1 / 16

Moderní vzdálený přístup

Moderní vzdálený přístup. Martin Koldovský mkoldov @checkpoint.com SE Manager Eastern Europe. Výzvy. poskytnout vzdálený přístup většímu množství uživatelů nové role uživatelů nová zařízení (mobiln í zařízení, ... ) nová prostředí (sd ílené počítače, domácí PC, ...)

gregory-jennings
Download Presentation

Moderní vzdálený přístup

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Moderní vzdálený přístup Martin Koldovský mkoldov@checkpoint.com SE Manager Eastern Europe

  2. Výzvy • poskytnout vzdálený přístup většímu množství uživatelů • nové role uživatelů • nová zařízení (mobilní zařízení, ...) • nová prostředí (sdílené počítače, domácí PC, ...) • více možností řízeného vzdáleného přístupu bez kompromisů v zabezpečení a s rozumnými nároky na administraci

  3. Vzdálený přístup dříve a dnes • Dříve • pomalé připojení na omezenou dobu • relativně nízká míra rizika • připojení na veřejné IP adrese, bez překážek • Dnes • stálé rychlé připojení, vysoká míra rizika • broadband a bezdrátové sítě • wifi hotspoty – captive portály • další překážky- překlad adres, firewall, proxy

  4. Agenda • Kdo přistupuje vzdáleně - autentizace • Za jakých podmínek přistupuje - NAC • Odkud přistupuje – VPN klienti a “bezklientský přístup” • Přístup ze sdíleného klientského PC • Mobilní přístup • Přes co přistupuje – VPN brány

  5. Kdo přistupuje - autentizace nové způsoby autentizace • DynamicID – jednorázová hesla zasílaná přes SMS • vzd. přístupem umožní vybavit více uživatelů a okamžitě se silným způsobem autentizace bez nákladů na autentizační zařízení pro každého uživatele (každý uživatel již token má – jeho mobil) • vhodné i pro scénář přístupu ze sdíleného PC, kde nelze použít smartcard, USB aut.tokeny apod. (není čtečka, nejsou drivery)

  6. Za jakých podmínek přistupuje - NAC • pravidla na papíře a ve skutečnosti – začít bezpečnostní politiky sledovat a technicky vynucovat • Network Access Control (NAC) - integrováno do VPN klienta • clientless NAC – na vyžádání, z webového prohlížeče • jde o cooperative enforcement – podílí se na něm brána na základě znalostí o konfiguraci a stavu klienta

  7. Clientless NAC

  8. Nezanechat stopy na sdíleném PC • ve sdíleném prostředí - SecureWorkspace • bezpečné zpracování firemních dat na sdíleném PC – šifrované prostředí, které je odstraněno s koncem relace • zabránit úniku informací přes sdílený počítač (zapomenuté interní dokumenty v internetové kavárně, nebezpečí spyware) • zabezpečení clipboardu, kontrola tisku • zabránit exportu dat ze zabezpečené relace • Program Control – jen autorizované aplikace a ochrana před malware • na vyžádání ze sítě nebo na USB

  9. Clientless nemusí znamenat bez možnosti plné IP konektivity • podpora nativních aplikací vyžadujících plnou IP konektivitu • SSL Network Extender • IP konektivita bez nutnosti administrátorských práv na straně klienta • SSL Network Extender Application Mode

  10. Mobilní zařízení • SecureClient Mobile • iConn – VPN klient pro iPhone • ActiveSync přes SSL - “bezklientský” zabezpečený e-mail

  11. Nový rezidentní VPN klient • nová generace řešení SecureClient = Check Point Endpoint Connect • nyní i v balíku Endpoint Security – od verze R72

  12. Dva extrémní přistupy jsou kombinovány • “ode zdi ke zdi”? • IPSec vs SSL VPN • organizací spravovaný koncový bod vs. koncové zařízení, o kterém víme jen velmi málo • rezidentní klient vs. clientless přístup

  13. Ochrana na straně VPN brány • integrované bezpečnostní brány • integrace řízení přistupu (firewall), intrusion prevention, webového aplikačního firewallu, content inspection (AV) • cooperative enforcement – integrace NAC do VPN brány Web Server Normal User Security Gateway / Connectra Hacker/ Infected PC Application Server Email Server Normal User

  14. VPN brány Connectra 9072 • Connectra • univerzální VPN koncentrátor pro SSL VPN i rezidentní IPSec klienty a mobilní zařízení • k instalaci jako appliance, software nebo na VMware ESX • VPN-1(UTM-1/Power-1) • integrovaná bezpečnostní brána • nový SSL VPN Blade (“Connectra na platformě VPN-1”)

  15. Total Security from Check Point SingleEndpoint Security Agent Single Security Management Console UnifiedGateways totalsecurity from Check Point Only with Check Point can youachieve total end-to-end security with a single line of unified security gateways, a single agent for all endpoint security needs, all managed by our single integrated security management console.

  16. ActiveSync support Internet Internet ActiveSync over SSL Native ActiveSync over SSL • Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy) • Leveraging native built-in mail client • Any mobile phone supporting ActiveSync (WM, iPhone, Android, Symbian) • Basic and client certificate based authentication • Auto-enrollment from the SSL VPN gateway • Access policy based on users groups • Support for multiple Exchange servers Security Gateway w/ SSL VPN Blade Active Directory MS Exchange Mail Server • MS Exchange server is decoupled from the internet • Centrally managed remote-access strong authentication • Control endpoint security through ActiveSync with additional options (Device lock , encryption, remote wipe,

More Related