Uniwersalne urządzenia do zastosowań sieciowych i bezpieczeństwa rodzina Juniper SSG. Sławomir Karaś email: skaras@clico.pl

Uniwersalne urządzenia do zastosowań sieciowych i bezpieczeństwa rodzina Juniper SSG Sławomir Karaś email: skaras@clico.pl

Rozwiązania Juniper Networks w dystrybucji CLICO SECURE SERVICES GATEWAY INTEGRATED SECURITY GATEWAY HIGH-END FIREWALLS INTRUSION DETECTION AND PREVENTION SSG-5, SSG-20, SSG-140 SSG 320M, SSG 350M SSG 520/520M, SSG 550/550M SSL VPN ISG-1000, ISG-2000 UNIFIED ACCESS CONTROL NS-5200, NS-5400 SECURITY MANAGEMENT IDP-50, IDP-200 IDP-600C/F, IDP-1100C/F IDP-75, IDP-250 IDP-800, IDP-8200 AAA, 802.1X SIEM SA 700, SA 2000, SA 4000, SA 6000 SA 2500, SA 4500, SA 6500 IC 4000, IC 6000 NSM, NSMXPRESS NSM CENTRAL MANAGER STRM (Q1 LABS) STEEL-BELTED RADIUS ODYSSEY ACCESS CLIENT J-SERIES ROUTERS M-SERIES ROUTERS ETHERNET SWITCHES WAN ACCELERATION J6350 J4350 J2350 J2320 M120, M10i, M7i EX 3200, EX 4200 EX 8200 WX-15, WX-20, WX-60, WX-100C/F WXC-250, WXC-500, WXC-590 WXC ISM 200

Plan prezentacji Cechy systemu operacyjnego ScreenOS Dostępne modele urządzeń serii SSG Licencje Centralne zarządzanie: NetScreen- Security Manager

Cechy systemu ScreenOS

Zintegrowana platforma zabezpieczeń Funkcje UTM / Bezpieczeństwo L7 Antywirus/Anti- Antyspam Spyware IPS (Deep Web filtering Inspection) FW IPSec VPN Strefy bezp. Ruting Dedykowana platforma sprzętowa Mgmt/ Modem Bezpieczeństwo sieci DoS/DDoS Uwierzytelnianie Obsługa sieci Tryby działania Enkapsulacje WAN Interfejsy LAN & WAN Zintegrowana kontrola zawartości Wewnętrzny lub zewnętrzny web filtering, antywirus, antispyware, antiphishing, oraz antyspam, IPS w postaci Deep Inspection Ochrona na poziomie sieciowym i aplikacyjnym Stateful firewall, NAT, IPSec, ochrona przed D/DoS, uwierzytelnianie użytkowników Odporność na awarie HA NSRP Obsługa sieci i wirtualizacja Wirtualizacja poprzez podział sieci na strefy bezpieczeństwa, segmenty VLAN i wirtualne rutery Tryby wdrażania (L2, L3), ruting dynamiczny i high availability z systemu ScreenOS oraz enkapsulacje WAN z systemu JUNOS

Funkcje UTM Wchodzące zagrożenia Zagrożenia wychodzące IPS/DI Robaki, konie trojańskie, DoS, (L4 & L7), Skany Robaki, konie trojańskie Spyware/Adware IPS/DI Web Filtering Spyware, Phishing www.<restricted site>.com Web Filtering AV Wirusy, konie trojańskie Spyware/Adware, Keylogger y Wirusy, konie trojańskie AV Anti Spam Spam / Phishing Anti Spam Stateful Firewall

System antywirusowy Ochrona zasobów przed wirusami, spyware / adware / keylogger'ami Czołowy system antywirusowy zintegrowany z systemem ScreenOS Wyszukuje i niszczy wirusy w SMTP, POP3, Webmail, FTP, IMAP i HTTP Skanowanie pod kątem ruchu wchodzącego i wychodzącego XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX OXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX Email To: John Subject: Open this file Zainfekowany mail zablokowany, powiadomienie wysłane do użytkownika

System antyspamowy Blokada spamu i ataków typu phishing Blokowanie (i/lub zaznaczanie) spamu dzięki wykorzystaniu blacklist Tworzenie własnych blacklist i whitelist zawierających domeny, adresy email nadawców, lub adresów IP XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO XOXOXOXOXOXOXOXOXOXOXOX Niechciany Email Światowa baza adresów IP spamerów (blacklist) Bezwartościowy ruch zredukowany

Filtrowanie stron WWW Kontrola korzystania ze stron WWW w celu zwiększenie produktywności pracowników, zmniejszenia zużycia zasobów sieci oraz unikania potencjalnych nadużyć: Blokada stron hostujących znane oprogramowanie szpiegujące i strony phishingowe Kontrola odwiedzanych stron przy pomocy predefiniowanych lub własnych baz URL Polityki mogą opierać się o adres strony, typ zawartości lub grupę użytkowników Kontrola odwiedzanych stron przy pomocy predefiniowanych lub własnych baz URL 2 opcje: zintegrowana (SurfControl) lub zewnętrzna (SurfControl, Websense) Zawartość dozwolona XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX OXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO Żądanie URL Polityka: Sprawdzenie URL Baza URL Zawartość niedozwolona wysłanie wiadomości do użytkownika

System IPS Deep Inspection Deep Inspection Zgodność ze standardem Atak aplikacyjny Reasemblacja, eliminacja wieloznaczności 00000000000000000000000000000000 Ruch aplikacji 00000000000000000000000000000000 00000000000000000000000000000000 Stateful Inspection Śledzenie sesji Pakiety XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX OXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO Ruch aplikacji XOXOXOXOXOXOXOXOXOOXOXOXOXOX OXOXOXOXOXOXOXOXOXOXOXOXOXOX Blokada ataków XOXOXOXOXOXOXOXOXOXOXOXOXOXO Blokada ruchu Blokowanie ataków na poziomie sesji i aplikacji przy pomocy wykrywanie anomalii protokołów i sygnatur stateful Wsparcie dla protokołów: MS-RPC, P2P, IM, NetBIOS/SMB, HTTP, SMTP, IMAP, POP, FTP, DNS Pakiety sygnatur: Base, Client, Server, Worm Mitigation Stosowanie szczegółowych polityk dla kluczowych aplikacji, specyficznych adresów IP lub poszczególnych typów ataków

Ruting w systemie ScreenOS rutery wirtualne ruting statyczny ruting dynamiczny (RIP v1,2, OSPF, BGP) ruting multicast (IGMP v1,2,3, PIM-SM, PIM-SSM) IGMP proxy equal cost multipath (ECMP) source-based ruting policy-based ruting

Translacja adresów - możliwości Translacja adresów źródłowych PAT interfejs w trybie nat Dynamic IP (DIP) Translacja adresów przeznaczenia Mapped IP (MIP) Virtual IP (VIP) Policy-based NAT-dst

Zabezpieczanie ruchu VoIP Ruch VoIP musi być monitorowany i chroniony Należy stosować ten sam poziom ochrony dla SIP i H.323, jak dla innych aplikacji IP Kontrola dostępu, VPN, ochrona przed atakami D/DoS, high availability, itd Pełne wsparcie dla VoIP w architekturze opartej o strefy systemu ScreenOS Tryby NAT/Route/Transparent obsługują ruch VoIP Wydajność urządzenia nie wpływa na jakość połączenia Krókie pakiety/niskie opóźnienie Ochrona przed VoIP DoS H.323 oraz SIP source limiting H.323 oraz SIP flood threshold Również ALG i ochrona DoS dla MGCP i SSCP

VPN w sieciach LAN/WAN Implementacja sieci VPN w topologii dostosowanej do infrastruktury sieciowej korporacji WAN i LAN (wsparcie Hub&Spoke VPN i Full/Partial Mesh VPN ) Działanie tuneli VPN w sytuacji gdy urządzenie VPN posiada dynamicznie nadawany, zmienny adres IP (wsparcie Dynamic Peer VPN ) Działanie tuneli VPN site-site i client-site w sytuacji gdy na drodze VPN występują urządzenia wykonujące translację adresów/portów (wsparcie NAT-Traversal ) Zapobieganie fragmentacji IP w tunelach VPN (tzn. degradacji wydajności sieci) przez odpowiednie ustalenie wielkości negocjowanych parametrów sesji TCP (ustawienie TCP MSS ) LAN / WAN

VPN ochrona przed awariami Centralne zarządzanie i monitorowanie stanu tuneli VPN, w tym graficzne śledzenie re-negocjacji VPN oraz szybkie wykrywanie awarii Monitorowanie i stałe utrzymywanie aktywności zdefiniowanych tuneli VPN (związki bezpieczeństwa SA dla fazy 1 i 2 IKE są cały czas gotowe do użycia) Ochrona VPN przed awariami: monitorowanie drożności tuneli VPN wykrywanie awarii automatyczne odtwarzanie tuneli VPN po awarii LAN / WAN

Route-based VPN Urządzenia VPN zestawiają wirtualne tunele (route-based VPN) W konfiguracji niezależnej od polityk i ustawień rutingu Zaszyfrowany ruch jest przesyłany interfejsami fizycznymi poprzez najlepszy ruting Dynamiczny ruting umożliwia VPN: Automatyczne uczenie się jakie sieci są dostępne poprzez VPN Ochronę przed awariami poprzez wyszukiwanie ścieżek alternatywnych LAN / WAN LAN / WAN B A C

Auto-Connect VPN (ACVPN) Hub&spoke VPN ruch pomiędzy lokalizacjami przechodzi zawsze przez centralę Full-mesh VPN niepotrzebnie zużywa zasoby oraz zwiększa nakład pracy administratorów ACVPN pozwala na nawiązywanie połączeń VPN na żądanie pomiędzy spoke ami Dostępne od ScreenOS-a 6.0

Typowe zastosowanie urządzeń SSG Sieci serwerów LAN: FE, GE WAN: PPP, MLPPP, Frame Relay, MLFR, HDLC IPSec Sieci biurowe Centrala www Ochrona styku sieci Internet, LAN i WAN WLAN gości WLAN pracowników

Enforcement w Juniper UAC Serwery uwierzytelniania (AAA) AAA Infranet Controller (IC) Uwierzytelnianie użytkowników (AAA) Określa prawa dostępu użytkowników do zasobów w sieci Steruje dostępem użytkowników poprzez urządzenia Enforcer (firewalle Juniper) i urządzenia 802.1x Centralnie zarządza polityką bezpieczeństwa sieci Zunifikowana polityka dostępu do zasobów w sieci Dostęp użytkowników do zasobów w VLAN Dostęp użytkowników do zasobów w sieci UAC Agent Kontrola i profilowanie stacji użytkownika. Uwierzytelnianie w Infranet Controller bezpośrednie L3 (IP) 802.1x poprzez switch lub AP Metoda 2: Enforcement Wymusza politykę dostępu użytkowników do zasobów w sieci zdefiniowaną przez Infranet Controller na poziomie L2 poprzez 802.1x i VLANy Wspiera dowolne urządzenia 802.1x Metoda 1: Enforcer Wymusza politykę dostępu użytkowników do zasobów w sieci zdefiniowaną przez Infranet Controller na poziomie L3

SECURE SERVICES GATEWAY

SSG 5 i 20 SSG-5 160 Mbps FW i 40 Mbps VPN 7x 10/100 oraz konfigurowane przez producenta V.92 lub ISDN BRI S/T lub RS232 Serial/Aux. opcjonalnie dostęp bezprzewodowy (802.11a/b/g) SSG-20 160 Mbps FW i 40 Mbps VPN 5x 10/100 oraz 2 sloty Mini-PIM do montażu dodatkowych portów Mini-PIMy: 1xADSL 2+, 1xT1, 1xE1, V.92, ISDN BRI S/T, 1xSFP (LX, SX, T lub FX), 1xSerial opcjonalnie dostęp bezprzewodowy (802.11a/b/g)

Rozbudowa SSG 5 i 20 SSG 20 Mini-PIM SFP: SFP 1000Base-LX, SFP 1000Base-SX, SFP 1000Base-TX, SFP 100Base-FX SSG 20 Mini-PIM Serial: X.21 V.35 RS-232 RS-449/RS-422 EIA530/EIA530A Licencja Extended zwiększenie liczby tuneli VPN, VLAN-ów, oraz HA A/P i A/A

SSG 140 SSG-140 350+ Mbps FW i 100 Mbps VPN 8x 10/100, 2x10/100/1000 oraz 4 sloty PIM/uPIM do montażu dodatkowych portów PIM: 1 Port ISDN BRI S/T, 2 Port E1, 2 Port T1, 2 Port Serial, 1 Port ADSL 2/2+ (Annex A i B), 1 Port G.SHDSL upim: 6 Port SFP Gigabit Ethernet, 8 Port Gigabit Ethernet 10/100/1000, 16 Port Gigabit Ethernet 10/100/1000

Seria SSG 300M SSG-320M 450+ Mbps FW i 175 Mbps VPN 4 x 10/100/1000 oraz 3 sloty PIM/uPIM SSG-350M 550+ Mbps FW i 220 Mbps VPN 4 x 10/100/1000 oraz 5 slotów PIM/uPIM PIM: Serial, T1, E1, ADSL/ADSL2/ADSL2+, G.SHDSL upim: 8x 10/100/1000, 16x 10/100/1000, 6xSFP

Seria SSG 550M SSG-520M 650+ Mbps FW i 300 Mbps VPN 4 x 10/100/1000 6 slotów (2 epim/upim/pim + 4 upim/pim) SSG-550M 1+ Gbps FW i 500 Mbps VPN 4x 10/100/1000 6 slotów (4 epim/upim/pim + 2 upim/pim)

Moduły PIM do SSG 140, 300M i 500M Interfejsy LAN FE GE SFP (1000BASE-T, GE LX/SX, 100BASE-FX) Interfejsy WAN Serial (EIA530, RS232, RS449, V.35, X.21) ADSL 2+ (Annex A and Annex B) ISDN BRI S/T T1, E1, DS3, E3 G.SHDSL V.92 8-portowy 10/100/1000 Copper upim 16-portowy 10/100/1000 Copper upim również 1-portowy upim SFP 6-portowy upim SFP

Co z urządzeniami NetScreen? Urządzenia niemodularne (appliances) EOL Urządzenia modularne (systems)

Ścieżka migracji NS SSG Modele End of Life Modele docelowe NS-HSC SSG 5/20 NS-5XT SSG 5/20 NS-25 SSG 140/320M NS-50 NS-204 NS-208 SSG 350M SSG 520M SSG 550M Starsze urządzenia: nie obsługują nowych wersji ScreenOS (6.0, 6.1) nie posiadają pełnego zestawu funkcji UTM są mniej wydajne i nie można ich rozbudowywać NS-5GT nie jest EOL, ale obsługuje tylko ScreenOS =< 5.4

Juniper SSG - licencje

Możliwości rozbudowy Juniper SSG SSG są dostępne w dwóch wariantach jeśli chodzi o wyposażenie w pamięc RAM. Do uruchomienia funkcji DI lub AV wymagany jest większy rozmiar RAM. DIMM Memory Upgrade -możliwość rozszerzenia pamięci RAM Extended License Upgrade Key - licencja dla SSG-5 i SSG- 20 zwiększająca parametry wydajnościowe i HA Możliwości konwersji urządzenia zabezpieczeń SSG w rutery serii J (do systemu JUNOS-ES) przy pomocy Conversion Kit: SSG 320M -> J2320 SSG 350M -> J4350 SSG 520M -> J4350 SSG 550M -> J6350

Aktualizacje definicji dla modułów UTM Opcje dla jednej funkcji ochrony: First Year Subscriptions Juniper-Kaspersky Anti-Virus (dla urządzeń HSC, 5GT i wszystkich SSG) First year subscription for Anti-Spam (dla urządzeń HSC, 5GT, NS-25, NS-50, ISG i wszystkich SSG) First year subscription for Web Filtering (dla urządzeń HSC, 5GT, NS-25, NS-50, ISG i wszystkich SSG) First year subscription for Deep Inspection Signature updates (dla wszystkich urządzeń) Dostępne są również subskrypcje 2- i 3-letnie

Aktualizacje definicji dla modułów UTM Opcje dla wielu funkcji ochrony (bundle) Main Office Content Security - AV, DI, WF i Anti-Spam Remote and Branch Office Integrated Content Security - AV, DI i WF Również tryby 2- i 3-letnie Dla subskrypcji jednej funkcji ochrony oraz bundle i dostępne są opcje odnowienia na kolejne lata (subscription renewal) Moduły kontroli zawartości AV i DI wymagają urządzeń SSG z większą pamięcią RAM

NETSCREEN-SECURITY MANAGER

Centralne środowisko zarządzania Scentralizowany, wielo-domenowy system zarządzania dla urządzeń Firewall/VPN (NetScreen, SSG, ISG) i IDP Juniper NetScreen-Security Manager umożliwia zarządzanie urządzeń zabezpieczeń w pełnym zakresie tzn. konfiguracja systemu operacyjnego (IP, ruting,...) i funkcji ochrony (FW, VPN, IPS, AV, AS, WF,...) Projekt, wdrożenie, utrzymanie Poziom zarządzanie Sieć Security Ochrona Network Device Urządzenia Design, Deploy Konfiguracja Configure Projekt Define security of entire network (all devices) Permission definitions VPN modeling L2/L3 specification (Routing) Remote installation Initial configuration Push device - specific policy out RAS User user management Admin management VPN config Route tables Routing VLAN Interface characteristics Management access Licenses OS version Administrator zabezpieczeń Administrator sieci Operator Technik Audytor Monitor, Maintain Aktualizacja Upgrade, Adjust Monitorowanie Attack log monitoring Consolidation Top attacks report Log Investigation Reports VPN monitoring Network failure recognition and response HA failover monitoring HW monitoring (interfaces up/down, fan failure, power failure) Signature updates Policy adjustment VPN model Adjust routing OS upgrade Device config changes

Opcje i licencjonowanie NSM NetScreen Security Manager obsługuje wszystkie urządzenia działające pod kontrolą systemu operacyjnego ScreenOS (tzn. NetScreen, SSG, ISG) oraz IDP (wersje 4.0 i 4.1). NSM dostępny jest w postaci urządzeń Appliance (NSMXpress) oraz oprogramowania NSM (licencja min. na 25 urządzeń) instalowanego na serwerze z systemem Linux Red Hat Enterprise lub Solaris. NSMXpress appliance z pojedynczą instancją NSM (licencja min. na 25 urządzeń). NSM Central Manager - appliance może kontrolować do 10 urządzeń NSMXpress lub serwerów NetScreen-Security Manager, a co za tym idzie nawet kilka tysięcy urządzeń zabezpieczeń Juniper Networks. Statistical Report Server -moduł rozszerzający NSM o archiwizowanie i raportowanie statystyk urządzeń.

Jako podsumowanie Gartner: Enterprise Firewalls