360 likes | 516 Views
Trend Micro partnernap - Deep Security 2010.09.23. Soós Zoltán Arrow Ecs kft. Történeti áttekintés. 2004-ben megalakult a Third Brigade nevű kanadai cég. Elsősorban nagyvállalati termékeket fejlesztettek.
E N D
Trend Micro partnernap - Deep Security2010.09.23. Soós Zoltán Arrow Ecs kft.
Történeti áttekintés • 2004-ben megalakult a Third Brigade nevű kanadai cég. • Elsősorban nagyvállalati termékeket fejlesztettek. • A “biztonság mindenek előtt”, és a könnyű menedzselhetőség mindig fontos volt a cég számára. • Mint sok minden más, ez a történet is egy akvizícióval zárult le. • A Trend Micro megvásárolta 2009-ben a céget. • A két cég együttműködésének a terméke aTrend Micro Deep Security. • 2010.10.05.-én megjelenik a Deep Security 7.5
A fenyegetésekről számokban • 100 milliárd USD kárt okozott 2008-ban az online bűnözés • 285 millió személy adatait lopták el • Az esetek 75%-a felderítetlen marad • A Harvard egyetem ellen 7 másod- percenként kíséreltek meg betörést
Mi is a Trend Micro Deep Security... • TM weboldal: Deep Security provides advanced protection for systems in the dynamic datacenter—from virtual desktops to physical, virtual or cloud servers. It combines intrusion detection and prevention, firewall, integrity monitoring, log inspection and agentless anti-malware capabilities in a single, centrally managed enterprise software solution. • Arrow weboldal: Kiszolgáló- és alkalmazásvédelem az adatközpontok számára. • A Deep Security egy mind fizikai, mind virtualizált környezetben használható, egyedi, védelmi szoftver, melynek a segítségével bármely gép megvédhető a támadások ellen. Tartalmaz automatikus Agent telepítési lehetőséget, tűzfalat, IDS megoldást, logelemzést, változásfigyelő modult, és számos malware elleni védelmet.
Trend Micro Deep Security képekben • Teljes körű csomagellenőrzés, a behatolás észlelése és megelőzése, integritás figyelés, alkalmazások ellenőrzése, stateful inspection alapú, kétirányú szűrést végző tűzfal, valamint a naplózás ellenőrzése
A Deep Security architektúra I. • Deep Security Manager – központi menedzsment felület • Deep Security Agent – Agent a védendő gépekre (mindegy, hogy kliens vagy szerver, fizikai vagy virtuális) Deep Security Virtual Appliance – VMWare-re telepíthető szerver komponens, mely speciálisan az adott VMWare gépen lévő gépek védelmét valósítja meg (VMSafe API-t használ) • Security Center – A Trend Micro támogatásával működő szakértői csoport, mely cloud-computing-ot valósít meg (minimális a lokális erőforrás használat)
Támogatott platformok • Operációs rendszer • Microsoft Windows 2000 (32 bit), XP (32 bit/64 bit), Embedded XP, Windows 7, Windows Vista (32 bit/64bit), Windows Server 2003 (32 bit/64 bit), Windows Server 2008 (32 bit/64 bit) • Solaris OS 8, 9, 10 (64 bit SPARC, x86) • Linux Red Hat Enterprise 3.0 (32 bit), 4.0, 5.0 (32 bit/64 bit), SUSE Enterprise 9, 10 (32 bit) • UNIX AIX 5.3, HP-UX 10, 11i v2, 11i v3 (részleges) • Virtualizációs platformok • VMware ESX Server 4, VMWare vSphere 4.1 • Citrix XenServer Guest VM • Microsoft HyperV Guest VM • Sun Solaris 10 op.rendszer partíciók
Deep Security Agent • Network layer tűzfal • Deep Packet Inspection (DPI) IPS modul • Integrity Monitoring modul • Log Inspection modul
Deep Security Virtual Appliance • 4118-as port, 20 GB, 256 MB RAM, Ubuntu operációs rendszer
A virtualizáció plusz kockázata • Antivírus lokálisan? • IPS – lokálisan, vagy hardveres? • Hogyan ellenőrzöm le az éppen kikapcsolt VMWare image-ket? • Mit lehet tenni a beépített vSwitch-el? • Könnyedén másolhatóak a VMWare image-k, de mi van, ha az egyik vírust tartalmaz? • Hogyan optimalizálhatom az erőforrás használatot?
Deep Security egyedi előnyei • Recommendation scan (és a hozzá tartozó javítás) • Egyedi signature-ok telepítési lehetősége • Role-based autentikáció • Komplett workflow (ticketing rendszerrel) • HOST IPS és Deep Packet Inspection (DPI) • Network és Application layer firewall, vulnerability management • File integrity monitoring • Scan időzítés véletlenszerűvé tehető • VMWare esetén lehetséges whitelisting image alapján csak a változást scan-elni (másodpercek alatt végez egy teljes géppel) • Log inspection • Könnyű menedzselhetőség
Deep Security hiányossága - volt • Anti-malware beépítve, viszont az antivírus megoldás nem volt integrálva • 2010.09.05.-én megjelent a 7.5 verzió, melyben már van vírusvédelem is (VMware vShield Endpoint API) • Eddig is egy gépre telepíthető volt a Deep Security Manager és az OfficeScan Server (a kliensek is működnek egy gépen)
Deep Security Manager hardver követelmények • Microsoft Windows Server 2008 (32- or 64-bit), vagy Microsoft Windows 2003 Server SP2 (32- or 64-bit) • 4 GB HDD (NTFS) • 2 GB RAM • Apache Derby database engine (installed by default), Oracle 10g, Oracle 10g Express Edition, Microsoft SQL Server 2008 SP1, Microsoft SQL Server 2005 SP2 or SP3, Microsoft SQL Server 2005 Express • 4118 port (Deep Security Manager to Deep Security Agent) • 4119, 443 (Deep Security web console communication) • 4120 (Deep Security Agent to Deep Security Manager) • Mozilla Firefox 3 or later, vagy Microsoft Internet Explorer 7.0 or later
Deep Security Manager telepítése • Next, Next, Finish jellegű • Az adatbázis szerver típusát kell megadni • A license kulcs szükséges a telepítéshez
Deep Security Manager konzol • https://<Manager_hostname_or_IP_address>:4119/
Deep Security Manager frissítése • Először mindig frissítsük az adatbázist, az Agent és a Manager verziókat is (ehhez egy felhasználó név, jelszó páros szükséges)
Deep Security Virtual Appliance telepítése • A Deep Security Manager-t hozzá kell rendelni a VMWare vCenter-hez • A Prepare ESX Server menüvel elő lehet készíteni a VMWare szervert • A Deploy Appliance menüvel telepíteni lehet a virtuális szervert • IP címet kell rendelni a szerverhez • Aktiválni kell a kiszolgálót • Aktiválni kell a védelmi szabályrendszert
Deep Security Agent telepítése • .msi file-ok (OS specifikusak) megtalálható a Deep Security Manager szerveren • Software distribution programmal is telepíthető • Egyesével az .msi file-ok másolásával • A Deep Security Manager konzolról hozzá kell adni az Agent-et a listához
Deep Security Manager Discover • Felderíteni a hálózaton lévő gépeket
Assign Security Profiles • Az Agent-ekhez hozzárendeljük a szabályrendszert
Security Profiles • A csoportokhoz hozzárendelhető szabályrendszerek
Agent konfigurálása • Activate / Reactivate • Check status • Update now • Get events now • Clear warning/errors • Lock • Upgrade Agent software • Scan for open ports • Scan for recommendations • Clear recommendations • Scan for integrity changes • Rebuild baseline • Move to group • Assign Security profile • Assign asset value
Scan for recommendation • Melyek azok a sérülékenységek, melyek relevánsak az adott gépen • Időzíthető is
Integrity Monitoring • Egyes rendszerszintű beállítások változását vizsgálja a klienseken (registry, service-k állapota, dll file-ok, stb.) • Kell egy baseline scan • Közös image esetén könnyebb a használat • Lehet online is • Azonnali riasztás is küldhető
Tűzfal szabály létrehozása • Name: Deny Inbound Telnet • Action: Deny • Priority: 3 – High • Direction – Incoming • Frame Type: IP • Protocol: TCP • Packet Source (IP and MAC): Any • Packet Destination (IP): Any • Packet Destination (MAC): Any • Packet Destination Port: Telnet • Any Flags: checked
Deep Secuirty Manager riportok • Csatolva található egy példa riasztás • Csatolva található egy példa riport
Események továbbítása - SIEM • Képes nem csak a Deep security manager adatbázisába logolni, de syslog-on keresztül, más SIEM megoldásokba is: • RSA Envision, • ArcSight, • Intellitactics, • NetIQ, • Q1Labs, • Loglogic
Compliance • PCI DSS • FISMA • HIPAA
Szoftver demó célra • http://www.trendmicro.com/ftp/products/us/Quanevideo/Web/1857_TrendMicro_DeepSecurity.html • http://www.trendmicroaffinity.com/ (csak partnereknek van azonosítójuk) • Kérhet tőlünk is: trendmicro@arrowecs.hu
Elérhetőségeink • Általános • Arrow ECS kft. • +361 3712370 • trendmicro@arrowecs.hu • Trend Micro specifikus • http://www.arrowecs.hu/products/trendmicro/trendmicro.php • http://www.arrowecs.hu/products/trendmicro/trendmicro_products.php • http://www.arrowecs.hu/solutions/solutions.php • Havi hírlevél (feliratkozás a trendmicro@arrowecs.hu címen)