Symantec Endpoint Security dla przedsiębiorstw Arkadiusz Lewandowski
Plan spotkania Symantec i Sygate Zgodność Endpoint Network Access Control System zapobiegania włamaniom na serwer 2
Informacje o Symantec i Sygate Sygate to: najbardziej nowoczesna, najwyższej klasy technologia ponad 400 klientów na całym świecie ponad 140 klientów w regionie EMEA 3
Funkcje ochrony IDS Zapora tradycyjna zapora typu desktop Zarządzanie przedsiębiorstwem NAC Polityki adaptacji IPS Zapora Sygate Secure Enterprise Zarządzanie przedsiębiorstwem HIPS Urządzenie NAC Polityki adaptacji IPS Zapora Sygate Enterprise Protection 5.0 Ochrona systemu operacyjnego Ochrona przepełnienia bufora Kontrola dostępu do plików/rejestrów Kontrola wykonania procesu Kontrola urządzeń peryferyjnych Środowisko DHCP Integralność serwera IF...THEN...ELSE Obsługa protokołu bezprzew. 802.1x Cisco NAC Wykrywanie sieci bezprzew. Warunki AND...OR...NOT IDS/IPS oparty na sygnaturze Zapora typu desktop 4
Schemat integracja Symantec Antyprzestęp. Zintegrowany produkt Symantec Antyszpieg. Symantec Sygate Enterprise Protection 5.1 Antywirus. Symantec AntiVirus Zarządzanie Symantec Client Security SAV 2 konsole administracyjne SAV Polityki adaptacji IDS Zapora Zarządzanie przedsiębiorstwem Wymuszanie Integ. serwera Ochrona SO Polityki adaptacji IDS Zapora Enterprise Management Wymuszanie Integ. serwera Ochrona SO Polityki adaptacji IDS Zapora 5
Elementy SEP Protection Agent Wykonuje całą pracę Windows 2000 & XP Policy Manager Definiuje i wdraża politykę Zbiera rejestry i raporty Windows 2003 Server Enforcer LAN, DHCP, Brama Redhat Linux, urządzenie 6
Projekty NAC w przedsiębiorstwie Kierownik ds. zabezpieczeń Usługa typu desktop Usługa sieciowa Naprawa statusu zgodności Wymuszanie sieci Segregacja sieci Sprawozdawczość Monitorowanie- Zarządzanie 7
SEP Architektura Enterprise Wdrożenie Enterprise Zintegrowane przełączanie zasobów Zintegrowanie bilansowanie obciążenia Replikacja wieloośrodkowa Zarządzanie Enterprise Wiele domen (dla dostawców usług) Wielu administratorów Ograniczone prawa użytkowania Funkcje Enterprise Centralne rejestrowanie i sprawozdawczość Integracja w katalogach 8
Sprawdzanie statusu zgodności jeszcze łatwiejsze Wstępnie zdefiniowane testy Oprogramowanie antywirusowe Osobiste zapory Oprogramowanie antyszpiegowskie Pakiety serwisowe Poprawki Szablony Testy autorstwa Sygate www.sygate.com 9
Sprawdzanie statusu zgodności Zaawansowana logika Drzewo podejmowania decyzji Logika IF.. THEN Sprawdzanie pliku Data, wiek, rozmiar, wersja, istnienie, suma kontrolna, zakończenie pobierania Sprawdzanie systemu operacyjnego Wersja, język, pakiet serwisowy, poziom poprawek, uruchamianie usług, uruchamianie programów Sprawdzanie rejestrów Klucz istnieje, wartość istnieje, wartość jest równa Narzędzia Ustawianie klucza rejestru, zwiększanie wartości rejestru, zapisanie godziny, uruchomienie programu, uruchomienie skryptu, wyświetlenie dialogu 10
Zgodność antywirusowa Wstecz 11
Zgodność poprawek Wstecz 12
Zgodność zapory Wstecz 13
Automatyczne wymuszanie Przełączenie na politykę kwarantanny w razie niepomyślnego wyniku testu integralności serwera Stosowanie specjalnych zasad zapory w celu ograniczenia dostępu 14
SNAC Systemy otwarte zwiększają wydajność Wszystko jest podłączone Każdy może się połączyć Wszystko może się połączyć Systemy otwarte to ryzyko Robaki rozprzestrzeniają się błyskawicznie Dane wrażliwe w postaci cyfrowej Jak zyskać większą kontrolę? Jaka maszyna łączy się z moją siecią? Czy ta maszyna jest zgodna? 15
Network Access Control Test zgodności Integralność serwera Test tożsamości Realizacja Weryfikacja zgodności Weryfikacja tożsamości Zezwolenie na dostęp Automatyczna naprawa Zmniejszenie kosztów Zwiększenie dostępności 16
802.1x podstawowa idea Uwierzytelnienie użytkownika zanim włączy się on do sieci Wirtualna sieć LAN (VLAN) Nie każdy użytkownik musi mieć dostęp do całej sieci. 1. Uwierzyt. żądania przełącznika 3. Przełącznik pyta serwer RADIUS 2. PC wysyła nazwę użytkownika/ hasło Extensible Authentication Protocol (EAP) 4. Serwer RADIUS mówi przełącznikowi, co ma robić 802.1x idea Sygate 1. Uwierzyt. żądania przełącznika 3. Przełącznik pyta LAN Enforcer 2. Agent Sygate wysyła informację o IS + ID klienta 4. LAN Enforcer mówi przełącznikowi, co ma robić 17
802.1x idealne połączenie Serwer RADIUS Uwierzytelnienie żądania Konfiguracja Wysyłający Agent Sygate LAN Enforcer + Policy Manager 18
Komponenty Cisco NAC i schemat podejmowania decyzji 1. Poszczególne agenty informują o statusie 2. CTA przesyła do ACS 3. ACS sprawdza skonfigurowaną wersję polityki dla każdej polityki Agent A-W Agent Z Agent SO Agent Cisco Trust Serwer ACS Serwer A-W Serwer Z Serwer SO 4. Ustawienie ACL dla urządzenia 19
Sygate upraszcza CNAC Wstecz 1. Poszczególne agenty informują o statusie Agent Sygate 2. CTA przesyła do ACS Agent Cisco Trust 3. ACS sprawdza skonfigurowaną wersję polityki dla każdej polityki Serwer Cisco ACS 4. Ustawienie ACL dla urządzenia 20
Guest Enforcement with On-Demand Gateway Enforcement Produkcyjna sieć VLAN Gateway Enforcer API NAC Gościnna sieć VLAN lub Internet Systemy bez agenta otrzymają agenta na żądanie opartego na Javie Można łatwo zintegrować z technologią Captive Proxy 21
Symantec Network Access Control 802.1x Wymuszanie LAN Wstecz Symantec Policy Manager Ethernet 802.1x NAC Przełącznik przekazuje LE Podłączony użytkownik System przesyła NAC i dane użytkownika przez EAP LE sprawdza login użytkownika Serwer RADIUS Symantec LAN Enforcer Sieć kwarantanny LAN Enforcer łączy system z siecią korporacyjną lub kwarantanny Serwer poprawek kwarantanny 22
Symantec Network Access Control SSL i wymuszanie aplikacji sieciowej Wstecz Użytkownik mobilny SSL VPN NAC na żądanie Użytkownik domowy Aplikacja sieciowa Partner lub dostawca NAC na żądanie System kontaktuje się z VPN lub aplikacją SODP pobierane do klienta Status polityki jest zgłaszany VPN lub aplikacji Applet Javy wykonuje test systemu Powodzenie udzielony zostaje dostęp do sieci Niepowodzenie użytkownik otrzymuje informację, jak uzyskać zgodność Opcjonalnie do systemu jest dostarczana aplikacja ochrony danych 23
Symantec Network Access Control Rozwiązanie DHCP NAC zgodność Dalej Sieć bezprzewodowa Użytkownicy mobilni Serwer DHCP DHCP Enforcer Przełącznik ethernetowy Podłączony użytkownik Nieznany system przesłać filtry trasowania lub adres kwarantanny Żądanie DHCP 10.1.1.100 Trasowanie 10.2.2.2 coś Poszukiwanie agenta i statusu polityki Start/odnowienie zwolnienia w przypadku pozytywnego wyniku Zgodność wysłać zwykły adres Żądanie DHCP 10.1.1.100 24
Symantec Network Access Control Wymuszanie DHCP brak zgodności Wstecz Sieć bezprzewodowa Użytkownicy mobilni Serwer DHCP DHCP Enforcer Przełącznik ethernetowy Podłączony użytkownik Serwer naprawczy Nieznany system przesłać filtry trasowania Poszukiwanie agenta i statusu polityki Żądanie DHCP 10.1.1.100 Trasowanie 10.2.2.2 coś Podjęcie działań naprawczych w razie niepowodzenia Wykonanie działań naprawczych Start/odnowienie zwolnienia w przypadku pozytywnego wyniku Zgodność usunąć filtry trasowania Żądanie DHCP 10.1.1.100 25
Symantec Sygate Enterprise Protection Symantec Sygate moduły oprogramowania Sygate Enterprise Protection Policy Manager Agent bazowy Zgodność Endpoint dla SEP Sygate Network Access Control Policy Manager Opcje wymuszania NAC Centralnie zarządzana zapora IDS Polityki adaptacji HIPS Autowymusza nie dla SEP LAN DHCP Brama Ochrona Wymuszanie 26
Adaptacja Polityk Grupy (komputer lub użytkownik) Administrator a dyrektor ds. sprzedaży Serwer a laptop Import z LDAP Synchronizacja z AD lub LDAP Lokalizacje Biuro a publiczny hotspot LAN a sieć bezprzewodowa Automatyczne przełączanie lokalizacji Agent wykrywa ustawienia sieci Interakcja użytkownika niewymagana Stosuje się do wszystkich ustawień Polityki Tryb kontroli klienta Serwer, użytkownik, mieszany (użytkownik zaawansowany) 27
Zapora osobista Blokowanie połączeń wychodzących/przychodzących Ochrona na poziomie napędu Zasady są kombinacją zasad dla: aplikacji, serwera, interfejsu, protokołu godziny / wygaszacza ekranu Logowanie Przykład Ruch Rejestr pakietów Inteligentne zasady dopuszczające podstawowe usługi Przykład Możliwość blokowania ruchu, kiedy zapora nie działa Przykład Kontrola dostępu użytkownika do interfejsu użytkownika (GUI) Przykład 28
Logowanie zewnętrzne Wstecz 29
Centralne zbieranie rejestrów i zdarzeń Wstecz 30
Reguły zapory Wstecz 31
Blokowanie ruchu, jeśli agent nie pracuje Wstecz 32
Ochrona hasłem agenta GUI Wstecz 33
Zapobieganie włamaniom Konfigurowalny IDS włączony do reguł zapory Wykrywanie i zapobieganie atakom typu Denial of Service Wykrywanie skanowania portów Wykrywanie ataków typu Application Hijacking Blokada wykrytych intruzów przez zdefiniowany okres Przykład Biblioteki zapobiegania włamaniom oparte na Snort Przykład Wykrywanie trojanów Sygnatury oparte na ruchu w sieci Zapora: blokowanie ruchu Ochrona systemu operacyjnego: zabicie procesu Ochrona przed przepełnieniem bufora Przykład Technologia NX (No Execute) Emulacja oprogramowania firmy Intel / technologii AMD NX Wyłącznie kontrola stosu 34
Wysoce konfigurowalny system wykrywania włamań (IDS)Wstecz 35
Biblioteki zapobiegania włamaniom oparte na Snort Wstecz 36
Ochrona przepełnienia bufora Wstecz 37
Ochrona SO na poziomie systemu Przejmuje wywołania API Monitorowanie i kontrola dostępu Pliki Rejestry Procesy Nośniki wymienne Szablony Przykład Ochrona SO na poziomie urządzenia Blokuje urządzenia łączące się z komputerem typu desktop Blokuje po ID urządzenia Przykład Blokuje wszystkie urządzenia USB z wyjątkiem HID (Human Interface Device) 38
Standardowe szablony ochrony systemu operacyjnego 39
Zasady ochrony systemu operacyjnego Wstecz 40
Blokada urządzenia Wstecz 41
Uwierzytelnianie aplikacji Wstecz 42
System wyłączania usług Dopuszcza wyłącznie zatwierdzone aplikacje Sumy kontrolne Pliki wykonywalne (exe, com) Biblioteki (dll, OCX) Nieznane aplikacje nie uruchamiają się Dwuetapowa implementacja Rejestruje wyłącznie nieuprawnione aplikacje Umożliwia wyłączenie usług w systemie 43
System wyłączania usług Wstecz 44
Dziękujemy Pytania