Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Transkrypt

1 Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

2 Agenda Gdzie jesteśmy? Gdzie idziemy? Q&A 2

3 Gdzie jesteśmy? 3

4 Mamy wszystko... 4

5 5

6 DDoSy się kupuje Własny botnet za 100$ sztuk PC w zestawie! Nie trzeba wychodzić z domu! 6

7 Choć Polska nie jest zbyt wysoko... 7

8 Ile spamu da się wysłać dziennie? Ilość spamu/dziennie 0 1E+10 2E+10 3E+10 4E+10 5E+10 6E+10 7E+10 Srizbi Bobax Rustock Cutwail Storm 8

9 Sprawiedliwość zwycięży! DarkMarket zapewniał miejsce do oficjalnych spotkań i wymiany kradzionych dokumentów tożsamości i numerów kart kredytowych w wysokiej klasy warunkach biznesowych. W szczycie miał ponad 2500 użytkowników [ ] 9

10 10

11 Gdzie idziemy? 11

12 Dobry pakiet zły pakiet Systemy firewall, filtry pakietów i systemy wykrywania intruzów mogą napotkać problemy w odróżnieniu ruchu złośliwego od przyjaznego. Aby ułatwić podejmowanie tego typu decyzji, definiuje się nową flagę bezpieczeństwa znaną również jako bit zła. Bit zła ustawiony w nagłówku IPv4 [RFC791] na 1 oznacza pakiet wrogi. Bit zgaszony pakiet przyjazny. RFC The Security Flag in the IPv4 Header 12

13 13

14 Co obejmuje SAFE? Zarządzanie Brzeg WAN Oddział LAN/Campus Extranet WAN Partner Szkielet Brzeg Internetu Zdalny pracownik Data Center Internet E-Commerce SensorBase 14

15 Najlepsze praktyki na brzegu sieci Zanim zaakceptujesz pierwszy pakiet danych... Uwierzytelnij klienta Architektura NAC, standard 802.1x Zapewnij separację klientów w sposób możliwie bezpieczny Tradycyjna sieć LAN Private VLAN/Private VLAN Edge eć WLAN SSID oraz szyfrowanie eci IP mechanizm VRF oraz i mechanizmy per-vrf takie jak statefull firewall, IPsec, IPS, telefonia IP eci agregacyjne tunel VPN (IPsec/SSL), sesje PPPoE/A 15

16 Najlepsze praktyki na brzegu sieci Obsługa ruchu od klienta Odfiltruj ruch który jest ewidentnie sfałszowany... unicast Reverse Path Filtering Cable source verify DHCP IP source guard/dhcp snooping 16

17 Najlepsze praktyki na brzegu sieci Obsługa ruchu od klienta...a ruch akceptowany, postaraj się zidentyfikować 17

18 Platformy SCE SCE porty GE, do 40 tysięcy klientów i miliona sesji SCE porty GE, do 80 tysięcy klientów i miliona sesji SCE /4 porty 10GE, do 250 tysięcy klientów i 8 milionów sesji 18

19 SCE scenariusze wdrożeniowe Tradycyjna sieć LAN Dostęp Dystrybucja SCE w warstwie agregacji jako zaawansowana kontrola ruchu użytkowników Szkielet Rozliczanie ruchu per-klient wra z gotowymi, bogatymi raportami Dystrybucja Dostęp WAN CPD Internet 19

20 DDoS Atak dużej skali Jak duża jest duża wystarczająco? Przeciętnie 1300 ataków DDoS dziennie, w sieci 68 dużych operatorów na świecie Ataki >40Gbit/s zdarzają się coraz częściej, nadal większość poważnych oscyluje pomiędzy 10 a 20Gbit/s 20

21 Skalowalnie ochrony - usługa DNS IP Anycast /32 klienci Do / /32 via / / /32 via /32 klienci klienci /32 Do

22 Skalowalnie ochrony - usługa DNS IP Anycast /32 klienci / /32 via / / /32 via /32 klienci klienci /32 Do

23 Gdzie idziemy ale tak naprawdę? 23

24 Cloud computing, cloud security... Faza 1 Faza 2 Faza 3 Faza 4 Chmurka wewnętrzna Prywatne chmurki Interchmurka (federacja) Tradycyjne Centra Przetwarzania Danych Wirtualna prywatna chmurka Inter-Cloud Chmurka publiczna Chmurka publiczna (ale hybrydowa) Publiczna chmurka tu......i inna publiczna tutaj Dzisiaj

25 Wdrażanie ptrzetwarzania chmurkowego V V V V V V V V Database A co z moim V V V V V V V V Virtual Desktops Custom Web bezpieczeństwem? 25

26 Problem #1: Mobilność maszyn wirtualnych widzisz 26 26

27 Problem #1: Mobilność maszyn wirtualnych widzisz a teraz nie 27 27

28 Problem #2: nie ma statycznych barier Stary brzeg sieci był statyczny 28

29 Problem #2: nie ma statycznych barier Dzisiaj brzeg sieci jest wszędzie 29

30 Problem #3: Bezpieczeństwo VM PRZED Sprzęt jest fizyczny Okablowanie Routery i przełączniki Serwery Dyski i macierze Pamięć i procesory Obudowa Bezpieczeństwo fizyczne PO????? Sprzęt jest wirtualny Jak obejrzeć sieć? Gdzie jest ta VM? Czy to ona jest teraz migrowana? Gdzie jest polityka bezpieczeństwa? Czy ta konkretna jest załatana? Czy hypervisor jest bezpieczny? Kto odpowiada za bezpieczeństwo? 30

31 The Cisco SenderBase Network Ponad 45mld zapytań dziennie Ponad 150 różnego rodzaju parametrów opisujących pocztę i ruch WWW 34% światowego ruchu Urządzenia Cisco Połączenie baz poczty i WWW Korelacja danych z poczty i WWW drastycznie zwiększa dokładność 80% spamu zawiera URLe Poczta elektroniczna jest nadal głównym sposobem rozpowszechniania malware Cisco IronPort IronPort SenderBase Cisco IronPort WEB 31

32 Cisco ScanSafe 32

33 Q&A Łukasz Bromirski, 33

34