Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Transkript

1 Dell SonicWALL Security tips & tricks Jan Ježek business communication s.r.o.

2 Příklady bezpečnostních rizik Pasivní útoky iniciované zvenku Virus attacks, Malware & Spyware SPAM, Phishing Exploit (OS, Web-browser) Útoky na síťové úrovni ARP, DNS poisoning MAC & IP spoofing DNS rebinding Aktivní útoky iniciované zvenku Brute Force Attack DoS Attack DDoS Attack Exploit (Servers) Útoky proti webovým serverům Cookie Tampering CSRF (Cross Site Request Forgery) XSS (Cross Site Scripting) SQL Injections

3 Ukázka SQL Injection

4 Dell SonicWALL Pokrytí bezpečnostních oblastí Zabezpečení perimetru sítě a zón Ochrana webových aplikací Security & Compliance Monitoring, analýza, reporting a management Wireless Security Vzdálený přístup End-Point Security

5 Tipy proč si pořídit NG Firewall Dell SonicWALL Reassembly-free Deep Packet Inspection

6 Tipy proč si pořídit NG Firewall Dell SonicWALL GUI: propracované a intuitivní webové rozhraní

7 Tipy proč si pořídit NG Firewall Dell SonicWALL Široká škála konektivity

8 (Ne)obyčejné firewall rules Jak lépe zabezpečit síť? Firewall rules pro odchozí provoz Často podceňované riziko: neomezený provoz LAN>WAN Firewall rules per user/group Povolení odchozích portů pouze vybraným uživatelům nebo skupinám Např. SSH, Terminal Services Omezení rizikových protokolů Povolení pouze z vybraných serverů (interní DNS a NTP servery, interní mail-server) Povolení pouze na vybrané servery (forwarded DNS servery, vyjmenovaná NTP) Omezení rizikových lokalit Botnet & GeoIP filter pro příchozí i odchozí provoz prevence data leakage! Omezení aplikací s vysokou mírou rizika Hloubková inspekce SSL provozu Typicky pro Exchange OWA Detekce vlastních objektů definovaných např. regulárním výrazem

9 NG Firewall Sledování L2/L3 anomálií, RFC compliance DDoS detection & prevention Detekce různých flood technik (TCP SYN, UDP, ICMP) Blacklisting, Packet Proxy (SYN) DNS rebinding ARP enforcement MAC-IP Antispoofing Detekce více DHCP serverů v segmentu Vynucení dodržování standardů IP/UDP header checksum TCP handshake

10 Secure Remote Access Bezpečný přístup do sítě Přístup do sítě prostřednictvím SSL portálu (ActiveX, Java, HTML5) Přístup prostřednictvím SSL-VPN klienta a Mobile Connectu Ověření identity uživatelů Integrace s LDAP One-time passwords Ověření identity a integrity zařízení End Point Control Podpora mobilních platforem Zapnutý a aktualizovaný antivirus Nainstalovaná určitá aplikace Existující soubor s hash kontrolou Nainstalovaný klientský certifikát Existující klíč v registru Odpovídající identifikátor zařízení Detekce ios Jail-break/Android Root Granulární nastavení přístupových oprávnění

11 NG Firewall & SRA Jak zvýšit dostupnost? Redundance zařízení (synchronizace konfigurace a spojení) V režimu Active/Passive se licencuje pouze primární unita! Firewally nové generace IPS load balancing, ISP failover Policy Based Routing (např. HTTP jinou linkou než ostatní provoz) NAT policy balancing & failover Secure Remote Access appliance Load balancing a Failover aplikačních serverů Detekce dostupnosti (ICMP, TCP nebo HTTP check) NG Firewall Remote Access Web App Firewall Security Wireless Security Endpoint Security Management

12 Web Application Firewall Prevence HTTP & HTML rizik Firewall proti útokům specifickým pro HTTP a HTML protokoly Injections (typicky SQL injection) Sessions hi-jacking (ruční uvedení session ID do parametru) XSS (cross-site scripting) & CSRF (cross-site request forgery) Nežádoucí přístupy a volání stránek nežádoucími metodami (POST, PUT ) Nechtěné publikování důvěrných dat Brute-force attacky (slovníkové útoky) Opatření proti rizikům OWASP Top 10 Web Application Profiling Detekce volaných URL a metod Sledování vstupních parametrů Automatické vytvoření pravidel Možnost doplnění vlastních omezení Data leakage prevention Např. popis regulárním výrazem

13 Security & Compliance Prevence data leakage Security Ochrana serverů před útoky Sada AntiSPAMových technik Omezení počtu zpráv z odesílající IP, whitelisting/blacklisting Ochrana před útoky typu Directory Harvesting Attack Ochrana uživatelů před nežádoucím obsahem Antivirus, AntiSPAM, detekce phishingu Výměna zkušeností s cloudovými službami (Zero-day protection) Karanténní úložiště Compliance Ochrana informací před (ne)úmyslným odesláním Sada pravidel pro nakládání s informacemi Detekce obsahu a metainformací zpráv a jejich příloh Odmítnutí odeslat zprávu nebo její předání příslušným osobám ke schválení

14 Wireless Security Jak zabezpečit bezdrátovou síť? Prevence lidské chyby v konfiguraci centrální řízení z firewallu Firewallová pravidla na jednom místě Automatický provisioning AP dle jejich nastavení Striktní oddělení provozu a oprávnění jednotlivých SSID Implementace RADIUS pro interní síť Snadná cesta k ověření uživatelů z LDAP serveru Guest Services pro návštěvnickou síť Přihlašovací údaje s omezenou časovou platností Detekce a blokování provozu nežádoucích AP Obecná detekce okolních AP Detekce Evil twins Filtr na L2/L3 úrovni ve spolupráci s firewallem

15 End-Point Security Jak zabezpečit pracovní stanice? Enforced Anti-Virus Vynucení instalace antiviru (speciální edice McAfee AV) Vynucení zapnutí antiviru a aktuálnosti virové databáze Při nesplnění podmínek není povolení přístup do WAN (vyjma aktualizace antiviru) Enforced Content Filter Vynucení instalace CFS agenta Při nesplnění podmínek není povolení přístup do WAN (vyjma instlace agenta) Nastavení si klientské zařízení odnáší i mimo dosah firewallu Centrální řízení a monitoring Management portál s online reportingem incidentů Rozšířená ochrana a šifrování pracovních stanic Dell Data Protection portfolio NG Firewall Remote Access Web App Firewall Security Wireless Security Endpoint Security Management

16 Global Management System Centrální správa Monitoring a management jednoho nebo více zařízení Granulární oprávnění do jednotlivých unit a jednotlivých částí nastavení Vlastní hierarchie unit Hromadné aplikování dědičných změn Rollout změn Automatické zálohování konfigurací Plánování času provedení změn

17 Je lepší být o krok napřed Jan Ježek business communication s.r.o.