od najmanjih do najvećih - sigurnost nove generacije

Od najmanjih do najvećih-

sigurnost nove generacije

Danijel Šurina, dipl. ing. el.Integra Group d.o.o.

Sadržaj

• UVOD• SIGURNOSNA RJEŠENJA NOVE

GENERACIJE• CASE STUDY – THE BANKA• BUDUĆNOST• ZAKLJUČAK

Uvod

Uvod

Sigurnosna rješenja nove generacije

• NGFW - Next Generation Firewall– Detekcija aplikacija– Primjena granularnih sigurnosnih politika– Integrirani IPS (Intrusion Prevention System)

• UTM – Unified Threat Management– NGFW + puno toga više– Antivirus, Antispam, Data Leak Prevention, Endpoint Control,

Vulnerability Scan– Wireless controller– VPN, AD integracija– Two-way auth, Traffic optimization– …

NGFW - UTM

NGFW - UTM

UTM

UTM

UTM funkcionalnosti

• Antivirus– Proxy, flow based– Https inspekcija

• Web filtering– Predefinirane kategorije, lokalne kategorije (allow, block, monitor,

warning)– Definirane quote za određene kategorije (trajanje u minutama)

• Application Control– Preko 1600 definiranih aplikacija

• Intrusion Protection (IPS)

UTM funkcionalnosti

• E-mail filtering– Protocol opcije – secure protokoli IMAPS, SMTPS

• Data leak prevention– Definiranje senzora koji će nadgledati promet i tražiti

uzorak unutar WEB/E-MAIL

• Endpoint Control– Nadzor klijentskih računala

Ostale mogućnosti

• AD integracija– Instalacija kolektora na Domain contollere– Podešavanje korisnika/grupa korisnika za autentikaciju– Identity-based politike

• VPN pristup– SSL VPN, integracija korisnika s AD-om– Web only mode – tunnel mode

• Two-way autentikacija– FortiToken– Email, SMS

• WAN optimizacija

UTM

Ema, financijski analitičar, instalirala Skype aplikaciju na svoje službeno prijenosno računalo.

Igor, djelatnik marketinga, uređuje podatke o svojoj kompaniji na Facebooku

David, GZR, želi prebaciti ovu prezentaciju na svoj gmail account

Ivana, želi komunicirati sa svojim sjedištem na siguran način iz svog omiljenog kafića

Endpoint Control

2-Factor Authentication

VPN TunnelingWAN Optimization

Identity-Based Policies

Data Leak Protection

Ostale mogućnosti

• Logiranje– Lokalno na disk– Udaljeno na uređaja za logiranje– U oblak –npr. https://fams.fortinet.com

• Virtualno okruženje• Licenciranje

Wireless pristup

• Izazovi klasičnih enterprise WI-FI sustava– Kompleksna rješenja – višeslojna arhitektura– Nesigurna – kontrola, rogue AP– Neskalabilna – odabir kontrolera

• Pojednostavljenje povezanosti i sigurnosti– Security management– User management– Configuration management– Reporting system

Wireless pristup

Wireless management

• Jedinstvena (jednostavna) konzola

Rogue AP

• Detekcija neovlaštenih AP-ova

Case study – The BANKA

• Implementacija opreme zbog zahtjeva PCI-DSS i internih potreba za poboljšanjem razine sigurnosti

• PCI-DSS – sigurnosni standard za kartično poslovanje

• Svaki komad opreme koji prenosi, skladišti ili obrađuje kartičarske informacije automatski ulazi u sigurnosni scope

PCI-DSS

PCI-DSS zahtjevi

• Kontrola i ometanje wireless rogue AP (FortiGate + FortiAP)

• Wireless IPS/IDS (FortiGate + FortiAP)• IPS/IDS na perimetru mreže (FortiGate)• Zaštita web aplikacija (FortiWeb)

• Prevencija SQL injekcije, XSS, buffer overflow, improper access control, cross-site request forgery, DOS i DDOS napada, directory traversal...

PCI-DSS zahtjevi

• Zaštita log datoteka od izmjena (FortiAnalyzer)– Brisanjem log datoteka hackeri sakrivaju svoje radnje– Svi mrežni uređaji i serveri šalju logove na uređaj koji ih

čuva, kreira izvještaje prema PCI-DSS zahtjevima– Moguće usmjeravanje logova na treći uređaj gdje će se

logovi kriptirati i čuvati od modificiranja

• Vulenrability scan (FortiAnalyzer)– Interni scan kvartalno– Scan web aplikacija (FortiWeb)

• Arhiviranje e-mailova (FortiMail)

Budućnost

• Sigurnosne politike• IP adrese• Self Learning Device Identity• Identitet korisnika - AD

• Sigurnosne politike - budućnost• Prema vrsti uređaja, MAC adresi…

• Take Your Device Home

BYOD - prednosti

Smanjenje troškova

Povećanje

produktivnosti

Zadovoljstvo

djelatnika

Zaposlenici mogu pristupati svojim sustavima sa svih lokacija

Zaposlenici sudjeluju u troškovima koristeći svoja računala

Zaposlenici imaju osjećaj da su dobili veću slobodu prilikom rada

BYOD- nedostaci

Rizik prema gubitku podataka

Rizik prema mrežnoj sigurnosti

Nedostatak kontrole

Uređaji nemaju zadnje sigurnosne zakrpe, AV programe…

Povećani pristup broja uređaja prema svim podacima poduzeća

Uređaji ne mogu biti upravljani od strane IT odjela

BYOD - uređaji

Laptops Tablets Smartphones

Productivity Devices

ZAKLJUČAK

• Sve ove mogućnosti dostupne za široki raspon uređaja - SMB – ENTERPISE

• UTM je budućnost

PITANJA

danijel.surina@integragroup.hrwww.IntegraGroup.hr