Bezpieczny dostęp do zasobów korporacyjnych w oparciu o rozwiązania Juniper Networks Piotr Kędra pkedra@juniper.net Copyright 2008 Juniper Networks, Inc. www.juniper.net 1
Agenda Bezpieczny dostęp do sieci firmowej SSL VPN - optymalne rozwiązanie dla zdalnego dostępu UAC bezpieczny dostęp do sieci LAN Copyright 2008 Juniper Networks, Inc. www.juniper.net 2
Problemy ze zdalnym dostępem Zwiększony dostęp Krytyczne zasoby Mobilność rozmywa granice sieci Niezarządzane lub źle zarządzane stacje końcowe Różne grupy użytkowników i urządzeń Coraz więcej wymagających aplikacji Błyskawicznie rosnąca ilość zagrożeń Krótszy czas na patch-owanie systemów i aplikacji Coraz więcej zagrożeń pochodzących z wnętrza sieci Złożone zarządzanie Więcej ataków Szybsze rozprzestrzenia nie Więcej celów Bezmyślni użytkownicy Włamywacze itp Copyright 2008 Juniper Networks, Inc. www.juniper.net 3
Po co kontrola dostępu? Ochrona sieci przed niezaufanymi/nieznanymi użytkownikami i urządzeniami Ochrona sieci przed zaudanymi/znanymi użytkownikami i urządzeniami niezgodnymi z polityką Monitoring i przejrzystość sieci Kontrola dostęu na poziomie aplikacji Dostęp dla gości/partnerów/pracowników zewnętrznych Disaster recovery Zastąpienie IPSec dla dostępu zdalnego Dostęp extranetowy Zgodność z normami (np: PCI, HIPAA, SOX) Copyright 2008 Juniper Networks, Inc. www.juniper.net 4
Kontrola dotępu zdalnego Copyright 2008 Juniper Networks, Inc. www.juniper.net 5
IPSec VPN a SSL VPN Internet Kiosk Branch Office Internet Sales HR Internet Mobile Users Finance Remote Office Department Servers HQ DMZ-1 Telecommuters Partners, Customers, Contractors Wykorzystanie Oddziały firmy, Biura Wykorzystanie Zdalny dostęp dla pracowników, kontraktorów, partnerów czy też klientów Typ połączeń Fixed Site-to-Site Typ połączeń Mobilne lub stałe Rodzaj urządzeń końcowych Zarządzalne Rodzaj urządzeń końcowych Zarządzalne i niezarządzalne Typ VPN IPSec VPN Typ VPN SSL VPN Wymagany dostęp Dostęp sieciowy WYmagany dostęp Dostęp per aplikacja Wymagana kontrola Kontrola IP do IP Wymagana kontrola Kontrola użytkownik-aplikacja Bezpieczeństwo zdalnej sieci Zarządzane, zaufane Bezpieczeństwo zdalnej sieci NIezarządzane, niezaufane Copyright 2008 Juniper Networks, Inc. www.juniper.net 6
Przykład 1 Zdalny dostęp pracowników Urządzenia mobilne Laptopy służbowe Pracownicy z domowymi PC Corporate Intranet Email Server Router Firewall Applications Server Łatwość użycia SSL VPN W dowolnym czasie, z dowolnego miejsca z domowego PC, sprzętu firmowego, kisku internetowego itp Baz instalacji, konfiguracji i zarządzania Wymagania: przeglądarka i dostęp do internetu Zwiększone bezpieczeństwo z SSL VPN Dostęp zaszyfrowany i kontrolowany Granularna kontrola dostępu do aplikacji i zasobów Rozbudowane mechanizmy weryfikacji stacji końcowych przed przyznaniem dostępu Copyright 2008 Juniper Networks, Inc. www.juniper.net 7
Przykład 2 Portal extranetowy Partnerzy Dostawcy Klienci Router Firewall Corporate Intranet Web Applications Client/Serer Applications Elastyczność z SSL VPN Szybkie dodawanie/kasowanie dostępu dla partnerów, dostawców czy też klientów Nie wymagane oprogramowanie na stacjach dostępowych Dostęp z dowolnego urządzenia z przeglądarką Zarządzanie Określanie dostępu do wybranych zasobów/aplikacji Weryfikacja polityki bezpieczeństwa przed przyznaniem dostępu Nie trzeba zarządzać urządzeniami dostępowymi Copyright 2008 Juniper Networks, Inc. www.juniper.net 8
Przykład 3 - Disaster Recovery Pracownicy Partnerzy Klienci Corporate Intranet Applications Server Router Firewall Email Server Web Applications Nieplanowane zdarzenia mogące zakłócić pracę: Huragan, Śnieżyca, awaria sieci, atak terrorystyczny Podtrzymanie pracy dzięki SSL VPN Wykorzystanie max. Mocy urządzeń gdy potrzebne Szybka aktywacja Podtrzymanie dostępu dla partnerów i klienów Zwiększona produktywność Umożliwienie pracy z domu/dowolnego miejsca Dostęp z dowolnego urządzenia z przeglądarką Zapewnienie bezpieczeństwa dostępu i minimalizacja przestojów Copyright 2008 Juniper Networks, Inc. www.juniper.net 9
Dostęp w zależności od wymagań Trzy różne metody dostępu dla lepszej kontroli dostępu do zasobów Dynamiczna kontrola dostępu w zależności od użytkownika, urządzenia sieci itp Network Connect Secure Application Manager (SAM) Core Access - Dostęp jak dla IPSec - Wsparcie dla wszystkich typów aplikacji, w tym dla aplikacji VoIP czy też mediów strumieniowych - Rekomendowany dla dostęu zdalnego i mobilnego tylko jeśli wymagany pełny dostęp do sieci - Dostęp do aplikacji client/server w środowisku Windows/Java - Dostęp do aplikacji Citrix, MS Ourlook czy też Lotus Notes za jednym kliknięciem - Idealny dla zdalnego i mobilnego dostępu dla aplikacji client-server - Dostęp do apliacji WWW, plików, terminali Telnet/SSH oraz OWA (Outlook Web Access) - Granularna kontrola z dopkładnością do URL/pliku - Idealne rozwiązanie dla większości użytkowników korzystających z dowolnego typu urządzeń końcowych laptop, laptop służbowy, home PC PDA, kiosk itp. Pełen dostę do sieci LAN jak w rozwiązaniach IPSec Granularna kontrola dla aplikacji Client/Server Granularna kontrola dostępu do apliacji webowych Copyright 2008 Juniper Networks, Inc. www.juniper.net 10
Kontrola uprawnień dostępu - przykład Ta sama osoba z 3 różnych miejsc Pre- Authentication Informacje na temat użytkownika, sieci, urządzenia Authentication & Authorization Autentykacja mapowanie do roli Role Assignment Przydzielenie parametrów sesji do roli Resource Policy Aplikacje dostępne dla użytkownika Laptop służbowy Host Check: Pass AV RTP On Definitions up to date Machine Cert: Present Device Type: Win XP Auth: Digital Certificate Role Mapping: Managed Access Method: Network Connect File Access: Enabled Timeout: 2 hours Host Check: Recurring Outlook (full version) CRM Client/Server Intranet Corp File Servers Sharepoint Niezarządzane (Home PC/Kiosk) Host Check: Fail No AV Installed No Personal FW Machine Cert: None Device Type: Mac OS Auth: AD Username/ Password Role Mapping: Unmanaged Access Method: Core SVW Enabled File Access: Disabled Timeout: 30 mins Host Check: Recurring Outlook Web Access (no file up/download) CRM Web (read-only) Intranet Urządzenie mobilne Host Check: N/A Machine Cert: None Device Type: Win Mobile 6.0 Auth: Digital Certificate Role Mapping: Mobile Access Method: WSAM, Core File Access: Enabled Timeout: 30 mins Outlook Mobile CRM Web Intranet Corp File Servers Copyright 2008 Juniper Networks, Inc. www.juniper.net 11
Jeden system dla wielu grup użytkowników Dostosowanie polityk i wyglądu dla różnych grup partners.company.com Partner Role Authentication Host Check Access Applications Username/Password Enabled Any AV, PFW Core Clientless MRP, Quote Tool employees.company.com Employee Role Authentication Host Check Access Applications OTP or Certificate Enabled Any AV, PFW Core + Network Connect L3 Access to Apps customers.company.com Customer Role Authentication Host Check Access Applications Username/Password Enabled Any AV, PFW Core Clientless Support Portal, Docs Copyright 2008 Juniper Networks, Inc. www.juniper.net 12
Bezpieczeństwo stacji roboczych Host Checker Virus Host Checker - Weryfikacja na starcie i podczas sesji - Zgodność z polityką bezpieczeństwa -Sprawdzanie: certyfikatu hosta, rejestru, plików, otwartych portów, serwisów Domowy PC - Brak antywirusa - Włączony Personal Firewall - Akcja zalecona install anti-virus - Po instalacj, zapewniony dostęp - Brak systemu AV - Brak personal Firewall - Minimalne uprawnienia użytkownika Kiosk internetowy Laptop służbowy - Włączona ochrona AV - Włączony personal Firewall - Definicje AV aktualne - Pełen dostęp dla użytkownika Copyright 2008 Juniper Networks, Inc. www.juniper.net 13
Coordinated Threat Control Partner 3 - SA identyfikuje użytkownika i podejmuje akcję 2 Protokół sygnalizacyjny pomiędzy IDP i SA 1 - IDp wykrywa atak LAN Pracownik Skorelowane informacje o zagrożeniach Tożsamość Stacja końcowa Historia dostępu Dokładne informacje na temat ruchu i zagrożeń Reakcja na zagrożenie Ręczna lub automatyczna Opcje reakcji: Zakończenie sesji Blokada konta użytkownika Kwarantanna Uzupełnia techniki IPS Rozbudowane mechanizmy detekcji i prewencji Detekcja i prewencja dla złośliwych aplikacji Pełny podgląd ruchu w warstwach od 2do 7 Prawdziwa ochrona end-to-end Copyright 2008 Juniper Networks, Inc. www.juniper.net 14
Rodzina urządzeń SSL VPN Funkcjonalność i wydajność... Breadth of Functionality Opcje/rozbudowa: 10-25 jednoczesnych użytkowników Core Access Secure Access 700 Dedykowane do: SMB/ Bezpieczny dostęp zdalny Opcje/rozbudowa: 25-100 jednoczesnych użytkowników Secure Meeting Cluster Pairs Secure Access 2000, 2500 Dedykwane do: Małe do średnie firmy Opcje/rozbudowa: 50-1000 jednoczesnych użytkowników Secure Meeting Instant Virtual System SSL Acceleration Cluster Pairs Secure Access 4000, 4500 Secure Access 6000, 6500 Dedykowane do: Średnie do duże firmy, SP Opcje/rozbudowa: Do 10 000 (SA 6500) jednoczesnych użytkowników Secure Meeting Instant Virtual System GBIC SSL Acceleration Multi-Unit Clusters Dedykowane do: Duże organizacje, SP Enterprise Size Copyright 2008 Juniper Networks, Inc. www.juniper.net 15
Rozpoznawalność marki... Magiczny kwadrat Gartners SSL VPN, 3Q07 Pełny raport dostępny pod adresem: http://www.juniper.net/company/presscenter/awards/recognition.html Źródło: Gartner (Listopad 2007) Copyright 2008 Juniper Networks, Inc. www.juniper.net 16
Kontrola dostępu do sieci LAN Copyright 2008 Juniper Networks, Inc. www.juniper.net 17
Trendy w kontroli dostępu Rosnące potrzeby dostępu = rozmycie granic sieci Kampus Worms, viruses, spyware Internet Malware, Trojans and more Zdalny dostęp Pracownicy Partnerzy Klienci Goście Rozwiązanie wykorzystanie SSL VPN Kontraktorzy Zarządzane/niezarzą dzane stacje Zaufany/niezaufany ruch Farmy serwerów/datacenter Wymagana Słaba kontrola duży dostęp kontrola dostępu Oddziały/zdalne biura Podatne serwery dostęp dla Każdego użytkownika - Nie zarządzane stacje - Mniejsza kontrola Copyright 2008 Juniper Networks, Inc. www.juniper.net 18
Gość Corporate Office Ochrona sieciowa Pracownik Applications Urządzenia niezarządzalne Ciągle rosnąca liczba urzytkowników mobilnych i nieznanych/niezarząd zanych urządzeń Wystarczy 1 zainfekowane urządzenie żeby położyć sieć i jej zasoby Dostęp gościnny Identyfikacja użytkowników gości i przyznawanie im odpowiedniego dostępu różnego od pracowników Niezarządzalne urządzenia mogą narazić bezpieczeństwo LAN Wyzwanie: Mobilność użytkowników, w, suże e przepustowości, niezarządzalne, niezaufane urżadzenia oraz dostęp p gościnny Copyright 2008 Juniper Networks, Inc. www.juniper.net 19
Kontrola dostępu, monitoring i widoczność Corporate Office Internet Zasoby inżynierskie Brak widoczności w sieci i dostępie do aplikacji Goście Serwer finansow y Regulacje branżowe wymagają kontrolę i widoczność w dostępie do zasobów firmowych Monitoring, Audytowanie oraz logowanie dostępu Pracownik dział fiananse Firmy muszą wiedzieć co się dzieje w ich sieciach LAN Wyzwanie: Zapewniać i weryfikować dostęp p do danych tylko dla właściwych w grup użytkowniku ytkowników Copyright 2008 Juniper Networks, Inc. www.juniper.net 20
Juniper Networks Unified Access Control (UAC) Central Policy Manager Profilowanie stacji końcowych, autentykacja UAC Agent z OAC z SBR AAA Dynamiczny prydział rół 802.1X Dostęp do sieci Serwery AAA z danymi użytkowników Chronione zasoby Firewall Zapewnia dostęp do sieci na bazie tożsamości użytkownika, stanu urządzenia dostępowego, lokalizacji Kontrola dostępu dla wszystkich użytkowników Realizacja polityki w: Warstwie 2 wykorzystanie 802.1x (przełączniki, punkty dostępowe) Warstwach 3 7 z wykorzystaniem systemów Firewall Juniper Zarówno w warstwie 2 jak i od 3 do 7 dla maksymalnej granulacji dostępu Copyright 2008 Juniper Networks, Inc. www.juniper.net 21
Campus HQ Wired/ Wireless UAC: Zaawansowana ochrona sieci Step 3: IC koreluje zagrożenie z konkretnym użytkownikiem/ur ządzeniem Step 2: Sygnalizacja znomalii do ICInfranet Controller (IC) Internet Data Center Aplikacje User Step 4: IC podejmuje odpowiednią akcję IDP wykrywa zagrożenie sieciowe Coordinated Threat Control Wykorzystanie możliwości inspekcji w warstwach 2-7 przez system IPS: Ograniczanie dostępu sieciowego KWarantanna dla użytkowników/urządzeń users/infected devices Zakończenie sesji użytkownika Logowanie zdarzenia dla dalszej analizy Wykorzystanie technologii IDP do wykrywania i izolowania zagrożeń na poziomie użutkownika/urzadzenia końcowego Copyright 2008 Juniper Networks, Inc. www.juniper.net 22
Inżynier Biuro firmy UAC: Kontrola na poziomie aplikacji Rola: Inżynier Serwer finansowy Zasoby Inżynierski Granularna kontrola dostępu do aplikacji Wysoka wydajność Obsługa różnych platform przez captive portal Agnci UAC wspierani na różnych platformach (Mac, Linux) Dynamiczna ochrona IPSec Kontroluje dostęp do kluczowych aplikacji i istotnych danych umożliwiaj liwiając użytkownikom dostęp tylko do właściwych zasobów Copyright 2008 Juniper Networks, Inc. www.juniper.net 23
UAC: Widoczność w sieci i monitoring Corporate Office Zasoby inżynierskie Serwer: Finanse Uwzględnienie tożsamości użytkownika Informacje na temat User/role + wykorzystanie sieci/aplikacji Dynamiczne polityki per user IDP, antivirus, spyware, antispam Gość Użytkownik Finanse Zapewnia dostęp do informacji na temat użytkownika/roli w systemach zarządzania siecią Copyright 2008 Juniper Networks, Inc. www.juniper.net 24
Corporate Office Guest UAC: Dostęp gościnny Guest Role Enforcement Applications Dynamiczne rozpoznawanie użytkowników typu gość, przydział ról, rozróżnianie dostępu sieciowego Tworzenie kont gości na IC Wsparcie dla autentykacji gości bez sprawdzania stacji końcowych Wspólny klient dla dostepu kablowego i WiFi Tryb Agentless wsparcie dla wielu platform i systemów Wsparcie dla przełączników i access point-ów wspierających przydział VLAN bazujący na RADIUS Copyright 2008 Juniper Networks, Inc. www.juniper.net 25
UAC: Elastyczna kontrola dostępu Campus HQ Wired/ Wireless Obsługa pracowników, gości, partnerów, klientów, niezarządzalnych urządzeń itp Unikanie zagrożeń prze kontrolę dostępu w sieciach LAN czy też WiFI Data Center Centralizowane zarządzanie Rozproszona kontrola Kontrola dostępu do aplikacji Wykorzystanie widzialności i kontroli urządzeń sieciowych aplikacji itp Branch Office Internet Wykorzystanie IDP do korelowania informacji o zagrożeniach i dynamicznej ochrony Applications Elastyczne rozwiązanie dla dostepu w rozproszonych sieciach Copyright 2008 Juniper Networks, Inc. www.juniper.net 26
Podsumowanie Copyright 2008 Juniper Networks, Inc. www.juniper.net 27
Kontrola dostępu według Juniper-a Dynamiczna weryfikacja tożsamości, integralności urządzeń oraz lokalizacji Realizaja polityki bezpieczeństwa w czasie rzeczywistym Wykorzystanie istniejącej infrastruktury i standardów Baza użytkowników Kampus, siedziba główna, datacenter Minimalizacja ryzyka przez weryfikację tożsamości i bezpieczeństwa przed przyznaniem dostępu! Bezpiecznie niezależnie od lokalizacji Web (SSG, ISG, Firewall-e NS) Biura Copyright 2008 Juniper Networks, Inc. www.juniper.net 28
Metody ochrony i kontroli dostępu Granularna kontrola / Dostęp role based Dostęp użytkownika w zależności od tego kto Ty jesteś, gdzie się znajdujesz oraz poziomu bezpieczeństwa urządzenia dostępowego (co) Weryfikacja użytkownika i urządzenia dostępowego Who: Tożsamość użytkownika (wsparcie dla tokenów, biometryki itp) Where: Lokalizacja (Zdalny/LAN/Przewodowo/Bezprzewodowo) What: Urządzenie, system operacyjny, status bezpieczeństa (stan personal firewall, AV, łaty bezpieczeństwa itp) Zmiany stanu są wykrywane podczas sesji i powodują egzekwowanie odpowiedniej polityki Zapobieganie nie zgodnym użytkownikom i urzązeniom Zmiana dostępu w zależności od poziomu zgodności z polityką Dostęp do usług dających zgodność z polityką (serwer AV, aktualizacji systemu itp) Wsparcie dla użytkowników zdalnych i lokalnych Copyright 2008 Juniper Networks, Inc. www.juniper.net 29
Controlling Access to Copyright 2008 Juniper Networks, Inc. www.juniper.net 30