Bezpieczestwo IT z punktu widzenia Rekomendacji D Robert Dbrowski, CISSP SE Fortinet 1 Copyright 2013 Fortinet Inc. All rights reserved.
rodowisko IT Edge Firewall (NGFW) Enterprise Campus Carrier/MSSP Firewall Cloud/Carrier Data Center Firewall (Core, Perimeter, VM) Data Center INTERNET Edge Firewall (NGFW) Branch Office Distributed Enterprise Client Firewall (VPN) Remote End Points Unified Threat Management (UTM) 2
rodowisko IT w SMB Pracownicy w głównej lokalizacji Zdalni pracownicy wymagający dostępu VPN Hostowane Data Center Technologie dostępowe:» Ethernet, Wireless, Voice Outsourcing IT Stały Security Budget Różnorodność środowiska sieci i bezpieczeństwa. 3
Wymagania bezpieczestwa przy zdalnym dostpie Rozproszone lokalizacje ze zdalnymi pracownikami Używane różne technologie WAN Połączenia VPN zagregowane do centralnego Data Center Wymagania dla Unified Threat Management (Firewall, AV, WF, WLAN controller) Technologie dostępowe:» Ethernet, Wireless, 2FA Brak personelu IT w lokalizacjach Wymagane zdalne zarządzanie wieloma urządzeniami. 4
Wymagania bezpieczestwa w strukturze rozproszonej Punkty sprzedaży z sytemami POS, które powinny być zabezpieczone Różne technologie WAN Połączenia VPN zagregowane do centralnego Data Center Wymagania dla Unified Threat Management (Firewall, AV, WF, WLAN controller) Technologie dostępowe:» Ethernet, Wireless, POS / Kiosk systems, Customer WiFi Access Zgodność z PCI Brak personelu IT w lokalizacjach 5
Model sieci w rozproszonym przedsibiorstwie Zarządzanie wieloma systemami bezpieczeństwa jest kosztowne i czasochłonne Internet Router Firewall Web Filtering Antivirus Wymaga doświadczenia w wielu dziedzinach Problematyczna współpraca z serwisem wielu producentów WAN Accelerator Switch AV Server Efektywność zabezpieczeń zmniejszona przez złożoność polityk i konfiguracji VPN WiFi 6
Zintegrowane zarzdzanie bezpieczestwem IT Konsolidacja pozwala zredukować koszty Proste i intuicyjne zarządzanie obejmuje wiele technologii bezpieczeństwa Internet App Control Wireless Antivirus Web Filtering WAN Opt Redukcja kosztów współpracy z dostawcami Uproszczone polityki bezpieczeństwa przy zwiekszonej efektywności FortiWiFi- UTM Firewall 7
Dopasowanie odpowiednich rodków ochrony MSSP Carrier Data Center Enterprise Distributed Enterprise (Branch) (Branch) (Campus) (Campus) SMB Product Range Key Hardware Options 20-90 Series 100-200 Series 300-600 Series 800-1000 Series 3000 Series Desktop Mid Range High End PoE, Switch, WiFi PoE, High Density GE High Density GE High Density GE, 10 GE 10 GE, 40 GE 5000 Series 8
Wykorzystanie zasobów implementowanych platform Security Updates Services & Licensing APIs Management Data Collection Data FortiGate Network Security Security Modules Specialized Network FortiOS Access Policy ASICs LAN WAN WIFI CLIENT 9
Trendy rozwoju wymaga w sieciach IT Trendy sieciowe» Konsolidacja, 802.11ac, zwiększona segmentacja, szybsze łącza Trendy bezpieczeństwa» Zgodność z regulacjami, zaawansowany malware Trendy technologii wsparcia sprzedaży» Kioski dostawców trzecich, analizy sprzedaży, dostęp goscinny WiFi, promocje w centrach handlowych BYOD, BYOA oraz inne trendy w technologiach mobilnych» Niezbędne jest monitorowanie i zarządzanie kontentem, aplikacjami, urządzeniami, wykorzystaniem pasma. 10
Efekt ruchu generowanego przez urzdzenia mobilne. Zmniejsza si redni rozmiar pakietów Zmienne wzorce ruchu Wiksza liczba pocze Wicej aplikacji wraliwych na opónienia (Voice, Video) Typ Ruchu Aplikacje Charakterystyka Instant Messaging ichat, SMS Sporadyczne mae pakiety VoIP Skype, FaceTime Cige mae pakiety Streaming YouTube, Pandora Cige due pakiety Social Networks Facebook, Twitter Sporadyczne mae pakiety Web Browsing Firefox, Chrome, Safari Sporadyczne due pakiety Cloud icloud, Dropbox Sporadyczne due pakiety Email Gmail, Outlook Sporadyczne due pakiety 11
Wymagania do zapewnienia zintegrowanego bezpieczestwa Dzisiejsze wymagania UTM FW/VPN IPS/App Control Web Filtering/Botnet Intelligence Advanced Threat Protection Vulnerability Scanning Security Updates Cloud Ready Cloud-based reporting & configuration mgmt Directory Integration Actionable Reporting 3 rd Party Ecosystem ATP High Performance Up to 3.5 Gbps FW Throughput Up to 1.7 Gbps IPS Up to 1.3 Gbps IPSec Compact Appliance Desktop form-factor Space Saving Flexible HA options Deployment Flexibility Wide range of interfaces High port density POE interfaces Configuration Wizard 12
In Action: Bezpieczny dostp przewodowy i bezprzewodowy w zdalnym oddziale Remote Office Data Center (Perimeter Firewall) FortiWiFi-90D Konsolidacja urządzenia dostępowego i bezpieczeństwa, połączenie do sieci WAN przedsiębiorstwa oraz ochrona użytkowników w zdalnej lokalizacji. Zoptymalizowane połączenie WAN w celu polepszenia komfortu pracy ze zdalnej lokalizacji. Zintegrowany, bezpieczny WLAN pokrywający do 280 m. kw. 13
In Action: Zarzdzanie bezpieczestwem zgodno z PCI Headquarters (Enterprise Campus) Retail Outlet FortiAnalyzer Non-PCI Network Segment PCI Network Segment Segment właścicieli kart oraz danych w tej samej strukturze fizycznej Centralne kolekcjonowanie i analiza logów Generowanie raportów zgodności dla sieci przewodowych i bezprzewodowych Raporty typu Drill down na użytek informatyki śledczej. 14
In Action: Zarzdzanie polityk bezpieczestwa Headquarters (Enterprise Campus) FortiManager Provisioning zdalnych użadzeń poprzez template y konfiguracji. Centralne polityki firewalli. Kontrola praw dostępu w przedsiębiorstwie Zapewnienie bezpieczeństwa treści (URL blacklisty, sygnatury, etc.) aktualizacje. Utrzymanie aktualnych wersji oprogramowania firewalli. Multiple FortiGate/FortiWiFi Devices 15
Narzdzia monitorowania i zarzdzania FortiAnalyzer Centralized Log & Reporting FortiManager Centralized Management FortiCloud Hosted Security Management & Log Retention 16 Also Available as Virtual Appliance
Weryfikacja tosamoci uytkowników wewntrznych oraz klientów. Strong Authentication and Authorization RADIUS and LDAP Authentication External LDAP integration Two-factor auth with hardware, mobile, SMS and e-mail tokens REST API 802.1X Port Access Control IEEE802.1X supporting EAP-TTLS, EAP-TLS, PEAP, EAT-GTC MAC address bypass Certificate Authority X.509 Certificate signing (CA) Certificate distribution via SCEP User Certificate binding Revocation Fortinet Single Sign On Active Directory Polling Single Sign-on Portal Embedded widgets FortiClient User ID Carrier RADIUS Integration 17
Zagroenia dla cigoci dziaania ataki DDoS Bulk Volumetric Application Layer Cloud Infrastructure Zaprojektowane aby wysycić pasmo internetowe lub zasoby serwerów (np. SYN, UDP, ICMP floods). Problemy: Usługi niedostępne dla użytkowników Mogą ukrywać kradzież danych Zwiększjące się rozmiary ataków Istnieją środki skutecznej ochrony Mniejsze, bardziej zaawansowane ataki sięgające warstwy aplikacji dla usług HTTP, SMTP i HTTPS. Problemy: Omijają tradycyjne środki ochrony Najszybciej rozwijający się typ ataku Trudne do wykrycia Łatwiejsze do zarządzania przez przestępców Nowoczesne ataki są wycelowane w elementy infrastruktury cloud np. firewalle, serwery mail czy web. Problemy: Skomplikowane wymagania ochrony Dotykają wielu klientów Kombinacje różnych ataków DDoS Konieczność ochrony wielu lokalizacji. 18
Ochrona przed atakami DDoS DDoS Service Provider Model usług zarządzanych z opcjami detekcji oraz ochrony. Za: Łatwa subskrypcja Łatwe uruchomienie Przeciw: Kosztowne Koszty trudne do przewidzenia Mała elastyczność Firewall/IPS Zintegrowane urządzenia firewall, IPS i DDoS. Za: Pojedyncze urządzenie Mniej elementów do zarządzania Przeciw: Brak wykrycia ataków L7 Może wymagać licencjonowania Duży wpływ na wydajność Dedicated Appliance Detykowane urządzenie w data center zapewniajace ochronę przed atakami DDoS w warstwie 3, 4 i 7. Za: Przewidywalne koszty Ochrona przed atakami w warstwie aplikacji. Przeciw: Dodatkowe urządzenie do zarządzania. Nie chroni przed atakami wolumetrycznymi Może wymagać aktualizacji sygnatur 19
Zapewnienie poufnoci i integralnoci, ochrona przed szkodliwym oprogramowaniem Hackerzy wykorzystuj masowo sieci botnet Obserwowany jest znaczny wzrost ataków DDoS w warstwie 7 atwa dostpno narzdzi do przeprowadzenia ataków przez Hacktivistów Skanery, crawlery zalewaj serwery webowe. Wiele zaifekowanych stacji klienckich Dominacja ataków SQL Injection/XSS Web Application Servers 20
Nowe podejcie do zapewnienia bezpieczestwa aplikacji Firewalle sieciowe wykrywaj ataki sieciowe Sprawdzaj IP i port IPS sprawdzaj ruch pod wzgldem sygnatur Moliwe jest ominicie sygnatur Brak ochrony dla ruchu SSL Brak rozumienia HTTP (nagówki, parametry, etc) Brak wiadomoci aplikacji Brak wiadomoci uytkowników Dua liczba false positive Network Firewall IPS/Deep Packet Inspection Firewalls FortiWeb Web Application Firewall Network layer (OSI 1-3) Application layer (OSI 4-7) Tylko Web Application Firewalle mog wykry i zablokowa ataki w warstwie aplikacji 21
OWASP Top 10 Standard zabezpieczenia aplikacji web WAF OWASP Top 10 Injection Cross-Site scripting Broken Authentication and session management Insecure Direct Object References Cross-Site Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Storage Failure to Restrict URL Access Insufficient Transport Layer Protection Unvalidated Redirects and Forwards Ochrona FortiWeb FortiWeb zapewnia wielowarstwową ochronę przed atakami wymieniamymi w OWASP Top 10 Pozytywne i negatywne modele bezpieczeństwa Bezpośrednia ochrona przed wieloma atakami Zaawansowane profile Auto Learn pomagają indentyfikować normalne zachowanie oraz zabezpieczyć przed nieuprawnionym dostępem do źle skonfigurowanych serwerów oraz referencjami do niebezpiecznych obiektów. Predefiniowane polityki DLP zabezpieczają przed przypadkowym wyciekiem danych. Zabezpieczenie przed cookie poisoning, zarządzanie sesjami i kontrola przepływów zabezpieczją przed atakami mającymi na celu ominięcie procesów uwierzytelnienia i autoryzacji. 22
23 Dziękuję