Obsługa tuneli mobilnych SSL Separacja do 18 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster redundantny tryb pracy dwóch urządzeń 34

35 SSL VPN Gateway Urządzenie SSL VPN jest łatwym w użyciu, kompletnym, oferującym wiele funkcjonalności, charakteryzującym się niską ceną rozwiązaniem przeznaczonym dla małych i średnich organizacji. Urządzenie all-in-one Mnogość sposobów autentykacji Różne metody dostępu Ochrona maszyn klienta i infrastruktury Bardzo szybkie i łatwe wdrożenie. Zawiera wszystkie elementy. Nie ma konieczności dokupowania dodatkowego oprogramowania. Prostota nawet autentykacja może być lokalna. Możliwość integracji z istniejącym systemem autentykacji. Generowanie haseł programowo i poprzez SMS dla dwustopniowej autentykacji. Elastyczność dostępu: z wykorzystaniem dedykowanego klienta programowego oraz bezpośrednio przez przeglądarkę. Wsparcie dla systemów Linux, Mac OS, Windows (także Vista i 7). Sprawdzian systemu operacyjnego, poprawek, ochrony antywirusowej. Czyszczenie maszyny klienta przy zakończeniu sesji, łącznie z czyszczeniem pamięci cache. Dokładna kontrola praw dostępu.

36 Urządzenia SSL 100, SSL 560 Obsługa odpowiednio do 100 i do 500 jednoczesnych kanałów transmisyjnych Usługa autentykacji. Portal z zasobami. Portal administracyjny. Logowanie i raportowanie. Dedykowane oprogramowanie dostępne dla systemów Linux, Windows i Mac OS. Możliwość dopasowania wyglądu portalu z zasobami, tak aby wyglądał spójnie z witrynami firmy. Urządzenie wyposażone jest w dysk twardy 80GB pozwalający na przechowywanie zasobów bezpośrednio na urządzeniu. 36

37 Czym jest XCS DLP Filtrowanie ruchu poczty oraz www. Kontrola załączników, czytanie dokumentów w locie, wyszukiwanie zabronionych zwrotów i wzorców, słowniki, znakowanie dokumentów, kontrola przesyłanych treści. Różnorodność akcji Blokowanie ruchu, przesyłanie kopii ruchu do osoby odpowiedzialnej, kwarantanna, szyfrowanie ruchu w locie, usuwanie fragmentów przesyłanych treści, przekierowanie transmisji. Ochrona ruchu www oraz poczty Ochrona antywirusowa, antymalware (do wyboru dwa programy antywirusowe), ochrona bazująca na reputacji (Reputation Enabled Defense), ochrona antyspamowa, DLP dla ruchu poczty oraz www.

38 Urządzenia XCS 170, 370, 570 Ochrona poczty i www. Od 250 do 1000 użytkowników. Od do wiadomości na godzinę. WebMail. Filtrowanie zawartości. Analiza kontekstowa. Data Loss Prevention. Replikacja kolejek pocztowych. Klastrowanie urządzeń. Centralne zarządzanie.

39 Urządzenia XCS 770, 970, 1170 Ochrona poczty i www. Od 4000 do użytkowników. Od do wiadomości na godzinę. WebMail. Filtrowanie zawartości. Analiza kontekstowa. Data Loss Prevention. Replikacja kolejek pocztowych. Klastrowanie urządzeń. Centralne zarządzanie.

40 Rozwiązania wirtualne

41 Wirtualizacja to oszczędności

42 Problemy z przejściem na wirtualizację

43 Problemy z przejściem na wirtualizację

44 Rozwiązanie problemów

45 Rozwiązanie problemów

46 XTMv Wersja Rdzenie CPU Pamięć (GB) Ograniczenia Small Office 1 1 Medium Office 2 2 Large Office 8 4 Datacenter brak ograniczeń brak ograniczeń Przepustowość 200 Mbps 50 tuneli VPN połączeń Przepustowość 2,5 Gbps 600 tuneli VPN połączeń Przepustowość 5 Gbps 6000 tuneli VPN połączeń Przepustowość b. o tuneli VPN połączeń

47 XCSv Wersja Rdzenie CPU Pamięć (GB) Interfejsy sieciowe Sesje SMTP Ilość użytkowników Small Office Medium Office Large Office Datacenter

48 O firmie WatchGuard

49 O firmie WatchGuard Założona w 1996 roku. Pionier sprzętowych rozwiązań bezpieczeństwa. Siedziba w Seattle, ponad 400 pracowników. Ponad urządzeń dostarczonych klientom na całym świecie Pioneered FIRST security appliance FIRST to integrate proxybased packet inspection on an appliance FIRST to incorporate UTM capabilities in a single appliance Acquired Borderware & launched XCS LEADER in Gartner MQ FIRST UTM to offer cloud-based defense (RED) LEADER in Gartner MQ second year running Launched Application Control Info-Tech UTM and SSL Champion and Visionary Launched virtual versions of core products

50 Wartość rozwiązań XTM lider rynku WatchGuard Q ($) Checkpoint SonicWall Fortinet McAfee Cisco $1500- $4,999 price band 0 5,000,000 10,000,000 15,000,000 20,000,000 Cisco McAfee Fortinet SonicWall Checkpoint WatchGuard Revenue ($) 8,875,931 11,462,110 12,013,490 13,586,026 14,167,306 17,025,836

51 Usługi

52 Usługi podstawowe Wdrażanie rozwiązań firmy WatchGuard Pomagamy przy projektowaniu i doborze zabezpieczeń sieci Asystujemy podczas procesu konfiguracji urządzeń Weryfikujemy poprawność konfiguracji klienta Autoryzowane szkolenia Posiadamy tytuł WatchGuard Certified Training Partner Prowadzimy szkolenia certyfikujące WCP 52

53 Wynajem bezpieczeństwa Tani dostęp do najnowszych technologii Wsparcie techniczne specjalistów w zakresie bezpieczeństwa Miesięczna opłata wynajmu Dwuletnia lub trzyletnia umowa Przedłużenie umowy na preferencyjnych warunkach Możliwość wykupienia urządzenia po upłynięciu okresu umowy na atrakcyjnych warunkach Możliwość rozbudowy funkcjonalności urządzenia w każdym momencie 53

54 Programy Trade-Up, Trade-In Wymiana starszego urządzenia firmy WatchGuard na rozwiązanie klasy XTM firmy WatchGuard na preferencyjnych warunkach Trade-Up. Wymiana podobnego *) urządzenia innego producenta na rozwiązanie klasy XTM firmy WatchGuard na preferencyjnych warunkach Trade-In. *) Urządzenie jest podobne, gdy jego podstawową funkcjonalność stanowi jedna z poniższych: zapora sieciowa (firewall), terminator tuneli VPN, filtr treści stron WWW, filtr antyspamowy, skaner antywirusowy, itp. 54

55

56 Dziękuję za uwagę!