Wielkoskalowe wdroŝenia systemów bezpieczeństwa w rozproszonych organizacjach i środowiskach telekomunikacyjnych Michał Jarski Country Manager Poland, Romania & Bulgaria
Check Point Total Security Unified Gateways Single Security Management Console Single Endpoint Security Agent Check Point Total Security 2
Na czym się skoncentrujemy Bezpieczeństwo w rozproszeniu i mobilności Biura regionalne Zdalne placówki POS ATM Zdalni pracownicy Outsourcing bezpieczeństwa w telekomunikacji Małe przedsiębiorstwa (SOHO) Klienci indywidualni Disaster recovery 3
Bezpieczna komunikacja dla małych firm i zdalnych biur UTM-1 EDGE
Scenariusz 1: Mała lub średnia firma Średniej wielkości firma Internet UTM-1 Edge ` 2 biura 5
Scenariusz 2: Większa organizacja, bardziej złoŝone wymagania złoŝony routing przez centralę 5 biur wymaga HA Centrala Internet UTM-1 Edge ` 25 biur 6
Scenariusz 3: Środowisko klasy Enterprise wymagane zapasowe łącza internetowe DuŜa Centrala Internet UTM-1 Edge ` 1000 lokalizacji 7
Scenariusz 4: Operator telekomunikacyjny (Managed Service Provider) Zaawansowane zarządzanie wielodomenowe Provider-1 ` ` klienci 8
Scenariusz 5: WdroŜenie wielkoskalowe - SMP Tysiące lokalizacji wymagających stabilności i elastyczności zarządzania Enterprise NOC Management Server User Interface Internet 9
VPN Communities Star Community (Hub & Spoke) Fully Meshed Community Nested Community 10
Dynamic VPN (DVPN) 11
Dynamic DNS (DDNS) 12
SMP On-demand 13
Szczególne cechy UTM-1 Edge
Zapasowe łącze internetowe ISP 2 X ISP 1 Hub Zdalne Biuro 15
High Availability Internet ISP1 ISP2 Hub Primary Backup Primary Backup Hub Hub Zdalne Biuro Zdalne Biuro 16
Routing VPN przez Centralę Topologia gwiazdy Dostęp do Internetu tylko przez główny firewall korporacyjny Dodatkowe funkcje bezpieczeństwa realizowane centralnie Centrala VPN-1 UTM-1 Edge UTM-1 Edge Zdalne Biuro Zdalne Biuro 17
Zdalny dostęp: uŝytkownicy Endpoint Security Mała firma UTM-1 Edge Internet 18
Zdalny dostęp: Multi-Site Zdalne lokalizacje UTM-1 Edge Internet ` UTM-1 Edge UTM-1 Edge 19
Strefa DMZ Serwery publiczne Mała firma UTM-1 Edge Internet 20
Nowości w UTM-1 Edge 7.5 8.0 21
V-Stream Antispam 22
Dynamiczny Routing BGP BGP jest wspierane równolegle z OSPF Współpraca z routerami BGP firm trzecich Wsparcie dla route based VPN 23
Terminal Server Zintegrowany konwerter TCP - RS232 Tryb pasywny przyjmowanie połączeń od klienta telnet Tryb aktywny nawiązywanie połączeń do zdalnego serwera telnet Wsparcie uwierzytelniania MoŜe być uŝyte do tunelowania RS232-RS232 Idealne do obsługi terminali Point of Sale (POS), aplikacji telekomunikacyjnych udostępnienie sprzętu RS232 przez VPN 24
USB Backup / Restore Wykorzystanie kluczyka USB do zapisywania i odtwarzania konfiguracji Rapid Deployment szybkie klonowanie konfiguracji dla wielu urządzeń 25
Wbudowane uwierzytelnianie EAP Uwierzytelnianie EAP za pomocą lokalnej bazy uŝytkowników 802.1x lub WPA Enterprise Nie potrzeba zewnętrznego serwera RADIUS Uproszczenie Network Access Control (NAC) 802.1x WPA Enterprise Wewnętrzna Baza UŜytkowników 26
Nowe modele EDGE 3G 27
Połączenia 3G USB lub ExpressCard Jako łącze zapasowe lub podstawowe 28
SmartProvisioning
Wsparcie dla wielkoskalowych wdroŝeń Centralne zarządzanie konfiguracjami Prototypowanie Konfiguracja sieciowa (interfejsy) Backupy Uruchamianie skryptów Rebootowanie urządzeń Aktualizacja i zarządzanie pakietami (HFA) Zarządzanie licencjami Sprawdzanie stanu urządzeń Funkcje zawarte dotychczas w Sysconfig/WebUI 30
SmartProvisioning Funkcjonalność SmartProvisioning WEB UI Smart LSM Smart Update SPLAT SysConfig 31
Profile Backup Host Profile Domain Name DNS 32
Profile Aktualizacja London Zmiana Milano DNS = 5.5.5.5 DNS = 3.3.3.3 4.4.4.4 Profile DNS = 3.3.3.3 4.4.4.4 DNS = 3.3.3.3 4.4.4.4 Paris Prague DNS = 3.3.3.3 4.4.4.4 DNS = 3.3.3.3 5.5.5.5 4.4.4.4 DNS = 3.3.3.3 4.4.4.4 Barcelona Milano Tel-Aviv 33
Akcej wykonywane w SmartProvisioning Run script Get Actual Settings Package Actions STOP/START RESTART/REBOOT GATEWAY Backup Push Policy Dynamic Objects Provisioning Profile Device Provisioning SmartUpdate Smart LSM 34
Bezpieczne Bankomaty Studium Przypadku
Wyzwania dla banków Przejście z EOL OS2 na MS WinXP Zarządzanie ATM przez firmy trzecie Wykorzystanie róŝnych sieci dostępowych Konieczność centralnego zarządzania Sieci IP Nowe funkcje w bankomatach 36
Infrastruktura sieciowa banku Sieć oddziałowa Network Operations Center 1 Sieć IP ATM 2 Sieć IP ATM Provider-1 Sieć korporacyjna 37
Rozwiązanie Check Point 1 Uwierzytenianie urządzeń (certyfikaty) 5 Centralne zarządzanie aplikacjami i usługami bezpieczeństwa 4 Centrum Danych Priorytetyzacja ruchu zapewniająca dostępność usług ATM Główny VPN gateway UTM-1 EDGE link link link Dowolna sieć IP link Sieć wewnętrzna Systemy i aplikacje 2 Szyfrowanie Standby VPN gateway 3 Integracja ATM i systemów korporacyjnych 38
Łatwy zdalny dostęp dla uŝytkowników Connectra NGX R66
Środowisko zdalnego dostępu Centrala Intranet Email Aplikacje Pliki Extranet Portal Aplikacje Pliki Nowa Rzeczywistość Więcej zdalnych pracowników i lokalizacji Więcej rodzajów urządzeń RóŜnorodne potrzeby Urządzenia bez moŝliwości zarządzania Sprytniejsi włamywacze Regulacje Cięcie kosztów Brama Dostępowa Day Extenders Email Proste aplikacje Komputer domowy Telepracownicy Email Aplikacje Komputer firmowy Mobilni pracownicy Email Proste aplikacje Komputer firmowy lub publiczny Extranet Komputery partnerów 40
Total Security dla zdalnego dostępu Potrzeby biznesowe Potrzeba Zunifikowanego Bezpiecznego Zdalnego Dostępu SSL VPN i IPSec VPN Zapobieganie włamaniom (IPS) Centralne zarządzanie RóŜne sieci dostepowe Mocne, łatwe w uŝyciu uwierzytelnianie Elastyczność wdroŝenia Potrzeby bezpieczeństwa Praca gdziekolwiek Elastyczny dostęp RóŜnorodne urządzenia Regulacje Łatwość uŝycia Niskie TCO Ochrona dostępu Ochrona sieci Ochrona terminali Precyzyjne zarządzanie 41
Zintegrowana ochrona przed włamaniami Web Server Serwer Aplikacyjny Connectra Normalny UŜytkownik Hacker/ Zainfekowany PC Serwer Email Normalny UŜytkownik 42
Bezpieczeństwo Terminali Endpoint Security On Demand Wszystkie terminale są skanowane względem polityki bezpieczeństwa Connectra Chroni przed zagroŝeniami na terminalach Skanuje terminal pod kątem wrogiego oprogramowania zanim wpuści do systemu wewnętrznego Sprawdza aktywność i aktualność AV Sprawdza aktualizacje Windows Sugeruje sposoby naprawienia luk Opcje Skanowania Endpointów Niezarządzany PC gościa Ograniczenie dostępu Publiczny PC bezpieczny browser PodwyŜszone prawa dostępu Spyware / malware scan Antivirus i firewall aktywne Zainstalowane update y/patche Sandbox Wykryty Spyware Odmowa dostępu Odesłanie do sandboxu 43
Przyjemność UŜytkowania Hasła SMS Łatwa i bezpieczna forma dwuskładnikowego uwierzytelniania Eliminuje dedykowany serwer uwierzytelniający Eliminuje karty i tokeny Inteligentne SSO Łatwy w konfiguracji system single sign-on (SSO) dla aplikacji web Ułatwienie w zarządzaniu hasłami Redukcja obciąŝenia helpdesku Secure Workspace Powstrzymuje wyciek danych na niezabezpieczonych terminalach Wirtualne środowisko pracy kasowane przy zamykaniu sesji Hasło dostarczone bezpośrednim SMSem do telefonu uŝytkownika 44
Przyjemność UŜytkowania Connectra Portal Bezpieczny dostęp przez przeglądarkę Łatwy i bezpieczny dostęp do zasobów Połączenie przez standardową przeglądarkę lub iphone Web Mail i Aplikacje Własne Aplikacje Webowe Dostęp do Plików 45
Check Point Endpoint Connect Endpoint Connect VPN Client Nowy lekki klient IPSec VPN Bezpieczne zdalne uwierzytelnianie Niezakłócona praca nawet przy zmianie sieci Location Awarness automatyczne połączenie w momencie wykrycia zasięgu sieci Skanuje terminal pod kątem zgodności z polityką Dołączany do Connectry, bezpośrednie pobieranie z bramki 46
Łączność Mobilna SecureClient Mobile Dostep przez SSL VPN do krytycznych zasobów z PDA lub smartfone Przezroczysty, nawet przy zmianie sieci (GSM/WiFi) Wsparcie dla Windows Mobile 5.0/6.0 i PocketPC 2003 47
Opcje WdroŜeniowe Appliance Connectra 270 Connectra 3070 Connectra 9072 SMB: 10 100 u. Enterprise: 100 1000 u. DuŜe Enterprise: 250 10000 u. Platformy Serwerowe Connectra Software Serwery otwarte Appliance Secured by Check Point Integrated Appliance Solutions (IAS) VMware ESX Server ClusterXL jest zawarty w kaŝdym pakiecie Connectra 48
Connectra Virtual Appliance Connectra Software jako Virtual Appliance Connectra Software wspiera VMware ESX Server Idealna dla MSP, ISP i operatorów telekomunikacyjnych oferujących zdalny dostęp swoim klientom Pozwala na tworzenie i zarządzanie wieloma zindywidualizowanymi portalami uŝytkowników Centralne zarządzanie wirtualnymi bramkami przez SmartCenter Konsolidacja hardware u i redukcja kosztów Szybkie tworzenie systemów dostepowych ad hoc disaster recovery Niezrównana łatwość wdroŝenia 49
Pytania? Michał Jarski