Barracuda Networks. Komplexní ochrana Vašich dat a sítí. Radko Hochman.

Transkript

1 Barracuda Networks Komplexní ochrana Vašich dat a sítí Radko Hochman

2 Barracuda Networks Založeno 2003 Barracuda Spam & Virus Firewall HQ California, Campbell > zákazníků > 100 zemí Kontinuální růst FY akvizice rakouské společnosti Phion NG Firewall NextGen Firewall F Vývoj a centrum podpory rozšířeno do Evropy FY15

3 Klíč k úspěchu Vstřícný přístup k zákazníkům Služby Servisní podpora Licenční politika Portfolio Platformy

4 Try and Buy Možnost seznámení se se sytémem prostřednictvím veřejně přístupných dohledů : guest přístupná většina systémů Zapůjčení nové jednotky zdarma nebo stažení virtuálního obrazu zdarma Testovací licence na 30 dnů Neomezená funkcionalita v individuálních případech možno prodloužit V případě koupě jednotka zůstává Možná výměna HW jednotky za vyšší model nebo virtuální licence za vyšší level do 60 dnů od koupě bez poplatků za zpětný odběr

5 Platformy Hardware Každý typ několik výkonově odlišných modelů U nižších modelů mohou být omezeny některé výkonově náročnější funkcionality Virtuální VMware Hyper-V KVM Citrix Xen Cloud Microsoft Azure Aplikační Software Archive One, PST Enterprisse Služba Barracuda Cloud

6 Služby EU Energize Update Základní užívací licence Update a upgrade sofrware Technická podpora (telefon, , 8 x 5) Automatická aktualizace provozních databází IR Instant Replacement V případě poruchy odeslání náhradní jednotky ten samý, nejpozději následující pracovní den Vzdálená asistence při výměně, převodu konfigurace eventiuelně dat 24 x 7 Po 4 letech obnova hardware zdarma PS - Premium support Pro Enterprise modely (6xx a výš) 24 x 7 Prioritní řešení problémů Možnost proaktivního monitoringu Sjednání na dobu 1, 3, 5 let

7 Licence Jdnoduchá a přímočará licenční politika Žádné uživatelské licence Virtuální modely limitovány počtem jader CPU, nižší modely počtem uživatelů Minimum rozšiřujících licencí Platnost 1, 3, 5 let

8 Barracuda Cloud Control Centrální Management Pro většinu zařízení Barracuda Dohled zařízení Barracuda z jednoho portálu Centrální management politik Konsolidované reporty Přístup i z mobilních zařízení (aplikace) ZDARMA

9 Portfolio Security Application Delivery Backup / Archivace NextGen Firewall F-Series Load Balancer ADC Backup NextGen Firewall X-Series Load Balancer FDC Message Archiver Link Balancer ArchiveOne Web Application Firewall Web Filter PST Enterprise SSL VPN Copy Spam Firewall Security Service Mobile Device Manager Web Security Service CudaSign

10 Spam & Virus Firewall První a stále populární produkt Barracuda Komplexní ochrana ové komunikace Kontrola příchozí i odchozí pošty 12 vrstev obrany DoS Ověření Antivir... Analýzy Skore Kontrola a filtrování obsahu, příloh Uživatelsky definovatelné politiky Ochrana proti ztrátě dat DLP Možnost rozšířené ochrany proti malware - Avira Platformy : HW, Virtual, MS-Azure Barracuda Security Service Škálovatelné Od malých po řešení pro Enterprise a ISP

11 Barracuda NextGen Firewall F Výkonný síťový firewall Plná kontrola aplikací Plní kontrola uživatelů Inteligentní řízení provozu Komplexní rozšířené IDS/IPS Kompletní centrální dohled

12 Barracuda NextGen Firewall F Evropský původ Rakousko, Insbruck Vyvinuto na počátku tisícíletí společností Phion jako bezpečnostní řešení pro bankovní sektor (označení Netfence) V září 2009 akvizice společnosti Barracuda Networks Vývojová základna v Evropě Servisní podpora v Evropě

13 UTM : Unified Treat Management Jednotný managemet hrozeb IPS / IDS Firewall URL Filter Application control 2.0 Spam Application proxy Reverse proxy Mlaware protection / Antivir Vzdálený přístup Další služby Autentizační služby (MSAD, LDAP, Radius DHCP server DNS server NTP server (platnost certifikátů)

14 Evoluce Firewallů Optimalizace WAN Centralizovaný dohled Škálovatelnost Vzdálený přístup (VPN) Quality of Service (QoS) Reporty a Audity Application control Identita uživatelů Porty, pakety, Protokoly, Anti-virus Tradiční Firewall Next Generation Firewall Barracuda NextGen Firewall F

15 Řízení přístupu k aplikacím Business Critical? Akceptovatelné? Bezpečnostní riziko? Blokování nežádoucích aplikací Řízení akceptovatelného provozu - prioritizace - omezení pásma Šetří kapacitu připojení a zrychluje kritické aplikace. Kontrola SSL provozu

16 Řízení přístupu k aplikacím - příklad Zakázané apllikace Facebook (mimo file transfer) povolen v době oběda pro přihlášené uživatele Videostreaming povolen s nízkou prioritou pro skupinu IT Update vybraných aplikací povolen s nízkou prioritou Vysoká priorita pro aplikaci Salesforce uživatelům ze skupiny Sales

17 Řízení přístupu k Internetu Obecné Řízení aplikací Application Control Poskyto va tel 1 Obecné Posk. 1 Hry Hry Posk. 2 Poskytovatel 2 Posk. 1 nebo 2 Posk. 3 atel 3 Poskytov Barracuda NG Firewall Přehled detekovaných aplikací a potenciálních rízik Application Based Link Selection Definuje použití jednotlivých připojení pro definované aplikace Definice konkrétních aplikací nebo kategorií Použití levnějších, méně spolehlivých připojení pro nekritické aplikace Použití robustních spojení pro kritické aplikace Session Balancing / Link Backup Střídá definovaná připojení pro jednotlivá TCP spojení Cyklicky, Náhodně V případě výpadku některého připojení se toto nepoužije

18 Plná kontrola a monitoring uživatelů Ztotožnění užívatele s jeho IP adresou DC Agent (Domain Control Agent) Automatické mapování mezi uživatelem a jeho IP adresou Možnost manuálního vyřazenívybraných IP adres (HTTP proxy a Terminal Servery...) Možnost vzdáleného přístupu k MSAD TS Agent (Terminal Server Agent) Mapování uživatele na specfický rosah portů SSL enkrypce VPN Použijí se údaje při přihlášení Explicitní přihlášení k Firewallu Zvláštní webové rozhraní Uživatelsky méně komfortní

19 Bezpečný přístup k Internetu

20 Firewall IDS / IPS Rozšířená detekce a prevence možných narušení Ochrana proti přímým útokům Soustavné monitorování sítě a síťového chování jednotlivých systémů Detekce a vyhodnocení podezřelých aktivit Klasifikace Logování / Blokování podezřelého provozu Databáze více než 1200 aplikací Dynamicky udržovaná (EU) Možnost definice vlastních vzorů Možnost redefinice akcí Ochrana transportní vrstvy Identifikace a blokování pokročilých technik pro obejití tradičních systémů

21 Malware protection Ochrana interní sítě před škodlivým obsahem Viry, červy, trojské koně, java aplety, dokumenty, makro viry a další Web HTTP, HTTPS SMTP, POP3 Přenos souborů FTP Inspekce SSL Mody Proxy InLine Dva plně integrované antivirové systémy Avira ClamAV Jedny z nejlépe hodnocených antivirových programů Pravidelná automatizovaná aktualizace signatur Pokročilá heuristická analýza Dostupné pro F18 a vyšší mimo F100 a všechny virtuální verze Možnost rozšířené analýzy pomocí Advanced Treat Detection

22 Barracuda Advanced Threat Detection (ATD) Další úroveň ochrany proti malware, cíleným útokům typu zero - hour / day Identifikace a blokování pokročilých technik pro obejití tradičních systémů Stahovaný soubor je kontrolován proti kontinuálně updatované on-line databázi Chování neznámého souboru (s neznámou signaturou) je analyzováno v izolovaném prostředí v Barracuda cloud Simultální podpora různých operačních systémů.

23 Vzdálený přístup k podnikové síti - VPN Zabezpečený přístup klienta do interní sítě ze sítě Internet (Client-To-Site) Zabezpečené propojení privátních sítí přes síť internet (Site-To-Site ) IPSec Zabezpečené připojení na síťové úrovni Aplikace přistupují k privátní síti transparentně Aplikace nemusí být pro přístup k privátní síti nijak vybaveny Možnost vazby na certifikát X.509 Možnost autentizace jménem, heslem, skupinou Pro provoz je vyžadován klient a server (koncentrátor) Šifrován je kompletní provoz včetně záhlaví paketů SSL Zabezpečené propojení na aplikační úrovni Každá aplikace musí mít vlastnosti klienta / serveru Možnost vazby na certifikát X.509 Možnost autentizace jménem, heslem Používá se zejména po přístup k zabezpečenému webu, u Není třeba instalovat speciálního klienta Šifrován je obsah

24 Barracuda TINA VPN Transport Independent Network Access Rozšířená vlastnosti na základě IPSec Site-To-Site i Client-To-Site Multiplatformní Klient MS Windows, Linux MAC, OS Podpora klientů Android, IOS, Windows Phone Barrauda Traffic Inteligence (klient MS Windows) Podpora redundantních serverů přístupových bodů Automatické vyhledání nejvhodnějšího přístupového bodu Automatické navázání spojení po výpadku internetového připojení Použití až 24 transportních prostředků Centralizovaná správa (NG firewall, NG Control Center) Vynucení bezpečnostních politik (klient MS Windows) Kontrola zdraví klienta, aktuálních update, firewallu klienta, antiviru Selektivní routing (omezení přístupu mimo VPN při navázané VPN) Autentizace Interní / Externí X.509, Smart Card, Secure ID, Jméno / heslo MSAD, LDAP, RADIUS

25 Dynamická Mash VPN Hub&Spoke setup Hub detekuje stav a provoz mezi jednotlivými pobočkami Hub automaticky řídí změny konfigurace Pobočky vytvářejí dočasné tunely

26 Zabezpečený vzdálený přístup NextGen Firewall F Cloud CudaLaunch Mobilní VPN Web Prohlížeč NextGen Firewall F On-premisse Klient

27 Vzdálený přístup z mobilních zařízení CUDALaunch

28 Management Aplikace NG Admin Jednotný management všech součástí Stejné rozhraní pro lokální, dálkovou i centrální správu Export / Import konfigurace Správa konfigurací (RCS) individuální pro každý subsystém Pro centrální správu NG Control Center Správa sw verzí Správa konfigurací Správa logů Certifikační autorita ATR Obnova systému a konfigurace v jednom kroku

29 Management

30 Centrální management NextGen Control Center Zrychluje provádění akcí hromadné provádění Zvyšuje bezpečnost Snižuje náklady Zabezpečený přístup ke spravovaným jednotkám Cenrální správa sw verzí Cenrální správa licencí Cenrální správa konfigurací Cenrální správa logů Grafická konfigurece VPN Certifikační autorita Platformy HW appliance Virtuální Cloud MS Azure

31 Hardwarové modely Model Propustnost Firewall Propustnost IPS Propustnost VPN Současné relace Nové relace Provedení Napájecí zdroj F Mbit/s 60 Mbit/s 85 Mbit/s Mini Extrerní F Mbit/s 60 Mbit/s 85 Mbit/s Desktop Extrerní F Mbit/s 115 Mbit/s 120 Mbit/s Desktop Extrerní LAN GE / FE SFP (1GE) F280 F300 F380 1,6 Gbit/s 680 Mbit/s 3,8 Gbit/s 450 Mbit/s 125 Mbit/s 1,1 Gbit/s 310 Mbit/s 370 Mbit/s 750 Mbit/s Desktop 19 1U 19 1U Extrerní Interní Interní F400 5,0 Gbit/s 1,5 Gbit/s 960 Mbit/s U Int. Dual 8 SFP+ (10GE) F600 16,3 Gbit/s 3,9 Gbit/s 2,3 Gbit/s U Int, opt Dual 8 buď 4 F800 19,6 Gbit/s 4,8 Gbit/s 6,8 Gbit/s U Int. Dual F900 22,2 Gbit/s 5,4 Gbit/s 7,6 Gbit/s U Int. Dual F Gbit/s 10 Gbit/s 10 Gbit/s U Int. Dual nebo 2 4* 4* 4/8 * Volitelně Volitelně Volitelně Volitelně 20 / 12 * 24 / 16 / 8 * 16 / 32 * 4* 8* 16 / 32 * ADSL WiFi 3G USB Modem Volitelně Volitelně Volitelně Ano Volitelně Volitelně Volitelně Volitelně Volitelně Stateful Firewall Application Control IPS IPsec VPN Web Proxy od F18 Barracuda Web Filter od F18 Nové modely Q4 / 2015 F18, F80, F 180 F280 revize B Výkonnější Větší počet portů Volitelně Volitelně Barracuda Web Filter od F18 Mail Gateway, Spam Filter, FTP Gateway, SSH Gateway - od F18 Barracuda Malware protection volitelně od F18 Barracuda Basic Remote Access volitelně od F18 (mimo F100) Barracuda Advanced Remote Access volitelně od F18 mimof100)

32 Virtuální Model Počet jader Počet IP adres VF VF Model Počet jader Počet síťových rozhraní - Amazon Propustnost Firewall Propustnost IPS Propustnost VPN Současné relace Nové relace VMware, Hyper-V, KVM, Cytrix VF100 VF250 VF Azure, Amazon L2 L Mbit/s 2 Gbit/s 80 Mbit/s 900 Mbit/s 120 Mbit/s 500 Mbit/s VF1000 VF2000 VF4000 VF Neomezeno Neomezeno Neomezeno Neomezeno L Gbit/s 2,5 Gbit/s 1 Gbit/s L Gbit/s 3 Gbit/s 1,5 Gbit/s

33 Barracuda Web Application Firewall Ochrana Vašich aplikací a dat

34 Útoky jsou dnes automatizovány Web Exploitation Kit SQL Injection Toolkit

35 Layer 7 Web Application Firewall Inbound inspection Outbound inspection Ochrana proti útokům na aplikační (7.) vrstvě Ochrana proti odcizení dat

36 Ochrana proti útokům a ztrátě dat Attack Protection SQL, XSS, command injection CSRF Web Site Cloaking Data Theft Protection Credit card, SSN, custom patterns Session Protection Cookie encryption Parameter tampering protection Integrovaný Anti-Virus OWASP Top 10 Brute Force Protection DoS Protection IP Reputation Blocking Blocking by Geo IP Anonymous Proxy Blocking Podpora Armored Browser XML Firewall XML schema enforcement Web services security Integrace SIEM

37 Identita a řízení přístupu Authentication Authorization Single-Sign-On Two-Factor Authentication Token ID Client Certificate SMS Passcode Reporting

38 Jednoduché nasazení a dohled Úroveň přizpůsobení Vysoká Uživatelské a pozitivní zabezpečení Střední Přednastavené vzory (template) Nízká Výchozí zabezpečení

39 Akcelerace a rozdělení zátěže Data Center Barracuda Web Application Firewall HTTP Komprese Request Rate Control L4 / L7 Load Balancing Application monitors SSL Offloading TCP Pooling HTTP Caching Content Routing

40 Konsolidace různorodých zařízení v DMZ Load Balancing SSL Accelerators Access Control Caching Security Reverse Proxy Web Application Firewall Snižuje komplikovanost managementu Snižuje riziko konfiguračních chyb

41 Výhody Barracuda WAF Soustavná ochrana před vyvíjejícími se hrozbami Blokuje SQL injections, cross-site scripting, session spoofing a mnoho dalších Prevence odcizení dat Inspekce odchozího provozu Výkonná authentikace a autorizace Získávání nových schopnost pro blokování přicházejících hrozeb Pomáhá akcelerovat výkon Aplikací

42 Archivace Barracuda Message Archiver výkonné, ale jednoduché řešení pro archivaci z MS Exchange a Office365 s rozsáhlými možnostmi vyhledávání ve zprávách Barracuda Archive One výkonné řešení pro komplexní management ové komunikace MS Exchange s širokými možnostmi nastavení a vyhledávání ve zprávách Barracuda PST Enterprisse výkonný nástroj pro vyhledání, migraci a eliminaci PST souborů MS Outlook

43 Barracuda Message Archiver HW, Virtual, MS-Azure Archivace veškeré ové komunikace Libovolný server včetně Office365 (Barracuda Cloud Relay) Offload ových serverů Integrace s MSAD / LDAP Podrobné prohledávání zpráv podle řady kriterií Přístup ke zprávám i v případě výpadku server Jednoduché nastavení Retenční politiky Možnost zálohování do Barracuda Cloud MS-Outlook plug-in přistup k archivovaným zprávám obdobně jako k živým Barracuda Message Archiver Cloud Relay

44 Barracuda Archive One SW řešení Produkt spolećnosti C & C Vývojového partnera společnosti Microsoft Akvizice 2014 Určeno pro spolupráci MS-Exchange (od 2007) Archivace ové komunikace podle řady kriterií Offload ových serverů Integrace s MSAD / LDAP Podrobné prohledávání zpráv podle řady kriterií Konsolidované prohledávaání zpráv bez ohledu na umístění : v e mailových schránkách, PST souborech, veřejných složkách, archivech Přístup ke zprávám i v případě výpadku serveru Propracované retenční politiky MS-Outlook plug-in uživatel přistupuje k archivovaným zprávám obdobně jako k živým Archive One File Archivace souborů

45 Barracuda PST Enterprisse PST soubory představují bezpečnostní riziko Vyhledání PST souborů na serverech a prac. stanicích Klient bez instalace Rozsáhlá pravidla pro import zpráv Možnost automaticky určovat vlastníka nepřipojených PST Možnost exportu do archivů nebo Office 365 Možnost odpojení a vymazání souboru po archivaci

46 Děkuji za pozornost Radko Hochman Gesto Communications