Bezpečně nemusí vždy znamenat draze a neefektivně

Transkript

1 Bezpečně nemusí vždy znamenat draze a neefektivně AddNet a aktivní bezpečnost sítě Jindřich Šavel NOVICOM s.r.o Novicom All rights s.r.o. reserved. All rights reserved sales@novicom.cz

2 Co zazní v prezentaci O Novicomu Zabezpečení sítě Aktivní bezpečnost sítě AddNet 2016 Novicom s.r.o. All rights reserved Strana 2

3 Představení společnosti Novicom Česká společnost zabývající se vývojem, dodávkami a provozem systémů pro správu sítí monitoring bezpečnost a komunikace Orientace na střední a velké zákazníky a na dále na všechny vyžadující vysokou míru bezpečnosti a provozní spolehlivosti svých systémů Společnost s historií více než 21 let českém trhu 2016 Novicom s.r.o. All rights reserved Strana 3

4 Zabezpečení sítě ve výrobních podnicích Trojúhelník bezpečnosti monitoruji a řídím kde, kdo, kdy, jak x Bermudský trojúhelník bezpečnosti kde? kdo? kdy? jak? 2016 Novicom s.r.o. All rights reserved Strana 4

5 Bermudský trojúhelník Bermudský trojúhelník bezpečnosti kde? kdo? kdy? jak? Žádné řízení přístupu do sítě (NAC) Evidence IP adres v excelu Dynamicky přidělované IP adresy DHCP Samostatné DNS Pouze základní monitoring Infrastruktura Žádný pokročilý monitoring síťového provozu 2016 Novicom s.r.o. All rights reserved Strana 5

6 Trojúhelník bezpečnosti Trojúhelník bezpečnosti monitoruji a řídím kde, kdo, kdy, jak Řízení přístupu do sítě (NAC) Pokročilé řízení adresního prostoru (DDI) IPAM, DHCP a DNS Pevné IP přidělované DHCP Multispektrální monitoring L2 Monitoring, Flow Monitoring, Infrastruktura a aplikace Pokročilá ochrana vnitřní sítě - NBA 2016 Novicom s.r.o. All rights reserved Strana 6

7 Jak toho dosáhnout Alternativa 1 - Izolované systémy Monitoringy, IPAM, DHCP, DNS, NAC, BYOD, switch management, Každý systém má Počáteční náklady Investice HW, SW, implementace a školení Náklady na provoz Údržba HW a SW, nové verze Svého správce Je k dispozici dokumentace? Je zastupitelný? Je jeho činnost auditována? Jsou nastavené procesy spolupráce mezi subsystémy? 2016 Novicom s.r.o. All rights reserved Strana 7

8 Jak toho dosáhnout Alternativa 2 Integrované řešení L2 Monitoring, IPAM, DHCP, DNS, NAC, BYOD, Switch management, Minimalizace nákladů vše pouze jednou Minimalizace počátečních nákladů Investice HW, SW, implementace a školení Minimalizace nákladů na provoz Údržba HW a SW, nové verze Nároky na správce systému Dokumentace je k dispozici Je zastupitelnost Činnost je auditována Integrované řešení významná redukce procesů 2016 Novicom s.r.o. All rights reserved Strana 8

9 Koncept Aktivní bezpečnosti sítě SOC SIEM Log Management Internet Ochrana perimetru AddNet Firewall MoNet DDI - IP address management DHCP, DNS NAC x MAC authentication / authorization NBA Network behaviour analysis IDS/IPS Network DLP Infrastrukturní monitoring L2 monitoring Flow monitoring Aplikační monitoring Ochrana klientů EndPoint Security / DLP Antivirus Antimalware Klienti Desktopy Mobilní klienti Síť Síťové prvky Wifi Infrastruktura Servery Aplikace 2016 Novicom s.r.o. All rights reserved Strana 9

10 Představení pojmů IPAM / L2M / DDI / NAC IPAM Správa IP adresního prostoru L2 Monitoring Monitoring výskytu zařízení v síti (IP/MAC - lokalita/port) Monitoring v reálném čase, úplná historie výskytu DDI Integrovaná správa IP adresního prostoru a základních síťových služeb DHCP a DNS NAC řízení přístupu zařízení do sítě Autentizace zařízení (802.1x / MAC s ochranou) Autorizace zařízení dynamické řízení přidělování do VLAN 2016 Novicom s.r.o. All rights reserved Strana 10

11 Network Visibility & Security Advanced Network Monitoring Distributed IP Network Management AddNet DDI/NAC L2 monitoring IPAM address space management DDI - DHCP, DNS NAC 802.1x/MAC Autentication /Autorization FlowMon Flow monitoring IP-flows monitoring FlowMon ADS Anomaly detection system (NBA) FlowMon APM Application performance monitoring CENTRAL SITE FlowMon collector FlowMon ADS, APM FlowMon probe AddNet control server AddNet workserver AddNet workserver DHCP DNS RADIUS IPAM L2 Monitoring DMZ FlowMon probe LAN 1 LAN X AddNet workserver AddNet workserver AddNet workserver DHCP IPAM DHCP IPAM DHCP IPAM DNS RADIUS L2 Monitoring DNS RADIUS L2 Monitoring DNS RADIUS L2 Monitoring

12 Integrované řešení monitoringu a správy AddNet Monitoring ADS FlowMon Infrastructure Monitoring DMZ LAN 1 LAN X Applications Aplications serv. Database Operating syst. L2 Monitoring Virtualization DHCP Hardware DNS Environment RADIUS Flow monitoring Applications Aplications serv. Database Operating syst. L2 Monitoring Virtualization DHCP Hardware DNS Environment RADIUS Flow monitoring Applications Aplications serv. Database Operating syst. L2 Monitoring Virtualization DHCP Hardware DNS Environment RADIUS Flow monitoring 2016 Novicom s.r.o. All rights reserved Strana 12

13 Koncept v detailu - MoNet => FlowMon ADS 2016 Novicom s.r.o. All rights reserved Strana 13

14 Koncept v detailu - FlowMon ADS => AddNet 2016 Novicom s.r.o. All rights reserved Strana 14

15 AddNet SÍŤOVÁ SPRÁVA NEBYLA NIKDY JEDNODUŠŠÍ! 2016 Novicom s.r.o. All rights reserved Strana 15

16 Původní Novicom technologie Novicom SGP (Secure Grid Platform) technologická platforma pro nadstandardní provozní spolehlivost Novicom systémů a jejich integrovaných klíčových služeb (L2/infrastrukturní monitoring a základní síťové služby DHCP/ DNS/ NAC) vícenásobná redundance typu Active-Active, podpora hierarchického a distribuovaného modelu v prostředí rozsáhlých sítí Novicom SDP (Secure Delivery Protocol) vlastní komunikační protokol navržený pro zajištění spolehlivé komunikace v prostředí velice nekvalitní sítě pracuje na linkách s chybovostí až 95% garance maximálního zabezpečení přenášených dat (military grade security) Novicom FireBox platforma systém HW a virtuálních appliancí, zvyšující bezpečnost, spolehlivost a servisní flexibilitu pro klíčové komunikační a bezpečnostní funkce je založené na OS Linux s bezpečnostními úpravami kernelu, s nezávislými prvky centrální správy a zálohování/obnovy 2016 Novicom s.r.o. All rights reserved Strana 16

17 AddNet Je unikátní DDI/NAC nástroj pro řádové zvýšení efektivity správy IP adresního prostoru a řízení bezpečnosti přístupu v rozsáhlých sítích. Toho je dosaženo integrací systémů L2 monitoringu, správy IP adresního prostoru, základních síťových služeb (DHCP, DNS), řízení přístupu do sítě (NAC) a pokročilé komunikace s aktivními prvky sítě Novicom s.r.o. All rights reserved Strana 17

18 Co je AddNet? DDI IPAM DHCP DNS L2 Monitoring Real time Úplná historie Lokalizace zařízení Dashboard & Reporting NAC 802.1x & MAC autentizace Autorizace Krizový management BYOD DDI & NAC Automatizovaná a samoobslužná správa Guest zóna Switch interoperability Repository Port utilizace Zálohování konfigurací 2016 Novicom s.r.o. All rights reserved Strana 18

19 AddNet řídící server Funkcionalita Centrální databázový server Sbírá data z workserverů (L2 monitoring) Řídí podřízené workservery Konfigurace služeb DDI/NAC (DHCP/DNS/RADIUS) Poskytuje uživatelské rozhraní Edice AddNet řídících serverů Podle rozsahu funkcionality AddNet DDI Edition a doplňkové moduly SIO - Komunikace s aktivní prvky NAC - Enhanced Security BYOD AddNet Enterprise Edition Podle počtu IP zařízení v síti 100, 250, 500, 2000, 5000, bez omezení 2016 Novicom s.r.o. All rights reserved Strana 19

20 AddNet workserver Funkcionalita Provádí L2 monitoring Komunikuje s aktivními prvky Poskytuje základní síťové služby DHCP/DNS/RADIUS Schopnost autonomního provozu i v případě nedostupnosti řídícího serveru Edice AddNet Workserverů AddNet Workserver Bez licenčního omezení (s praktickým omezením 2 WS na 2000 IP zařízení v síti) AddNet Workserver BOE (Branch Office Edition) Do 25, 50 a 100 IP zařízení v lokalitě 2016 Novicom s.r.o. All rights reserved Strana 20

21 2 3 měsíce Snadné nasazení AddNetu Využití původní Novicom implementační metodiky NIM Definované postupy a výstupy Kontrola kvality Hlavní fáze Vstupní analýza Příprava SGP infrastruktury Aplikační nastavení AddNetu Iniciační sniffing Nastavení finální IP strategie Spuštění DDI Spuštění NAC Zahájení provozní podpory 70 % 30 % 2016 Novicom s.r.o. All rights reserved Strana 21

22 Klíčové přínosy AddNetu L2 monitoring - jednoznačná lokalizace zařízení v síti Řádová úspora práce síťových administrátorů Standardizace činností a centralizace správy v rozsáhlých a distribuovaných sítích Snadné zavedení a správa NAC 802.1x / MAC autentizace s ochranou Autorizace (přiřazování do VLAN) Plně automatizovaná správa a jednoznačná identifikace BYOD a mobilních zařízení Podstatné zvýšení provozní spolehlivosti DDI/NAC služeb díky vícenásobné redundanci a nadstandardní škálovatelnosti Úspora nákladů díky sledování utilizace aktivních prvků Plná heterogennost - bezproblémová spolupráce běžnými síťovými technologiemi (včetně Microsoft a Cisco) Snadná implementace a ověřené projektové postupy 2016 Novicom s.r.o. All rights reserved Strana 22

23 V čem je AddNet jiný? Využití vlastních technologií Novicom SGP Secure Grid Platform Novicom SDP Secure Delivery Protocol Novicom FireBox appliance Flexibilní podpora topologie nasazení Centralizované nasazení Plně distribuovaného nasazení Kombinované nasazení Nadstandardní provozní spolehlivost a škálovatelnost Provoz v distribuovaných lokalitách i při nedostupnosti řídící lokality Podpora aktivního clusteringu na všech úrovních Nadstandardní bezpečnost dat (appliance, datový přenos, architektura) Unikátní spojení DDI a NAC DDI nástroj je doplněný o NAC Optimalizované pro rozsáhlé distribuované sítě 2016 Novicom s.r.o. All rights reserved Strana 23

24 Bezpečnost na 4 kliknutí v praxi ZoKB: 22 vyhlášky č.316/ Novicom s.r.o. All rights reserved Strana 24

25 Bezpečnost na 4 kliknutí - Co pro to potřebujete? Monitoring vnitřní sítě L2 monitoring Flow monitoring (která IP/MAC kde a kdy byla v síti) (která IP/MAC s kým a jak komunikovala) Infrastrukturní monitoring (které zařízení/služba je afektována) Pokročilé nadstavby monitoringu NBA behaviorální analýza sítě DDI nástroj správy IP adresního prostoru (IPAM) a základních síťových služeb (DHCP / DNS) NAC řízení přístupu zařízení do sítě 802.1x / MAC Autentizace Autorizace řízení přidělování VLAN (kdo a jak se chová neobvykle) Mějte vaší síť plně pod kontrolou! 2016 Novicom s.r.o. All rights reserved Strana 25

26 Další informace Novicom s.r.o. Koněvova Praha 3 sales@novicom.cz Jindřich Šavel obchodní ředitel jindrich.savel@novicom.cz Novicom s.r.o. All rights reserved Strana 26

27 L2 monitoring Základní stavební kámen AddNetu Poskytuje informace o výskytu zařízení v síti KTERÁ KDE IP/MAC se nachází v síti Real-time monitoring Úplná historie výskytu zařízení v síti Podpora kabelové knihy Možnost importu AddNet L2 monitoring je schopný v reálném čase upozornit na rozpor mezi adresním plánem a realitou v síti! 2016 Novicom s.r.o. All rights reserved Strana 27

28 Z vyhlášky č. 316 ze dne Dočtete se např. 22 Nástroj pro detekci kybernetických bezpečnostních událostí (2) dále používá nástroj pro detekci kybernetických bezpečnostních událostí, které zajistí ověření, kontrolu a případně zablokování komunikace a) v rámci vnitřní komunikační sítě a b) serverů patřících do informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury Novicom s.r.o. All rights reserved Strana 28

29 IPAM - Adresní plánování Umožňuje řízení DNS a IP adresních dat na úrovni rozsáhlých organizací s jednotnou správou, monitoringem a auditem. Tvorba IP adresního plánu Tvorba/Implementace adresního plánu Porovnání výstupu z monitoringu (ARPmon) s existujícími adresními plány Po provedení případné korekce je výstupem seznam pravidel pro import do AddNetu Import do AddNetu Alternativně přímé vytváření v AddNetu Rezervace adresního prostoru Příprava standardních profilů zařízení IP Management konzole Přehled IP/MAC adres, status využití, typ zařízení, lokalita Zjištění mrtvých adres a jejich vrácení do adresního plánování 2016 Novicom s.r.o. All rights reserved Strana 29

30 IPAM - Adresní plánování Přidávání a konfigurace síťových zařízení Možnost rychlého přidělení IP přímo z prostředí monitoringu Automatická provázanost na DHCP/DNS/Radius Maximální uživatelské přívětivost a proaktivnost Snadné přidání zařízení do sítě bez konfigurace změna z dynamic na fixed Přiřazení další volné IP adresy Podpora krizového řízení Možnost vytvoření tzv. Krizových setů V případě incidentů umožňuje okamžité odpojení všech zařízení, mimo krizový set Po odstranění příčin a/nebo důsledků incidentu je možné postupně obnovit síťový provoz na vybraných zařízeních Historie přiřazení adres IP/MAC 2016 Novicom s.r.o. All rights reserved Strana 30

31 Spolehlivý provoz základních síťových služeb Flexibilní model nasazení DDI Centralizovaný x Distribuovaný Možnost zajištění plné redundance služeb i v lokalitě, která je dočasně nedostupná DHCP Výhody integrace s L2 monitoringem Rozšířený set funkcionality Vysoký výkon díky multithreadové architektuře (High Performance DHCP services) DNS Distribuovaný model Podpora více interface Bezproblémová spolupráce se stávající infrastrukturou 2016 Novicom s.r.o. All rights reserved Strana 31

32 Řízení přístupů do sítě Díky integrované komunikaci s aktivními prvky je podporován standard 802.1x a jeho subsety MAC autentizace a autorizace Využití aktivních prvků s podporou 802.1x resp. Radius služeb Unikátní MAC autentizace s ochranou bez nákladů na administraci Při požadavku zařízení na síťovou komunikaci příslušný switch proved dotaz do integrovaného Radius serveru AddNetu, který dá informaci zda má zařízení povolenou komunikaci případně zařadí zařízení do nastavené VLAN Při požadavku na odpojení zařízení je tato informace distribuována do integrovaného Radiusu. Při opětovném dotazu aktivního prvku (p. Positive time to live) je přístup odepřen a zařízení nemůže komunikovat na síti 2016 Novicom s.r.o. All rights reserved Strana 32

33 AddNet BYOD modul Samoobslužná správa BYOD a mobilních zařízení Vytváření guest zón Jednoznačná identifikace BYOD a mobilních zařízení Poskytování informací o IP a vlastníku zařízení Možnost aplikování následných bezpečnostních pravidel pro BYOD a síťové zařízení Firewall pravidla Poskytování Identifikace zařízení pro IDS, Netflow systémy, Web filtering, sledování provozu apod. Možnost realizace návazných a obdobných konceptů Jednoznačná identifikace pro veškeré monitorovací systémy Možnost aplikování identifikace i pro desktop systémy Možnost garantovat End-point security systémům tím, že na síti nekomunikují zařízení bez End-point ochrany Řeší rozpor mezi síťovými a bezpečnostními správci 2016 Novicom s.r.o. All rights reserved Strana 33

34 Komunikace s aktivními prvky Repository aktivních prvků Přehledové informace (S/N, IOS verze apod.) Sledování utilizace aktivních prvků Sledování celkové utilizace Sledování na úroveň portu Podpora pro optimalizaci využití sítě výpis nevyužitých zásuvek Zálohování a obnova konfigurací aktivních prvků Centrální zálohování konfigurací aktivních prvků Není omezeno na jednoho výrobce! 2016 Novicom s.r.o. All rights reserved Strana 34

35 Dashboard a reporting Dashboard Přehledové informace o provozu systému Informace o nestandardních stavech Zakázané zařízení, zařízení v rozporu s IP plánem apod. Reporting Kombinace více zdrojů dat L2 monitoring DHCP provoz Aktivní prvky Drill-down Možnost přístupu k detailu IP, monitor apod Novicom s.r.o. All rights reserved Strana 35

36 AddNet? Zahoďte excelové evidence IP adres Radikálně snižte pracnost síťové administrace Zvyšte provozní spolehlivost sítě Rozhodujte, která zařízení mohou komunikovat ve vaší síti Zaveďte si pořádek a bezpečnost v síti 2016 Novicom s.r.o. All rights reserved Strana 36

37 Další informace Novicom s.r.o. Koněvova Praha 3 sales@novicom.cz Jindřich Šavel obchodní ředitel jindrich.savel@novicom.cz Novicom s.r.o. All rights reserved Strana 37