1 / 45

Funkwerk UTM

63,0. Wirusy / Robaki / Trojan y. Spam. 55,8. Błędne użycie adresów. 27,2. 23,8. Błędna konfiguracja. 16,2. Ph ishing. 10,6. Ataki DoS. Złe użytkowanie kont. 9,1. 6,8. Odgadnięte hasła. Dane procentowe , źródło : 265 / 190 odpowiedzi ( możliwe wielokrotne odpowiedzi ).

naif
Download Presentation

Funkwerk UTM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 63,0 Wirusy /Robaki/Trojany Spam 55,8 Błędne użycie adresów 27,2 23,8 Błędna konfiguracja 16,2 Phishing 10,6 Ataki DoS Złe użytkowanie kont 9,1 6,8 Odgadnięte hasła Dane procentowe, źródło: 265 / 190 odpowiedzi (możliwe wielokrotne odpowiedzi) Źródło: CRN 11/2006, IT-Security 2006 Funkwerk UTM Najpoważniejsze zagrożenia bezpieczeństwa

  2. Podstawowe pojęcia Definicja UTM Unified Threat Management (UTM) to termin użyty po raz pierwszy przez IDC w 2004 w celu opisania kategorii systemów bezpieczeństwa integrujących szeroką gamę funkcjonalności w jednym urządzeniu. Zgodnie z definicją urządzenia UTM integrują funkcje… firewalla, bramy anty-wirusowej, intrusion detection i prevention na jednej platformie!

  3. Firewall VPN Authentication Application Level Gateway Anti-Virus Intrusion Prevention Anti-Spam Auto Prevention Funkwerk UTM Funkwerk UTM

  4. Przed: $$$$$$$ Inwestycje w bezpieczeństwo, bez licencji, przykład: € 5.000 A-Virus Firewall € 1.000 IDPS € 1.000 A-Spam € 2.000 € 1.000

  5. Teraz: $$ Inwestycja w bezpieczeństwo zawierająca licencję na pierwszy rok: € 1.099 UTM 1500: € 1.099

  6. Przed: §!1grhhh??%”= A-Virus Firewall IDPS A-Spam

  7. Teraz: Łatwo…

  8. Przed Systemy zabezpieczeń były: • bardzo kompleksowe • bardzo drogie • trudne do integracji • trudne w administracji i utrzymaniu • interakcja między komponentami znikoma • trudne w utrzymaniu aktualności = tylko dla dużych firm = ograniczony rynek A-Virus Firewall IDPS A-Spam

  9. Teraz • jedno rozwiązanie dla zagrożeń bezpieczeństwa • bazuje na korporacyjnych standardach bezpieczeństwa • out-of-the-box • łatwa implementacja i administracja • komponenty bezpieczeństwa domyślnie współpracują ze sobą • dobra cena • jeden mechanizm aktualizowania = dla każdej firmy= ogromny rynek

  10. Funkwerk UTM Komponenty Unified Threat Management Firewall, Application Level Gateway • Multi Inspection Firewall z prostą w obsłudze edycją zasad • Application Level Gateway (HTTP, FTP, SMTP, POP3, DNS) • Network- i Port-Address-Translation (Redirect Services) • Serwer DHCP • Ethernet i DSL (PPPoE) Brama VPN • PPTP,L2TP i IPSec • Kodowanie: DES, 3DES, AES, Blowfish, Twofish, Serpent, Cast • Autentykacja: SHA-1, MD5, IKE certificate • IPSec NAT Traversal • Serwer certyfikatów

  11. Funkwerk UTM Komponenty Unified Threat Management Silnik Intrusion Prevention • Blokuje ataki w czasie rzeczywistym zanim dotrą do sieci • Chroni przed Robakami, Trojanami, atakami bazującymi na sieci • Aktywny wewnątrz strumenia danych • Elastyczna i łatwa implementacja Auto Prevention • Łatwe dopasowanie do predefiniowanych poziomów bezpieczeństwa • Definicjez ekipy ekspertów Funkwerk i automatyczna reakcja na ataki • Redukcja zaangażowania administratorów • Aktualizacje online poziomów zabezpieczeń • Funkcjonalność jedynie w Funkwerk PacketAlarm UTM

  12. Funkwerk UTM Komponenty Unified Threat Management Auto/Prevention (Podstawy) • Podstawowy silnik IPSoferuje jedynie czystą bazę schematów jednak bez jakiejkolwiek polityki alokacji: co zrobić kiedy zachodzi jakieś zdarzenie. Administrator czy integrator (reseller) nie otrzymuje żadnego wsparcia co należy zrobić, a co za tym idzie tego typu IPS jest bezwartościową „marketingową implementacją”. • Funkwerk Auto Preventionoferuje kompletną, predefiniowaną politykę i logikę IPS za jednym kliknięciemc. • Dostępne dwa poziomy bezpieczeństwa: normalnyi wysoki • Poziomy mogą zostać przypisane wszystkim grupom ataków lub tylko tym wybranym przez użytkownika • Każda nowa aktualizacja sygnatur IPS już posiada klasyfikację bezpieczeństwa automatycznej prewencji => automatyczna prewencja przed nowymi atakami(!) • Pojedyncze grupy wzorców mogą być odpowiednio dopasowane Źródło www.commtouch.com

  13. Funkwerk UTM Komponenty Unified Threat Management Anti-Spam • Anty-Spam dla SMTP i POP3 • Aplikacja czasu rzeczywistego zwieloskładnikowymi Blackhole-Lists (RBL + ORDB) • Analiza heurystyki zawartości • BiałeiCzarne Listy mogą być dodane • Weryfikacja nagłówków pod kątem standardu MIME • Zdefiniowane reakcje bazujące na klasyfikacji spamu • Transmisja parametrów spamu wewnątrz nagłówka dla użytku indywidualnego • Opcjonalnie: Advanced Detection Engine

  14. Problem: • metoda generuje błędy (przykłady: moral, s-e-x, wysyłanie tekstu jako grafiki, klient jest na czarnej liście przez przypadek) • fine-tuning jest potrzebny ale: Jeśli filtr jest zbyt łagodny wtedy przepuszcza spam (false negative), jeśli filtr jest za silny wtedy traktuje poprawne maile jako spam (false positives) • języki • brak false positives (błędne traktowanie jako spam) • bez fine-tuning • bardzo dobry współczynnik wykrywalności Funkwerk UTM Komponenty Unified Threat Management Anty-Spam (Podstawy) • Podstawowe silnikipatrzą z „zewnątrz” na określone parametry emaila, np. wyrazy i zawartość (tekst, html, grafika), temat, nadawcai serwer naczarnych lub białych listach Silnik Commtouchszuka na całym świecie przypadków pojawienia się masowych emaili i nadaje każdemu listowi indywidualne „odciski palców” Źródło www.commtouch.com

  15. Funkwerk UTM Komponenty Unified Threat Management Anti-Virus, Anti-Spyware, Anti-Phishing • Brama ochory przed wirusamidla HTTP, FTP, SMTP, POP3 • Radzi sobie z wielokrotnie spakowanymi plikami • Reakcje: usunięcielub kwarantanna • Definicje niepożądanych formatów plików • ClamAV dołączony za darmo • Opcjonalne rozwinięcie do Kaspersky Scan Engine Autencykacja użytkownika • wewnętrzna baza użytkowników • zewnętrzna baza LDAP • zewnętrzna baza RADIUS • autentykacja Out-of-Band ->

  16. Przykład 2: restrykcje w dostępie użytkownika https http, ssh http, ftp, pop3 Funkwerk UTM Komponenty Unified Threat Management Autentykacja Out-of-band Niezależna od protokołu autentykacja użytkownika w obu kierunkach, wew.do zew.izew.do wew. Przykład 1: Dostęp zzewnątrz np. OutlookWebAccess lub SSH Intranet …. Z OOBA, niezabezpieczone i wrażliwe usługi mogą być chronione • elastyczny: niepotrzebny klient (https) • utrzymany dostęp do wrażliwych usług Z OOBA ma miejsce autentykacja użytkowników • elastyczny: niepotrzebny klient (https) • niezależne od IP stacji roboczej

  17. Definicja Log Filter bazuje na: Subsystemach (FW, IPS, …) i Poziomach (wysoki, średni, niski, info) Rejestracja Funkwerk UTM Komponenty Unified Threat Management Elastyczne rejestracja zdarzeń (Sub-) SystemoweZdarzenia Firewall Virus Update IPS Mail ......... Wewnętrzny Log SMTP (Email) Syslog SNMP V2 (Tivoli, OpenView) Maks. 100.000 rekordów Auto usuwanie 1000 najstarszych

  18. Funkwerk UTM Komponenty Unified Threat Management Ochrona wielowarstwowa • Architektura ochrony wielowarstwowej w Funkwerk UTM dostarcza niezbędnej w dzisiejszych czasach wszechstronnej ochrony zintegrowanej w jeden system. • Wszystkie warstwy bezpieczeństwa w Funkwerk UTM mogą być w prosty sposób włączane i wyłączane. • Jeśli np. są już zainstalowane Firewall lubsystem anty-wirusowy, moduły te mogą być dezaktywowane w celu pełnej integracji z istniejącym systemem zabezpieczeń. Auto Prevention Anty-Spam Intrusion Detection & Prevention Anti-Virus VPN Firewall

  19. Funkwerk UTM Linia produktówFunkwerk UTM - Macierz UTM 2500 (Gigabit) +50 User + 499 € +50 User + 499 € +Unlim. User + 2000 € UTM 2100 UTM 1500 +25 User + 300 € +25 User + 300 € UTM 1100 Ceny detalicznew € zawierają Software & Pattern Update Software & Pattern Update dla platform za każdy następny rok (niezależnie od użytkowników)

  20. Odkryte nowe zagrożenie (atak, podatność, wirus) Funkwerk UTM Proces bezpieczeństwa – Aktualizacje to konieczność! Aktualizacje oprogramowania i wzorców dla: IPS Auto Prevention A-Virus A-SPAM Instalacja i aktywacja wzorca Opracowany nowy wzorzec Pobranie nowego wzorca Nie sprzedajemy jedynie produktu – sprzedajemy długotrwałą usługę !!

  21. Bezpieczeństwo – Ewolucja zagrożeń luka systemowa – przykład wykorzystania – worm 2. 1. 3. jednaluka systemowa Kilka przykładów wykorzystania Setki wirusów,ataków hackerskich, worm, itp.

  22. Bezpieczeństwo – Ewolucja zabezpieczeń Przykład rozwoju worm’a - I Luka systemowa (dzień 1) • Serwer SMTP oczekuje polecenia xy………(maks. 20 znaków)na porcie 25 • Inżynier programista wykrywa, że w przypadku użycia więcej niż 20 znaków w komendzie, serwer SMTP odpowiada „dziwnymi znakami”. Programista umieszcza informację o tym na powszechnie znanej liście mailingowej i kontaktuje się z producentem serwera poczty.

  23. Bezpieczeństwo – Ewolucja zabezpieczeń Przykład rozwoju worm’a - II Przykład wykorzytania (dzień 5) • Ponieważ producent serwera wyjaśnia, że znaleziona luka nie jest groźna, student informatyki na swoim ostatnim semestrze pokazuje, jak można wykorzystać daną lukę i jak za jej pomocą ktoś mógłby uzyskać dostęp root do systemu: • xy…… (77 znaków)&%na port 25

  24. Bezpieczeństwo – Ewolucja zabezpieczeń Przykład rozwoju worm’a - III Worm (dzień 10) • Niezadowolony z siebie i ze świata młody 17 letni chłopak czyta o przykładzie wykorzystania luki i następnie integruje go z przed chwilą ściągniętym narzędziem do tworzenia worm’ów. W krótkim czasie chłopak „wypuszcza” worm’a z poniższą zawartością: • „Kocham Cię Brunhildo“ • „Darmowy Linux dla wszystkich“ • „Bert to małpa“ • Dużo innych osób w podobny sposób tworzy podobne worm’y z podobną zawartością.

  25. Bezpieczeństwo – Ewolucja zabezpieczeń Czy firewall pomoże? Luka systemowa (dzień 1) xy……… (> 20 znaków)na port 25 • Ponieważ luka systemowa jest na porcie 25, możemy go zablokować na firewall. Niestety, zablokowaliśmy w ten sposób cały ruch e-mail. Poczta nie jest dostępna. Przykład wykorzystania (dzień 5) xy…… (77 znaków)&%na port 25 • Ten sam argument jak powyżej. Worm (dzień 10) „Kocham Cię Brunhildo“ • Ten sam argument jak powyżej. Nie możesz zablokować worm’a lub ataku hackerskiego na firewall w akceptowalny sposób

  26. Bezpieczeństwo – Ewolucja zabezpieczeń Czy pomoże system antywirusowy ? Luka systemowa (dzień 1) xy……… (> 20 znaków)na port 25 • Brak zabezpieczenia ponieważ skaner antywirusowy sprawdza tylko pliki Przykład wykorzystania (dzień 5) xy…… (77 znaków)&%na porcie 25 • Ten sam argument jak wyżej. Worm (dzień 10) „Kocham Cię Brunhildo“ • Worm z sukcesem atakuje system wykorzystując lukę i kopiuje się w systemie.Wynik ataku może być teraz widoczny przez scaner antywirusowy. Antywirus korzystając z sygnatury szuka słów ‘Kocham Cię Brunhildo’. Sygnatury dla worm’a mogą zostać utworzone po napisaniu worm’a i jego „wypuszczeniu”. Każda nowa mutacja worm’a wymaga nowej sygnatury (opóźnienie!).

  27. Bezpieczeństwo – Ewolucja zabezpieczeń Czy pomoże łatka systemowa ? Luka systemowa (dzień 1) xy……… (> 20 znaków)na port 25 • „Łatanie” systemu zawsze jest dobrym rozwiązaniem. Łatka (patch) likwiduje lukę.Każdy system posiadający lukę musi zostać uaktualniony. • Łatka systemowa limitująca polecenie do 20 znaków musi powstać. Jednak w naszym przykładzie inny producent np. SAP lub Oracle używa tego polecenia z 35 znakami od lat i wykorzystuje tą „lukę” jako dodatkową funkcję.Łatka pozbawia nas tej funkcji i musimy jeszcze raz instalować serwer, co powoduje, że luka systemowa znowu jest obecna. Reakcja SAP lub Oracle jest szybka: 3 dni później publikują oni uaktualnienie do swojego oprogramowania. Inny dostawca, mała firma, już nie istnieje ale jego oprogramowanie także wykorzystuje lukę do pewnej funkcji. Takie oprogramowanie musi zostać odinstalowane i zastąpione innym. Rozwiązanie długoterminowe. Bardzo dobra metoda… ale jako rozwiązanie krótkoterminowe bardzo niebezpieczne!

  28. Bezpieczeństwo – Ewolucja zabezpieczeń Czy Funkwerk UTM pomoże? Luka systemowa (dzień 1) xy……… (> 20 znaków)na port 25 • Tak. Moduł PacketAlarm IPS sprawdza czy po poleceniu xy występują dalsze znaki, więcej niż 20 (lub w specjalnych przypadkach więcej niż 35 znaków). Przykład wykorzystania (dzień 5) xy…… (77 znaków)&%na port 25 • Tak. Moduł PacketAlarm IPS sprawdza czy po komendzie xy są dalsze znaki, więcej niż 77 oraz ‘&%’. Nie jest to jednak konieczne gdyż luka sama w sobie jest już rozpoznawana.. Worm (dzień 10) „Kocham Cię Brunhildo“ • Tak, ale nie jest konieczne, luka jest już rozpoznawana. Moduł PacketAlarm IPS może zabezpieczyć system przed atakami hackerów i worm jeszcze przed pojawieniem się przykładów wykorzystania i wormów samych w sobie.

  29. Jak pomaga Funkwerk UTM (1) Jeżeli wysłany przez e-mail (2) jeżeli używa niedozwolonych portów

  30. Funkwerk UTM Docelowy segment klientów Rynek docelowyUTM: • SoHo, małe, średnie i duże firmy oraz korporacje Przykłady rozwiązań UTM: • Rozwiązania niezależne • Rozwiązania korporacyjne • Rozwiązania mieszane (UTM / Router / VoIP / WLAN)

  31. Funkwerk UTM Niezależne rozwiązanie mały duży średni

  32. Funkwerk UTM Niezależne rozwiązanie LAN to LAN Routing & Security LAN to WAN Routing & Security LAN, WAN, DMZ Routing & Security WAN WAN serwer

  33. Centralne zdalne zarządzanie! Funkwerk UTM Rozwiązanie korporacyjne serwer Bezpieczeństwo przez VPN!

  34. Funkwerk UTM Router czy UTM ? Perfekcyjne dopasowanie UTM Router Ethernet, PPPoE (potrzebny modem DSL) + WAN – dostęp do sieci + Routing LAN do LAN NAT, PAT, itp. + Routing + + Prosty Firewall VPN Content Filter ( <- UTM w Q3 ) Bezpieczeństwo +

  35. Funkwerk UTM Rozwiązanie mieszane Router / UTM Specjalne wymogi dla WAN Wsparcie ISDN lub S2M DSL Modem X.21, ATM, FrameRelay, itp. Bezpieczeństwo VPN

  36. Funkwerk UTM Rozwiązanie mieszane UTM / WLAN Pracownicy terenowi, klienci, gościeitp. Np. hotele, szpitale, biura …

  37. Funkwerk UTM Rozwiązania mieszane

  38. Funkwerk UTM Argumenty w sprzedaży • Bezpieczeństwo all-in-one dzięki wielowarstwowej architekturze zabezpieczeń • Bardzo prosta instalacja dzięki Setup-Wizard • Bardzo prosta konfiguracja i roll-out • Funkcjonalność plug-and-secure dzięki Auto-Prevention • Bezpieczeństwo w tunelach VPN (ruch VPN również musi przejść przez zabezpieczenia) • Zcentralizowana aktualizacja online sygnatur i oprogramowania • Basic Spam i Virus Protection dodane w standardzie • Skanowanie anty-wirusowe możliwe również dla dużych plików • Opcjonalnie silniki Kaspersky i Commtouch • Autentykacja użytkownika (OOBA, wewnętrzna, LDAP, Radius, certyfikaty) • Rozwiązania zcentralizowanego zdalnego zarządzania • Łatwa administracja (nowe FCI) • Zewnętrzne zapisywaniepo Syslog, SNMP i SMTP • Wszechstronne użycie – niezależny systemlub element polityki bezpieczeństwa • Bardzo niskie TCO

  39. Funkwerk Enterprise Communication Funkwerk PacketAlarm IDS i IPS

  40. SQL Slammer MS Blaster Code Red Nimda TCP/IP Ładunek głębia inspekcji S D P Wprowadzenie – problem bezpieczeństwa Poziom głębi inspekcji Zagrożenia hybrydowe takie jak np. MS Blaster, Nimda, Code Red czy SQL Slammer dowiodły, że Routery, Firewallei Systemy Anty-Wirusowe to niewystarczające zabezpieczenia sieci w firmach. Firewall Anty-Wirus

  41. TCP/IP Ładunek S D P głębia inspekcji PacketAlarm – Bezpieczeństwo najwyższej klasy Skalowalna ochrona wysokiego poziomu dla każdego przypadku użycia. IDS IPS UTM

  42. Funkcjonalności PacketAlarm IDS Rozwiązanie: rodzina produktów PacketAlarm Intrusion Detection System (IDS) • Szybki silnikwykrywania intruzów • Pełny monitoring ruchu danych w całym segmencie sieci • Składowanie szczegółowo opisanych zaatakowane danych i wysyłanie alertów • Silny Vulnerability Scanner • Niewidoczny wewnątrz sieci • Brak wpływu na wydajność i ruch (pasywne węszenie) • Detekcja anomalii • Korelacja zdarzeń • Śledzenie ruchu • Automatyczna aktualizacja wzorców i oprogramowania • Łatwa i prosta konfiguracja i administracja • Centralne zarządzanie i prowadzenie dochodzenia w systemach złożonych

  43. Funkcjonalności PacketAlarm IPS Rozwiązanie: rodzina produktów PacketAlarm Intrusion Prevention System (IPS) • Szybki silnik zapobiegania atakom • Aktywny wewnątrz strumienia danych • Aktywnie zapobiega atakom Robaków, Trojanów, atakom na siećitd. Przez blokowanie • Składowanie szczegółowo opisanych zaatakowane danych i wysyłanie alertów • Automatyczna aktualizacja wzorców i oprogramowania • Prosta konfiguracja i administracja • Detekcja anomalii • Śledzenie ruchu • Wykorzystuje techniki wielorakiej korelacji w celu rozwiązywania problemu tzw. „false positive“ • Łatwa i elastyczna integracja dzięki implementacji w warstwie 2 lub 3 • Opcja High Availability • Centralne zarządzanie i prowadzenie dochodzenia w systemach złożonych

  44. Linia produktów IDS/IPS Rozwiązanie: rodzina produktów PacketAlarm Linia produktówIDS: Funkwerk PacketAlarm IDS 100 Nieograniczona liczna użytkowników, dla sieci100 Mbit/s Funkwerk PacketAlarm IDS 250 Nieograniczona liczba użytkowników, dla sieci1000 Mbit/s Linia produktówIPS: Funkwerk PacketAlarm IPS 100 Nieograniczona liczna użytkowników, dla sieci100 Mbit/s Funkwerk PacketAlarm IPS 250 Nieograniczona liczba użytkowników, dla sieci1000 Mbit/s Wszystkie produkty Funkwerk PacketAlarm IDS i IPS są również dostępne w wersji software’owej !

  45. Funkwerk Security Dziękujemy!

More Related