Bezpieczna mobilność rozwiązania WatchGuard Technologies Jerzy Zaczek, Marcin Klamra CCNS SA 23 Listopada 2012, Kraków
Agenda Problemy (z) mobilności(ą) Bezpieczny zdalny dostęp Rozwiązania WatchGuard Usługi
Mobilność Urządzenia mobilne są powszechnie wykorzystywane do wypełniania codziennych zadań. Z tego powodu konieczne jest chronienie tych urządzeń. Sama ochrona tych urządzeń to nie wszystko, należy chronić także sieć przed nimi.
BYOD 15% Nidgy 42% 10% 5% 5% Kilka razy w roku Raz czy dwa w miesiącu Kilka razy w miesiącu 22% Większość czasu Codziennie Jak często Polacy używają prywatnego sprzętu do celów służbowych? (źródło: opracowanie własne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)
BYOD 33% 14% 3% 26% Inne Nie chcę uzywać własego sprzętu Pracuję efektywniej 24% Mam dostęp do ulubionych aplikacji Prościej mieć mniej urządzeń Główny powód wykorzystania prywatnego sprzętu w pracy. (źródło: opracowanie własne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)
BYOD 2% 12% Inne 50% 36% Sądowe i wizerunkowe konsekwencje naruszenia firmowej polityki Kradzież lub utrata danych, zagrożenia/ataki Strata czasu na prywatne zajęcia w czasie pracy Jakie zdaniem pracowników stwarzają oni zagrożenie poprzez stosowanie prywatnych urządzeń do celów służbowych? (źródło: opracowanie własne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)
BYOD 20% TAK 80% Czy naruszysz/naruszyłeś zakaz używania urządzeń prywatnych jeśli polityka firmy zabrania tego? (źródło: opracowanie własne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)
BYOD Używanie platform mobilnych to wiele zagrożeń: Problemy zero-day w ios. Wysyp Malware w Google Play. Botnet y dla Symbiana. Hakowanie RIM w Blackberry. Miliony smartfonów przejętych przez złośliwy kod. Atak na autentykację SMS - Zeus
BYOS Pracownicy chcą korzystać ze znanych im usług: Dropbox Gmail Google Docs Facebook Twitter Skype Gadu-Gadu Tlen
BYOS Musisz wiedzieć: Co użytkownicy i urządzenia robią w sieci? Kto z zewnątrz próbuje uzyskać dostęp? Przeprowadzane i skuteczne ataki? Jakie urządzenia zostały zainfekowane? Jak do tego doszło? Co wykonywały po zarażeniu?
BYOS Polityki bezpieczeństwa bazujące na tożsamości:
BYOS Szczegółowy monitoring (Visibility means Security)
BYOS Wykrywanie nieautoryzowanych sieci wifi: Nieustanne skanowanie eteru. Wyszukiwanie obcych sieci. Powiadamianie administratora. 802.11 a. 802.11 b. 802.11 g. 802.11 n.
BYOS IP over DNS: Próba zestawiania tunelu VPN (OpenVPN) na porcie 53. Proxy filtrujące. Tunelowanie ruchu IP w zapytaniach DNS. Przykładowe rozwiązanie: NSTX. Stworzone w celu korzystania z płatnych sieci bezprzewodowych na lotniskach itp. Monitorowanie: Visibility means Security.
BYOS IP over DNS:
BYOS IP over ICMP: Tunelowanie ruchu w komunikatach ICMP (echo-request, echo-replay). Przykładowe rozwiązanie ICMPTX. Stworzone w celu korzystania z płatnych sieci bezprzewodowych na lotniskach itp. Ping Tunnel tuneluje TCP w ICMP. Monitorowanie: Visibility means Security. IP over anything?!
BYOS IP over ICMP:
Bezpieczny zdalny dostęp
Trends Driving Adoption of SSL VPN Rozproszona sieć Mniejsze nakłady, większe oczekiwania Rozwój sieci i technologii Wzrost kosztów operacyjnych Wymóg zgodności Kiedykolwiek, gdziekolwiek dostęp z dowolnego urządzenia Praca zdalna Brak raportowania i monitorowania Wymagania dotyczące raportowania Dostęp do zasobów określany per użytkownik Nowe usługi i aplikacje Oprogramowanie klienckie podnosi koszty Zdalne zagrożenia i podatności Rozwój platform
Użytkownicy posiadają dostęp do zasobów i usług kiedykolwiek i gdziekolwiek Uniwersalny dostęp Wysoka jakość autentykacji Dokładnie weryfikowana tożsamość użytkownika przed przyznaniem dostępu do zasobów Usługi i zasoby wyświetlane są tylko użytkownikom z uprawnieniami Zasoby dopasowane do użytkownika Ochrona maszyny użytkownika Weryfikacja stanu urządzenia użytkownika przed przyznaniem dostępu do zasobów
WatchGuard SSL
The challenge Wygoda i produktywność Dostęp z dowolnych urządzeń kiedykolwiek i gdziekolwiek: Dostęp z wykorzystaniem dedykowanego klienta i bez niego. Wsparcie dla typowych tuneli i pracy w trybie kiosk.
Redukcja kosztów Wszystko w jednym urządzeniu. Centralne zarządzenie regułami dostępu Łatwość konfigurowania WatchGuard reguł solution dostępu Przypisywanie reguł dostępu do zasobów w jednym kroku Centralne zarządzenie mechanizmem SSO Easeof-Use Raz tworzysz domenę SSO i możesz ja wielokrotnie wykorzystywać dla wielu zasobów Łatwość w zarządzaniu zasobami Prostota w zarządzaniu dostępnymi zasobami Intuicyjny interfejs Oszczędność czasu i minimalizacja ilości błędów
Niezawodna autentykacja Integracja istniejących systemów autentykacji. Dwustopniowa autentykacja z wykorzystaniem haseł jednorazowych wysyłanych na telefon komórkowy.
Raportowanie i wygodny dostęp
SSL górą Źródło: Info-Tech Research Group. Vendor Landscape: Secure Socket Layer Virtual Private Network (SSL VPN). Sierpień 2011.
Rozwiązania sprzętowe
Czym jest XTM extensible Protection Filtracja HTTPS, bezpieczeństwo VoIP, TCP/UDP proxy, Application Control, kontrola dostępu na bazie tożsamości, globalne raportowanie, 8 proxy filtrujących, ochrona przed spamem, ochrona antywirusowa, IPS, VPN. extensible Management CLI, WebUI, GUI, zarządzanie wieloma urządzeniami z wykorzystaniem ról, clustering,ha/aa oraz HA/Active N, analiza wydajności. extensible Networking Capabilities Firewall warstwy 2 (przezroczysty), wsparcie dla ruchu multicast, przekierowanie HTTP, QoS, traffic shaping, VLAN, dynamiczny routing, MultiWAN, dostęp zdalny z wykorzystaniem IPSec, SSL i PPTP, Policy Based Routing, Server Load Balancing
Urządzenia XTM 25/25-W, XTM 26/26-W Przepustowość firewall a 110-350Mbps Przepustowość VPN 35-55 Mbps Ilość jednoczesnych sesji od 10000 do 30000 Obsługa od 10 do 30 statycznych tuneli VPN IPSec Obsługa od 5 do 40 tuneli mobilnych IPSec Obsługa od 1 do 25 tuneli mobilnych SSL Separacja pięciu sieci fizycznych (tzw. EXTERNAL, TRUSTED i OPTIONAL) Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Zarządzanie ruchem i QoS Wersja z interface m bezprzewodowym 802.11n Opcjonalne oprogramowanie XTM Pro (Multi-WAN, SSL VPN) 29
Urządzenia XTM 33/33-W, XTM 330 Przepustowość firewall a 850 Przepustowość VPN od 100 Mbps do 150 Mbps Ilość jednoczesnych sesji 40000 Obsługa 50 statycznych tuneli VPN IPSec Obsługa od 5 do 55 tuneli mobilnych IPSec Obsługa 55 tuneli mobilnych SSL Separacja od 5 do 7 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster (XTM 330) redundantny tryb pracy dwóch urządzeń 30
Urządzenia XTM 515, XTM 525, XTM 535, XTM 545 Przepustowość firewall a od 2 Gbps do 4,5 Gbps Przepustowość VPN od 250 Mbps do 750 Mbps Ilość jednoczesnych sesji od 40000 do 350000 Obsługa od 65 do 600 statycznych tuneli VPN IPSec Obsługa od 75 do 1000 tuneli mobilnych IPSec Obsługa od 65 do 600 tuneli mobilnych SSL Separacja do 7 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster redundantny tryb pracy dwóch urządzeń 31
Urządzenia XTM 810, XTM 820, XTM 830 Przepustowość firewall a od 3 Gbps do 5 Gbps Przepustowość VPN od 1 Gbps do 1,7 Gbps Ilość jednoczesnych sesji od 500000 do 1000000 Obsługa od 1000 do 6000 statycznych tuneli VPN IPSec Obsługa od 600 do 8000 tuneli mobilnych IPSec Obsługa od 1000 do 6000 tuneli mobilnych SSL Separacja do 10 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster redundantny tryb pracy dwóch urządzeń 32
Urządzenie XTM 1050 Przepustowość firewall a 10 Gbps Przepustowość VPN 1,6 Gbps Ilość jednoczesnych sesji od 1250000 Obsługa 7000 statycznych tuneli VPN IPSec Obsługa 15000 tuneli mobilnych IPSec Obsługa 15000 tuneli mobilnych SSL Separacja do 16 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster redundantny tryb pracy dwóch urządzeń 33
Urządzenie XTM 2050 Przepustowość firewall a 20 Gbps Przepustowość VPN 1,6 Gbps Ilość jednoczesnych sesji od 2500000 Obsługa 10000 statycznych tuneli VPN IPSec Obsługa 20000 tuneli mobilnych IPSec Obsługa 20000 tuneli mobilnych SSL Separacja do 18 sieci fizycznych Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP Multi-WAN, Server Load Balancing Traffic Shaping i Quality of Service Fire Cluster redundantny tryb pracy dwóch urządzeń 34
SSL VPN Gateway Urządzenie SSL VPN jest łatwym w użyciu, kompletnym, oferującym wiele funkcjonalności, charakteryzującym się niską ceną rozwiązaniem przeznaczonym dla małych i średnich organizacji. Urządzenie all-in-one Mnogość sposobów autentykacji Różne metody dostępu Ochrona maszyn klienta i infrastruktury Bardzo szybkie i łatwe wdrożenie. Zawiera wszystkie elementy. Nie ma konieczności dokupowania dodatkowego oprogramowania. Prostota nawet autentykacja może być lokalna. Możliwość integracji z istniejącym systemem autentykacji. Generowanie haseł programowo i poprzez SMS dla dwustopniowej autentykacji. Elastyczność dostępu: z wykorzystaniem dedykowanego klienta programowego oraz bezpośrednio przez przeglądarkę. Wsparcie dla systemów Linux, Mac OS, Windows (także Vista i 7). Sprawdzian systemu operacyjnego, poprawek, ochrony antywirusowej. Czyszczenie maszyny klienta przy zakończeniu sesji, łącznie z czyszczeniem pamięci cache. Dokładna kontrola praw dostępu.
Urządzenia SSL 100, SSL 560 Obsługa odpowiednio do 100 i do 500 jednoczesnych kanałów transmisyjnych Usługa autentykacji. Portal z zasobami. Portal administracyjny. Logowanie i raportowanie. Dedykowane oprogramowanie dostępne dla systemów Linux, Windows i Mac OS. Możliwość dopasowania wyglądu portalu z zasobami, tak aby wyglądał spójnie z witrynami firmy. Urządzenie wyposażone jest w dysk twardy 80GB pozwalający na przechowywanie zasobów bezpośrednio na urządzeniu. 36
Czym jest XCS DLP Filtrowanie ruchu poczty oraz www. Kontrola załączników, czytanie dokumentów w locie, wyszukiwanie zabronionych zwrotów i wzorców, słowniki, znakowanie dokumentów, kontrola przesyłanych treści. Różnorodność akcji Blokowanie ruchu, przesyłanie kopii ruchu do osoby odpowiedzialnej, kwarantanna, szyfrowanie ruchu w locie, usuwanie fragmentów przesyłanych treści, przekierowanie transmisji. Ochrona ruchu www oraz poczty Ochrona antywirusowa, antymalware (do wyboru dwa programy antywirusowe), ochrona bazująca na reputacji (Reputation Enabled Defense), ochrona antyspamowa, DLP dla ruchu poczty oraz www.
Urządzenia XCS 170, 370, 570 Ochrona poczty i www. Od 250 do 1000 użytkowników. Od 12000 do 48000 wiadomości na godzinę. WebMail. Filtrowanie zawartości. Analiza kontekstowa. Data Loss Prevention. Replikacja kolejek pocztowych. Klastrowanie urządzeń. Centralne zarządzanie.
Urządzenia XCS 770, 970, 1170 Ochrona poczty i www. Od 4000 do 10000 użytkowników. Od 75000 do 150000 wiadomości na godzinę. WebMail. Filtrowanie zawartości. Analiza kontekstowa. Data Loss Prevention. Replikacja kolejek pocztowych. Klastrowanie urządzeń. Centralne zarządzanie.
Rozwiązania wirtualne
Wirtualizacja to oszczędności
Problemy z przejściem na wirtualizację
Problemy z przejściem na wirtualizację
Rozwiązanie problemów
Rozwiązanie problemów
XTMv Wersja Rdzenie CPU Pamięć (GB) Ograniczenia Small Office 1 1 Medium Office 2 2 Large Office 8 4 Datacenter brak ograniczeń brak ograniczeń Przepustowość 200 Mbps 50 tuneli VPN 30000 połączeń Przepustowość 2,5 Gbps 600 tuneli VPN 350000 połączeń Przepustowość 5 Gbps 6000 tuneli VPN 1000000 połączeń Przepustowość b. o. 10000 tuneli VPN 2500000 połączeń
XCSv Wersja Rdzenie CPU Pamięć (GB) Interfejsy sieciowe Sesje SMTP Ilość użytkowników Small Office 1 2 2 75 100 Medium Office 2 2 3 250 500 Large Office 4 4 4 500 2000 Datacenter 8 8 4 500 5000
O firmie WatchGuard
O firmie WatchGuard Założona w 1996 roku. Pionier sprzętowych rozwiązań bezpieczeństwa. Siedziba w Seattle, ponad 400 pracowników. Ponad 600 000 urządzeń dostarczonych klientom na całym świecie. 1996 1997 2003 2009 2010 2011 2012 Pioneered FIRST security appliance FIRST to integrate proxybased packet inspection on an appliance FIRST to incorporate UTM capabilities in a single appliance Acquired Borderware & launched XCS LEADER in Gartner MQ FIRST UTM to offer cloud-based defense (RED) LEADER in Gartner MQ second year running Launched Application Control Info-Tech UTM and SSL Champion and Visionary Launched virtual versions of core products
Wartość rozwiązań XTM lider rynku WatchGuard Q1 2012 ($) Checkpoint SonicWall Fortinet McAfee Cisco $1500- $4,999 price band 0 5,000,000 10,000,000 15,000,000 20,000,000 Cisco McAfee Fortinet SonicWall Checkpoint WatchGuard Revenue ($) 8,875,931 11,462,110 12,013,490 13,586,026 14,167,306 17,025,836
Usługi
Usługi podstawowe Wdrażanie rozwiązań firmy WatchGuard Pomagamy przy projektowaniu i doborze zabezpieczeń sieci Asystujemy podczas procesu konfiguracji urządzeń Weryfikujemy poprawność konfiguracji klienta Autoryzowane szkolenia Posiadamy tytuł WatchGuard Certified Training Partner Prowadzimy szkolenia certyfikujące WCP 52
Wynajem bezpieczeństwa Tani dostęp do najnowszych technologii Wsparcie techniczne specjalistów w zakresie bezpieczeństwa Miesięczna opłata wynajmu Dwuletnia lub trzyletnia umowa Przedłużenie umowy na preferencyjnych warunkach Możliwość wykupienia urządzenia po upłynięciu okresu umowy na atrakcyjnych warunkach Możliwość rozbudowy funkcjonalności urządzenia w każdym momencie 53
Programy Trade-Up, Trade-In Wymiana starszego urządzenia firmy WatchGuard na rozwiązanie klasy XTM firmy WatchGuard na preferencyjnych warunkach Trade-Up. Wymiana podobnego *) urządzenia innego producenta na rozwiązanie klasy XTM firmy WatchGuard na preferencyjnych warunkach Trade-In. *) Urządzenie jest podobne, gdy jego podstawową funkcjonalność stanowi jedna z poniższych: zapora sieciowa (firewall), terminator tuneli VPN, filtr treści stron WWW, filtr antyspamowy, skaner antywirusowy, itp. 54
Dziękuję za uwagę! security@ccns.pl