160 likes | 272 Views
Moderní vzdálený přístup. Martin Koldovský mkoldov @checkpoint.com SE Manager Eastern Europe. Výzvy. poskytnout vzdálený přístup většímu množství uživatelů nové role uživatelů nová zařízení (mobiln í zařízení, ... ) nová prostředí (sd ílené počítače, domácí PC, ...)
E N D
Moderní vzdálený přístup Martin Koldovský mkoldov@checkpoint.com SE Manager Eastern Europe
Výzvy • poskytnout vzdálený přístup většímu množství uživatelů • nové role uživatelů • nová zařízení (mobilní zařízení, ...) • nová prostředí (sdílené počítače, domácí PC, ...) • více možností řízeného vzdáleného přístupu bez kompromisů v zabezpečení a s rozumnými nároky na administraci
Vzdálený přístup dříve a dnes • Dříve • pomalé připojení na omezenou dobu • relativně nízká míra rizika • připojení na veřejné IP adrese, bez překážek • Dnes • stálé rychlé připojení, vysoká míra rizika • broadband a bezdrátové sítě • wifi hotspoty – captive portály • další překážky- překlad adres, firewall, proxy
Agenda • Kdo přistupuje vzdáleně - autentizace • Za jakých podmínek přistupuje - NAC • Odkud přistupuje – VPN klienti a “bezklientský přístup” • Přístup ze sdíleného klientského PC • Mobilní přístup • Přes co přistupuje – VPN brány
Kdo přistupuje - autentizace nové způsoby autentizace • DynamicID – jednorázová hesla zasílaná přes SMS • vzd. přístupem umožní vybavit více uživatelů a okamžitě se silným způsobem autentizace bez nákladů na autentizační zařízení pro každého uživatele (každý uživatel již token má – jeho mobil) • vhodné i pro scénář přístupu ze sdíleného PC, kde nelze použít smartcard, USB aut.tokeny apod. (není čtečka, nejsou drivery)
Za jakých podmínek přistupuje - NAC • pravidla na papíře a ve skutečnosti – začít bezpečnostní politiky sledovat a technicky vynucovat • Network Access Control (NAC) - integrováno do VPN klienta • clientless NAC – na vyžádání, z webového prohlížeče • jde o cooperative enforcement – podílí se na něm brána na základě znalostí o konfiguraci a stavu klienta
Nezanechat stopy na sdíleném PC • ve sdíleném prostředí - SecureWorkspace • bezpečné zpracování firemních dat na sdíleném PC – šifrované prostředí, které je odstraněno s koncem relace • zabránit úniku informací přes sdílený počítač (zapomenuté interní dokumenty v internetové kavárně, nebezpečí spyware) • zabezpečení clipboardu, kontrola tisku • zabránit exportu dat ze zabezpečené relace • Program Control – jen autorizované aplikace a ochrana před malware • na vyžádání ze sítě nebo na USB
Clientless nemusí znamenat bez možnosti plné IP konektivity • podpora nativních aplikací vyžadujících plnou IP konektivitu • SSL Network Extender • IP konektivita bez nutnosti administrátorských práv na straně klienta • SSL Network Extender Application Mode
Mobilní zařízení • SecureClient Mobile • iConn – VPN klient pro iPhone • ActiveSync přes SSL - “bezklientský” zabezpečený e-mail
Nový rezidentní VPN klient • nová generace řešení SecureClient = Check Point Endpoint Connect • nyní i v balíku Endpoint Security – od verze R72
Dva extrémní přistupy jsou kombinovány • “ode zdi ke zdi”? • IPSec vs SSL VPN • organizací spravovaný koncový bod vs. koncové zařízení, o kterém víme jen velmi málo • rezidentní klient vs. clientless přístup
Ochrana na straně VPN brány • integrované bezpečnostní brány • integrace řízení přistupu (firewall), intrusion prevention, webového aplikačního firewallu, content inspection (AV) • cooperative enforcement – integrace NAC do VPN brány Web Server Normal User Security Gateway / Connectra Hacker/ Infected PC Application Server Email Server Normal User
VPN brány Connectra 9072 • Connectra • univerzální VPN koncentrátor pro SSL VPN i rezidentní IPSec klienty a mobilní zařízení • k instalaci jako appliance, software nebo na VMware ESX • VPN-1(UTM-1/Power-1) • integrovaná bezpečnostní brána • nový SSL VPN Blade (“Connectra na platformě VPN-1”)
Total Security from Check Point SingleEndpoint Security Agent Single Security Management Console UnifiedGateways totalsecurity from Check Point Only with Check Point can youachieve total end-to-end security with a single line of unified security gateways, a single agent for all endpoint security needs, all managed by our single integrated security management console.
ActiveSync support Internet Internet ActiveSync over SSL Native ActiveSync over SSL • Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy) • Leveraging native built-in mail client • Any mobile phone supporting ActiveSync (WM, iPhone, Android, Symbian) • Basic and client certificate based authentication • Auto-enrollment from the SSL VPN gateway • Access policy based on users groups • Support for multiple Exchange servers Security Gateway w/ SSL VPN Blade Active Directory MS Exchange Mail Server • MS Exchange server is decoupled from the internet • Centrally managed remote-access strong authentication • Control endpoint security through ActiveSync with additional options (Device lock , encryption, remote wipe,