armádní firewall pro 21století

Transkript

1 Armáda je bezpečí, McAfee Sidewinder je jistota armádní firewall pro 21století Ing. Jan Dymáček COMGUARD a.s. komunikační bezpečnost

2 O společnosti COMGUARD Specialista na bezpečnosti IT. Komplexní portfolio pro zabezpečení datových center i sítě organizace od perimetru, přes DMZ až na klientské stanice Již podruhé generálním partnerem Konference Security and Protection of Information Nadnárodní společnost Certifikace ISO (ISMS) Certifikace ISO 9001 a ISO Certifikace NBU Náš tým = 10 let zkušeností v oblasti IT security Value Added Distribuce - partnerský prodej Akreditované školící středisko McAfee Support centrum pro distribuované řešení Expertní poradenství a služby v oblasti bezpečnosti IT Audity v oblasti bezpečnosti IT COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

3 Bezpečnostní situace 24 měsíců přineslo značný posun v působících hrozbách Většina výrobců nestačí reagovat! COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

4 Hybatelé Působení hrozeb Klíčové změny v oblasti IT bezpečnosti Trendy Spolehlivá detekce přes Globální inteligenci ~70% nových útoků jsou na aplikační úrovni a cílené Okno mezi hrozbou & protiopatřením se prodlužuje Rychlost vydávání a aplikování patchů se nemůže trendu vyrovnat Signatures AV, IDS Anti-Spam Local Behavior Anomalous behavior at the box Global Intelligence Nové prostředí Regulations VoIP SaaS Virtualization WiFi Rich Media Critical Infrastructure Web 2.0 Technologies Remote Access Skryté hrozby a kombinující: Malware, Phishing, Mutating Viruses, Multi-Channel Social Engineering, Insider Access, Application Layer Attacks COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

5 Nový imunitní systém je založen na těchto předpokladech Identifikace útočníků je účinnější než snaha postihnout každý útok (stále více je jasné, že lokální ochrany nestačí, že systémy si musí vyměňovat informace o útočnících a agregovat tak zkušenosti nasbírané po celém světě) Účinné už není provoz zkontrolovat a propustit, ale zprostředkovat jeho předání bezpečnostními proxy (K tomu je potřebná schopnost rozumět provozu poskytovaná sofistikovanými řešeními typu aplikačních proxy firewallů. Ty totiž jako jediní nepropouští, ale terminují a dále zprostředkují komunikaci ) Už dávno neplatí co je šifrované je bezpečné (https, ssh, aj) WEB a Uživatelé musí mít přístup k potřebným zdrojům internetu, organizace ale musí zůstat chráněna jak před zavlečením nových hrozeb z internetu, před kompromitací infrastruktury, tak před únikem informací. Virtualizované prostředí. Přináší nová rizika v oblasti bezpečnosti a útoků šířených mezi aplikacemi a systémy v rámci virtuální serverové farmy. Potřebné jsou Virtuální aplikační firewally, řídící a chránící provoz v tomto prostředí Datová centra potřebují nejen dostupnost, ale i propustnost a bezpečnost. Schopnost detekce a prevence všech narušení musí být spojena se zajištěním propustnosti na úrovní gigabitových nebo 10Gbps páteřích a z hlediska skutečné ochrany je zvláště účinné zajištění virtuálního záplatování Důležitá je vynutitelnost bezpečnostních politik, zajištění přístupových práv nejen uživatelů ale i systémů COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

6 McAfee Enterprise Firewall (Sidewinder) armádní firewall 20.st i 21.století COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

7 Charakteristika Certifikovaný, skutečně zabezpečený OS (vývoj pro US Army, DoD, FBI), Dosud neprolomený firewall (již 15 let) kvůli existenci bezpečnostní chyby díky technologií Type Enforcement (Mandatory Access Control) Unikátní systém aplikačních proxy bran uplatňuje skutečný PROXY PŘÍSTUP. VÍCE NEŽ UTM s možností integrace: Anti-virus/spyware pro http, ftp i smtp / IPS modulu s nastaveními per pravidlo / URL filtrace s podrobným reportingem/ SSL (HTTPS), SCP, SFTP a SSH dešifrace. CLOUD COMPUTING - globální reputace v ceně řešení díky integraci TrustedSource! Navíc umí příchozí provoz filtrovat na základě geografického původu GEOLOCATION, vše nastavitelné cíleně per pravidlo. QoS / OCHRANA VoIP provozu aplikačními proxy pro SIP a H.323. / Filtrování internetového spojení (IM, P2P, ActiveX, Java, ) / SERVERY: DNS, NTP a SMTP server IPS s ASIC HW AKCELERACÍ. I stovky virtuálních IPS per pravidlo. PROPUSTNOST AŽ 2,7 Gbps pro aplikační kontroly dle modelu. Podporuje ISP failover i interface failover 10 Gbps rozhraní COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

8 Sidewinder ochraňuje vojenské mise díky vysoce robustní platformě MESHNet Project Secure Computing partnerem General Dynamics pro výrobu vysoce robustního fw pro armádní prostředí. Vyhovuje standardům MIL-STD- 1275B (military vehicle power) MIL-STD-810F, MIL-STD-461E ISO Common Criteria EAL4+ certified Sidewinder 7.0 US DoD certifikace pro aplikační Secure úroveň Firewall ochran Model RM700 Rugged (robustní) Firewall je způsobilý pro nasazení v námořnictvu (letadlové lodě), letectvu, spojovacích armádních mobilních jednotkách nebo i tancích. Navržen pro MIL-STD910D, MIL-STD- 167, MIL-STD-461, MIL-STD-1474 Testován pro MIL-STD-810F 8 COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, 8

9 McAfee Enterprise Firewall (Sidewinder) ochraňuje mnoho citlivých a vysoce kritických sítí po celém světě McAfee (divize Secure Computing )je důvěryhodným partnerem pro zabezpečení citlivých vojenských i civilních sítí 9 COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, Sidewinder ochraňuje státní správu v: United States United Kingdom Australia Canada Germany Japan A dalších 9

10 Ochrana pro citlivé a kritické sítě vojenských a státních složek USA 10 COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, 10

11 Ministerstvo obrany USA: Sidewinder je jediný firewall splňující požadavky na ochranu restricted segmentů Segmenty s utajovanými daty nebo omezeným přístupem: Firewally musí být certifikované dle ISO CC na EAL4+ včetně splnění požadavků profilu U.S DoD Application-Firewall Medium Robustness Protection References Enclave Security Technical Implementation Guide (STIG) version 4, R1, dtd 21 June Network Infrastructure Security Technical Implementation Guide (STIG) version 7, R1, dtd 25 October 2007 COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, 11

12 McAfee Virtual Firewall Pro datová centra Zabezpečuje virtualizované prostředí ESX serverů Kontrola a ochrana meziaplikační, databázové a operační komunikace (virtuální síťové karty definují komunikační rozhraní) Úspora z hlediska potřebné infrastruktury a komplexnosti správy Software verze! Kontejner pro VMware ESX server (není součástí) Up to 32 Virtual Firewalls PLUS CommandCenter (Integrated Virtual Appliance or optionally Standalone Appliance) APPLIANCE 2U Model Obsahuje i VMWARE ESX server Kontejner pro 8/16/32 Firewallů Central management system Vyhrazené zdroje pro každý virtuální firewall Včetně IPS a SSL kontrol AV add on a URL filtering add on RAID 5, dual power Virtual Appliance Model 2U Appliance Model Embedded VMWARE ESX server based system Containers will be pre-built with up to 32 Firewalls and one central management system. Dedicated resources for each virtual firewall COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, 12

13 Encrypted Application Security Sidewinder je jediný firewall se schopností kontrolovat šifrovaný provoz a odfiltrovat malware útoky. Decrypts Applications to Apply Filtering Decrypts the HTTPS, SSH, SCP or SFTP connection Scans the data: AV, IPS, Application Filtering Re-encrypts and passes on to the server AV / Antimalware Internet Network Access Rules Auth & Rolebased access HTTPS, SSH, SFTP, SCP Decrypt Reencryption Server Internet Crypto processing akcelerace IPS Processing HW akcelerace Partner Server 13 COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, Server

14 OWASP Top 10 x Sidewinder 10 most serious web application vulnerabilities and recommendations to protect against them OWASP Vulnerability Category Secure Firewall (Sidewinder) Protections A1 Cross Site Scripting (XSS) Secure Firewall (Sidewinder) provides signatures to detect and prevent XSS attacks. A2 Injection Flaws Secure Firewall provides signatures to detect and prevent Injection Flaw attacks. A3 Malicious File Execution Secure Firewall provides signatures to detect and prevent remote file inclusion exploits. A4 A5 Insecure Direct Object Reference Cross Site Request Forgery (CSRF) N/A Protections needs to be applied at web server or within web code. N/A There is no practical defense for this category of vulnerability at the gateway. OWASP does recommend utilizing XSS protection which are shown above. A6 Information Leakage and Improper Error Coming in a future release Handling A7 Broken Authentication and Session Management A8 Insecure Cryptographic Storage Protections to this vulnerability class are primarily focused on the applications design. Secure Firewall does support the ability to analyze SSL traffic which may assist in supporting the applications. Secure Firewall currently provides connection authentication with SafeWord in addition to a number of other mechanisms. A9 Insecure Communications Secure Firewall currently offers a positive security model, HTTPS inspection, and SSL decryption options. A10 Failure to Restrict URL Access Secure Firewall offers the ability to deny specific URL matches (in the hostname or path) and enforce a max URL length which can restrict how deep an end user can view into a website. COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, 14

15 Modelové řady Virtual Appliance USB/2U Appliance Model For VMWARE ESX server based system Containers pre-built with up to 32 fw central mgmt system. Dedicated resources for each virtual firewall Centrální správa Command Center 4 modely COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, NIC Firewall * * Řada SnapGear

16 Škálovatelné ochrany citlivých sítí Perimeter Firewall Internet Central site and remote branch offices Multifunction perimeter UTM Firewall Protected Networks Users & Intranet Web Servers Vnitřní Firewall Internet Legacy Stateful Inspection Firewall Web Sites DMZ Layered Bi-directional Firewall US Army protects all human resource records in Oracle DATABASE Users Firewall pro klíčové aplikace SQL MS-SQL Citrix-ICA SOCKS + MAIL + DNS Internet Application-specific Proxy Firewall COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, Oracle MS-SQL MetaFrame Bloomberg Etc.

17 Velký test Sidewinderů v rámci US ARMY Plné výsledky testu k dispozici COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

18 Aplikační proxy a výkonnost Dle nezávislých testů laboratoře TrustedStrategies LLC je výkonnost srovnatelných modelů při aplikačních kontrolách u Sidewinder appliancí až o 3x vyšší než u CheckPoint. Celý test je možné na vyžádání poskytnout COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

19 ASIC akcelerační karta (Tarari Content procesor) IPS Engine a honey pot grid od Endeavor Security IDS & IPS škálovatelné per pravidla 170 kategorií signatur v 11 předdefinovaných skupinách, možnost doplnění o vlastní signatury IM a P2P signatury (přes 500 unikátních signatur pro relevantní řízení provozu IM a P2P) Denní aktualizace signatur, dnes signatur vč. vlastních Policy reputation - nastavení přes TrustedSource + GeoLocation Kompatibilta se SNORT IPS rules syntaxí Vysoká výkonnost (viz srovnání s CheckPoint) COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

20 Application Proxy Technology Client ONLY Sidewinder s trusted proxy is allowed to talk directly to internal application servers Two separate connections are maintained per client-server session Proxy securely processes client requests to the server Proxy automatically strips out attacks trying to introduce malicious commands that violate RFCs Proxy may be further configured to tightly enforce a limited-use policy for the application Client-server communications are configured to only allow needed operations and denies all else! Untrusted TCP/IP Stack HTTP Proxy Layer 7 defenses Full packet assembly RFC compliance Configured to allowed use All else denied Scanning Engines Trusted TCP/IP Stack Server Web Server App Server Oracle SQL Citrix VoIP Etc. COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

21 Common Criteria Certifikace Version Scheme CC Level Protection Profile Status TSP (adds a hot fix so will run on the D models 1100, 2100, 2150, 4150) Sidewinder G (all models) NIAP EAL4+ Assurance Continuity Medium Robustness Application Firewall v1.0 CESG EAL4+ Basic Robustness Application Firewall v1.0 DONE DONE Sidewinder 7.0 NIAP EAL4+ Basic Robustness DONE Application Firewall v1.0 Sidewinder 7.0 NIAP EAL4+ Medium Robustness Application Firewall v1.0 (EAL5 level NSA VLA.3 Testing) Sidewinder 7.X NIAP EAL4+ Medium Robustness Application Firewall v1.1 První & jediný to achieve U.S. Department of Defense Medium Robustness Application Firewall Protection Profile at EAL4+ (G2 & TSP) COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz, DONE Submission in-process 21

22 O společnosti McAfee Inc. Globalní leader v oblasti IT Bezpečnosti Přes 4,000 zaměstnanců se zaměřením na IT bezpečnost Secure Computing, divize společnosti McAfee přes 800 zaměstnanců Obrat v roce 2008 přesáhl 1,6 miliardy USD Přítomnost ve 120 zemích Vývoj a výzkum v laboratořích v 26 zemích Secure Computing divize Chrání nejdůležitější sítě ve světě více než 25let Od r Sidewinder vyvíjen pro armádu USA Maximální důraz na bezpečnost Vedoucí pozice trhu i zákaznického segmentu Přes 80% z žebříčku Fortune 100 využívá McAfee Celkem přes 125 milionů uživatelů 5x Gartner Magic Kvadrant leader Téměř 350 patentů May 29, 2009 COMGUARD a.s., Vídeňská 119b, Brno, obchod@comguard.cz,

23 Děkuji Vám za pozornost Ing. Jan Dymáček COMGUARD a.s. ředitel společnosti T: , COMGUARD a.s., Vídeňská 119b, Brno,