ppt prezentace

Download PPT prezentace

Post on 26-May-2015

440 views

Category:

Documents

6 download

Embed Size (px)

TRANSCRIPT

  • 1. Modern vzdlen pstup Martin Koldovsk mkoldov @checkpoint.com SE Manager Eastern Europe

2. Vzvy

  • poskytnout vzdlen pstupvtmu mnostv uivatel
    • nov role uivatel
    • nov zazen(mobiln zazen, ... )
    • nov prosted(sd len potae, domc PC, ...)
  • vcemo nostzenhovzdlenho pstupu bez ko m promis vzabezpeena s rozumnmi nroky naadministraci

3. Vzdlen pstup dve a dnes

  • Dve
    • pomal pipojen na omezenou dobu
    • relativn nzk mra rizika
    • pipojen na veejn IPadrese , bez pekek
  • Dnes
    • stl rychl pipojen,vysok mra rizika
    • broadband a bezdrtov st
    • wifi ho t spoty captive port ly
    • dal pekky -peklad adres, firewall, proxy

4. Agenda

  • Kdo p istupuje vzdlen- autentizace
  • Za jak ch podmnek pistupuje- NAC
  • Odkud pistupuje VPN klienti a bezklientsk pstup
  • Pstup ze sdlenho klientskho PC
  • Mobiln pstup
  • Pes co pistupuje VPN br ny

5. Kdo pistupuje- autentizace

  • nov zpsoby autentizace
    • DynamicID jednor zov hesla zaslan pes SMS
      • vzd. pstupem umon vybavitv ce uivatel a okamit se silnm zpsobem autentizacebez nklad na autentizan zazen pro kadho uivatele(ka d uivatel ji token m jeho mobil)
      • vhodn i pro scn pstupu ze sdlenho PC, kde nelze pout smartcard, USB aut.tokeny apod.(nen teka, nejsou drivery)

6. Za jakch podmnek pistupuje- NAC

  • pravidla na pape a ve skutenosti za t bezpenostn politiky sledovat a technicky vynucovat
  • Network Access Control(NAC) - integrov no do VPN klienta
  • clientless NAC na vy dn, z webovho prohlee
  • jde ocooperative enforcement pod l se na nm brna na zklad znalost o konfiguraci a stavu klienta

7. Clientless NAC 8. Nezanechat stopyna sd lenm PC

  • ve sdlenm prosted-SecureWorkspace
    • bezpen zpracovn firemnch dat na sdlenm PCifrovan prosted, kter je odstranno s koncem relace
    • zabrnit niku informac pes sdlen pota (zapomenut intern dokumenty v internetov kavrn, nebezpe spyware)
    • zabezpeen clipboardu, kontrola tisku
    • zabrnit exportu dat ze zabezpeen relace
    • Program Control jen autorizovan aplikace a ochrana ped malware
    • na vy dn ze st nebo na USB

9. Clientless nemus znamenat bez monosti pln IP konektivity

  • podpora nativnch aplikac vyadujcchplnou IP konektivitu
    • SSL Network Extender
  • IP konektivitabez nutnosti administrtorskch prvna stran klienta
    • SSL Network Extender Application Mode

10. Mobiln zazen

  • SecureClient Mobile
  • iConn VPN klient pro iPhone
  • ActiveSync pes SSL- bezklientsk zabezpe ene-mail

11. Nov rezidentnVPN klient

  • nov generace een SecureClient = Check PointEndpoint Connect
  • nyn i v balku Endpoint Security od verze R72

12. Dva extrmn pistupy jsou kombinovny

  • ode zdi ke zdi?
  • IPSec vs SSL VPN
  • organizac spravovan koncov bod vs. koncov zazen, o ktermv me jen velmi mlo
  • rezidentn klient vs. clientless pstup

13. Ochrana na stran VPN brny

  • integrovan bezpenostn brny
    • integrace zen pistupu (firewall), intrusion prevention, webovho aplikanho firewallu, content inspection(AV)
    • cooperative enforcement integrace NAC do VPN br ny

Hacker/Infected PC Normal User Normal User Security Gateway /Connectra ApplicationServer EmailServer WebServer 14. VPN br ny

  • Connectra
    • univerzln VPN koncentrtor pro SSL VPN i rezidentn IPSec klienty a mobiln zazen
    • k instalaci jako appliance, software nebo na VMware ESX
  • VPN -1 (UTM-1/Power-1)
    • integrovan bezpenostn brna
    • nov SSL VPN Blade(Connectra na platform VPN -1)

Connectra 9072 15. Total Security from Check Point Only with Check Point can you achieve totalend-to-end security with asingle line of unified security gateways,a single agent forall endpoint security needs,all managed by our singleintegrated security management console. Unified Gateways Single Endpoint Security Agent Single Security Management Console total securityfrom Check Point 16. ActiveSync support

  • Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy)
  • Leveraging native built-in mail client
  • Any mobile phone supporting ActiveSync (WM, iPhone, Android, Symbian)
  • Basic and client certificate based authentication
  • Auto-enrollment from the SSL VPN gateway
  • Access policy based on users groups
  • Support for multiple Exchange servers

ActiveSync over SSL

  • MS Exchange server is decoupled from the internet
  • Centrally managed remote-access strong authentication
  • Control endpoint security through ActiveSync with additional options (Device lock , encryption, remote wipe,

Security Gatewayw/ SSL VPN Blade MS ExchangeMail Server ActiveDirectory Native ActiveSyncover SSL Internet Internet