Symantec Endpoint Security dla przedsiębiorstw. Arkadiusz Lewandowski

Transkrypt

1 Symantec Endpoint Security dla przedsiębiorstw Arkadiusz Lewandowski

2 Plan spotkania Symantec i Sygate Zgodność Endpoint Network Access Control System zapobiegania włamaniom na serwer 2

3 Informacje o Symantec i Sygate Sygate to: najbardziej nowoczesna, najwyższej klasy technologia ponad 400 klientów na całym świecie ponad 140 klientów w regionie EMEA 3

4 Funkcje ochrony IDS Zapora tradycyjna zapora typu desktop Zarządzanie przedsiębiorstwem NAC Polityki adaptacji IPS Zapora Sygate Secure Enterprise Zarządzanie przedsiębiorstwem HIPS Urządzenie NAC Polityki adaptacji IPS Zapora Sygate Enterprise Protection 5.0 Ochrona systemu operacyjnego Ochrona przepełnienia bufora Kontrola dostępu do plików/rejestrów Kontrola wykonania procesu Kontrola urządzeń peryferyjnych Środowisko DHCP Integralność serwera IF...THEN...ELSE Obsługa protokołu bezprzew x Cisco NAC Wykrywanie sieci bezprzew. Warunki AND...OR...NOT IDS/IPS oparty na sygnaturze Zapora typu desktop 4

5 Schemat integracja Symantec Antyprzestęp. Zintegrowany produkt Symantec Antyszpieg. Symantec Sygate Enterprise Protection 5.1 Antywirus. Symantec AntiVirus Zarządzanie Symantec Client Security SAV 2 konsole administracyjne SAV Polityki adaptacji IDS Zapora Zarządzanie przedsiębiorstwem Wymuszanie Integ. serwera Ochrona SO Polityki adaptacji IDS Zapora Enterprise Management Wymuszanie Integ. serwera Ochrona SO Polityki adaptacji IDS Zapora 5

6 Elementy SEP Protection Agent Wykonuje całą pracę Windows 2000 & XP Policy Manager Definiuje i wdraża politykę Zbiera rejestry i raporty Windows 2003 Server Enforcer LAN, DHCP, Brama Redhat Linux, urządzenie 6

7 Projekty NAC w przedsiębiorstwie Kierownik ds. zabezpieczeń Usługa typu desktop Usługa sieciowa Naprawa statusu zgodności Wymuszanie sieci Segregacja sieci Sprawozdawczość Monitorowanie- Zarządzanie 7

8 SEP Architektura Enterprise Wdrożenie Enterprise Zintegrowane przełączanie zasobów Zintegrowanie bilansowanie obciążenia Replikacja wieloośrodkowa Zarządzanie Enterprise Wiele domen (dla dostawców usług) Wielu administratorów Ograniczone prawa użytkowania Funkcje Enterprise Centralne rejestrowanie i sprawozdawczość Integracja w katalogach 8

9 Sprawdzanie statusu zgodności jeszcze łatwiejsze Wstępnie zdefiniowane testy Oprogramowanie antywirusowe Osobiste zapory Oprogramowanie antyszpiegowskie Pakiety serwisowe Poprawki Szablony Testy autorstwa Sygate 9

10 Sprawdzanie statusu zgodności Zaawansowana logika Drzewo podejmowania decyzji Logika IF.. THEN Sprawdzanie pliku Data, wiek, rozmiar, wersja, istnienie, suma kontrolna, zakończenie pobierania Sprawdzanie systemu operacyjnego Wersja, język, pakiet serwisowy, poziom poprawek, uruchamianie usług, uruchamianie programów Sprawdzanie rejestrów Klucz istnieje, wartość istnieje, wartość jest równa Narzędzia Ustawianie klucza rejestru, zwiększanie wartości rejestru, zapisanie godziny, uruchomienie programu, uruchomienie skryptu, wyświetlenie dialogu 10

11 Zgodność antywirusowa Wstecz 11

12 Zgodność poprawek Wstecz 12

13 Zgodność zapory Wstecz 13

14 Automatyczne wymuszanie Przełączenie na politykę kwarantanny w razie niepomyślnego wyniku testu integralności serwera Stosowanie specjalnych zasad zapory w celu ograniczenia dostępu 14

15 SNAC Systemy otwarte zwiększają wydajność Wszystko jest podłączone Każdy może się połączyć Wszystko może się połączyć Systemy otwarte to ryzyko Robaki rozprzestrzeniają się błyskawicznie Dane wrażliwe w postaci cyfrowej Jak zyskać większą kontrolę? Jaka maszyna łączy się z moją siecią? Czy ta maszyna jest zgodna? 15

16 Network Access Control Test zgodności Integralność serwera Test tożsamości Realizacja Weryfikacja zgodności Weryfikacja tożsamości Zezwolenie na dostęp Automatyczna naprawa Zmniejszenie kosztów Zwiększenie dostępności 16

17 802.1x podstawowa idea Uwierzytelnienie użytkownika zanim włączy się on do sieci Wirtualna sieć LAN (VLAN) Nie każdy użytkownik musi mieć dostęp do całej sieci. 1. Uwierzyt. żądania przełącznika 3. Przełącznik pyta serwer RADIUS 2. PC wysyła nazwę użytkownika/ hasło Extensible Authentication Protocol (EAP) 4. Serwer RADIUS mówi przełącznikowi, co ma robić 802.1x idea Sygate 1. Uwierzyt. żądania przełącznika 3. Przełącznik pyta LAN Enforcer 2. Agent Sygate wysyła informację o IS + ID klienta 4. LAN Enforcer mówi przełącznikowi, co ma robić 17

18 802.1x idealne połączenie Serwer RADIUS Uwierzytelnienie żądania Konfiguracja Wysyłający Agent Sygate LAN Enforcer + Policy Manager 18

19 Komponenty Cisco NAC i schemat podejmowania decyzji 1. Poszczególne agenty informują o statusie 2. CTA przesyła do ACS 3. ACS sprawdza skonfigurowaną wersję polityki dla każdej polityki Agent A-W Agent Z Agent SO Agent Cisco Trust Serwer ACS Serwer A-W Serwer Z Serwer SO 4. Ustawienie ACL dla urządzenia 19

20 Sygate upraszcza CNAC Wstecz 1. Poszczególne agenty informują o statusie Agent Sygate 2. CTA przesyła do ACS Agent Cisco Trust 3. ACS sprawdza skonfigurowaną wersję polityki dla każdej polityki Serwer Cisco ACS 4. Ustawienie ACL dla urządzenia 20

21 Guest Enforcement with On-Demand Gateway Enforcement Produkcyjna sieć VLAN Gateway Enforcer API NAC Gościnna sieć VLAN lub Internet Systemy bez agenta otrzymają agenta na żądanie opartego na Javie Można łatwo zintegrować z technologią Captive Proxy 21

22 Symantec Network Access Control 802.1x Wymuszanie LAN Wstecz Symantec Policy Manager Ethernet 802.1x NAC Przełącznik przekazuje LE Podłączony użytkownik System przesyła NAC i dane użytkownika przez EAP LE sprawdza login użytkownika Serwer RADIUS Symantec LAN Enforcer Sieć kwarantanny LAN Enforcer łączy system z siecią korporacyjną lub kwarantanny Serwer poprawek kwarantanny 22

23 Symantec Network Access Control SSL i wymuszanie aplikacji sieciowej Wstecz Użytkownik mobilny SSL VPN NAC na żądanie Użytkownik domowy Aplikacja sieciowa Partner lub dostawca NAC na żądanie System kontaktuje się z VPN lub aplikacją SODP pobierane do klienta Status polityki jest zgłaszany VPN lub aplikacji Applet Javy wykonuje test systemu Powodzenie udzielony zostaje dostęp do sieci Niepowodzenie użytkownik otrzymuje informację, jak uzyskać zgodność Opcjonalnie do systemu jest dostarczana aplikacja ochrony danych 23

24 Symantec Network Access Control Rozwiązanie DHCP NAC zgodność Dalej Sieć bezprzewodowa Użytkownicy mobilni Serwer DHCP DHCP Enforcer Przełącznik ethernetowy Podłączony użytkownik Nieznany system przesłać filtry trasowania lub adres kwarantanny Żądanie DHCP Trasowanie coś Poszukiwanie agenta i statusu polityki Start/odnowienie zwolnienia w przypadku pozytywnego wyniku Zgodność wysłać zwykły adres Żądanie DHCP

25 Symantec Network Access Control Wymuszanie DHCP brak zgodności Wstecz Sieć bezprzewodowa Użytkownicy mobilni Serwer DHCP DHCP Enforcer Przełącznik ethernetowy Podłączony użytkownik Serwer naprawczy Nieznany system przesłać filtry trasowania Poszukiwanie agenta i statusu polityki Żądanie DHCP Trasowanie coś Podjęcie działań naprawczych w razie niepowodzenia Wykonanie działań naprawczych Start/odnowienie zwolnienia w przypadku pozytywnego wyniku Zgodność usunąć filtry trasowania Żądanie DHCP

26 Symantec Sygate Enterprise Protection Symantec Sygate moduły oprogramowania Sygate Enterprise Protection Policy Manager Agent bazowy Zgodność Endpoint dla SEP Sygate Network Access Control Policy Manager Opcje wymuszania NAC Centralnie zarządzana zapora IDS Polityki adaptacji HIPS Autowymusza nie dla SEP LAN DHCP Brama Ochrona Wymuszanie 26

27 Adaptacja Polityk Grupy (komputer lub użytkownik) Administrator a dyrektor ds. sprzedaży Serwer a laptop Import z LDAP Synchronizacja z AD lub LDAP Lokalizacje Biuro a publiczny hotspot LAN a sieć bezprzewodowa Automatyczne przełączanie lokalizacji Agent wykrywa ustawienia sieci Interakcja użytkownika niewymagana Stosuje się do wszystkich ustawień Polityki Tryb kontroli klienta Serwer, użytkownik, mieszany (użytkownik zaawansowany) 27

28 Zapora osobista Blokowanie połączeń wychodzących/przychodzących Ochrona na poziomie napędu Zasady są kombinacją zasad dla: aplikacji, serwera, interfejsu, protokołu godziny / wygaszacza ekranu Logowanie Przykład Ruch Rejestr pakietów Inteligentne zasady dopuszczające podstawowe usługi Przykład Możliwość blokowania ruchu, kiedy zapora nie działa Przykład Kontrola dostępu użytkownika do interfejsu użytkownika (GUI) Przykład 28

29 Logowanie zewnętrzne Wstecz 29

30 Centralne zbieranie rejestrów i zdarzeń Wstecz 30

31 Reguły zapory Wstecz 31

32 Blokowanie ruchu, jeśli agent nie pracuje Wstecz 32

33 Ochrona hasłem agenta GUI Wstecz 33

34 Zapobieganie włamaniom Konfigurowalny IDS włączony do reguł zapory Wykrywanie i zapobieganie atakom typu Denial of Service Wykrywanie skanowania portów Wykrywanie ataków typu Application Hijacking Blokada wykrytych intruzów przez zdefiniowany okres Przykład Biblioteki zapobiegania włamaniom oparte na Snort Przykład Wykrywanie trojanów Sygnatury oparte na ruchu w sieci Zapora: blokowanie ruchu Ochrona systemu operacyjnego: zabicie procesu Ochrona przed przepełnieniem bufora Przykład Technologia NX (No Execute) Emulacja oprogramowania firmy Intel / technologii AMD NX Wyłącznie kontrola stosu 34

35 Wysoce konfigurowalny system wykrywania włamań (IDS)Wstecz 35

36 Biblioteki zapobiegania włamaniom oparte na Snort Wstecz 36

37 Ochrona przepełnienia bufora Wstecz 37

38 Ochrona SO na poziomie systemu Przejmuje wywołania API Monitorowanie i kontrola dostępu Pliki Rejestry Procesy Nośniki wymienne Szablony Przykład Ochrona SO na poziomie urządzenia Blokuje urządzenia łączące się z komputerem typu desktop Blokuje po ID urządzenia Przykład Blokuje wszystkie urządzenia USB z wyjątkiem HID (Human Interface Device) 38

39 Standardowe szablony ochrony systemu operacyjnego 39

40 Zasady ochrony systemu operacyjnego Wstecz 40

41 Blokada urządzenia Wstecz 41

42 Uwierzytelnianie aplikacji Wstecz 42

43 System wyłączania usług Dopuszcza wyłącznie zatwierdzone aplikacje Sumy kontrolne Pliki wykonywalne (exe, com) Biblioteki (dll, OCX) Nieznane aplikacje nie uruchamiają się Dwuetapowa implementacja Rejestruje wyłącznie nieuprawnione aplikacje Umożliwia wyłączenie usług w systemie 43

44 System wyłączania usług Wstecz 44

45 Dziękujemy Pytania