Koncepty v zabezpečení DMZ infrastruktury proti aktuálním kybernetickým útokům

Transkript

1 Koncepty v zabezpečení DMZ infrastruktury proti aktuálním kybernetickým útokům Martin Koldovský mkoldov@checkpoint.com

2 DMZ je o segmentaci In computer security, a DMZ is a physical or logical subnetwork that contains and exposes an organization's external-facing services to a larger untrusted network, usually the Internet. The purpose of a DMZ is to add an additional layer of security to an organization's local area network (LAN); an external attacker only has access to equipment in the DMZ, rather than any other part of the network. The name is derived from the term "demilitarized zone", an area between nation states in which military action is not permitted. 2

3 Segmentace je o řízení přístupu Vyčlenění služeb do speciálně vytvořené zóny pro flexibilnější řízení přístupu přístup uživatelů na služby z Internetu oddělení klientských PC a služeb bezpečný vzdálený přístup poboček, partnerů a jednotlivých uživatelů přes VPN 3

4 3 oblasti Prostředky řízení přístupu Management Infrastruktura 4

5 Prostředky řízení přístupu Firewall Identity Awareness IPS Intrusion Prevention Web Security Ochrana před DDoS útoky 5

6 Bez měření není řízení Centrální sběr logů z mnoha bran a vrstev Prohledávání logů Google pro logy Identifikace bezpečnostních incidentů Reporting Správa konzistentních a přehledných bezpečnostních politik Workflow změn politik a jejich audit Integrovaná kontrola splňování norem a best practices (Compliance Blade) 6

7 Infrastruktura Inspekce šifrovaného provozu HTTPS Zabezpečení virtualizace Virtual Edition Virtualizovaná bezpečnost Virtual Systems 7

8 Řízení přístupu

9 Vícevrstvá architektura Data Leakage Prevention Antivirus Anti-Bot Anti-Spam IPS Application Control URL Filtering Protocol and Application Decoder HTTPS inspection Stream Reassembly Engine Identity Awareness Layer 2 4 Firewall & IPS IPsec Multi-Core Packet Queuing and Dispatching 9

10 Identity Awareness Politiky založené na rolích uživatelů, ne pouze na IP adresách sítí a počítačů Uživatel, zařízení, lokalita 10

11 Srovnání některých zdrojů identity Requirement AD Query Captive Portal Identity Agent Lite Identity Agent Full Agent Deployment Clientless Clientless Resident Resident Requires Admin Privileges Unique No No agent on AD No No additional server No Yes Transparent Authentication Captive portal Web auth Machine Identity Detect IP Spoofing Logoff & IP Change Detection Delayed Basic Keep window open option Unique Security Strength Packet tagging High Security Excellent 11

12 IPS: přehled ochran 12

13 IPS v detailu Protection type Signature Severity Critical Protocol Anomalies High Application Control Medium Engine settings Low Confidence Level High Medium-high Medium Medium-Low Low Performance Impact Critical Protection Type High Server Medium Low Clients 13

14 Geo Protection 14

15 DDoS Attack Information Network Flood Server Flood Application Low & Slow Attacks High volume of packets High rate of new sessions Web / DNS connectionbased attacks Advanced attack techniques 15

16 Multi-Layer DDoS Protection Network Flood Server Flood Application Low & Slow Attacks Behavioral High volume of network packets analysis Automatic and High rate of pre-defined new sessions signatures Web Behavioral / DNS connectionbased DNS HTTP and attacks Advanced Granular attack custom filters techniques Stateless and behavioral engines Protections against misuse of resources Challenge / response mitigation methods Create filters that block attacks and allow users 16

17 Layers Work Together Protection Layers Flow Network Flood Server Flood Application Low & Slow Attacks Allowed Traffic 17

18 Behavioral DoS Protection System Automatically Block Abnormal Network Behavior Inbound Traffic 3 Learning Degree of Attack = High 5 Blocking Module 1 RT Statistics 2 Fuzzy Logic Engine 6 Closed Feedback Controller Degree of Attack = Low (Positive Feedback) 4 Footprints Lookup Outbound Traffic 18

19 DDoS: On-the-Fly Signature Creation Protect Applications and Services Automatically Inputs DoS and DDoS Public Network Network Servers Clients Application Level Threats Zero-Minute Malware Propagation Real-Time Signature Inbound Traffic Inspection Module Behavioral Analysis Closed Feedback Abnormal Activity Detection Outbound Traffic Enterprise Network Real-Time Signature Generation Optimize Signature Remove When Attack is Over 19

20 The Solution DDoS Protector DPx06 DPx412 DOS Shield (DOS signature) Behavioral DOS DNS Protection Syn Protection Out of state Connection Limit HTTP Mitigator White list/black list Block Denial of Service Attacks Within Seconds! 20

21 Where to Protect Against DDOS Scenarios: On-Premise Deployment DDOS Protector Appliance + Off-Site Deployment DDOS Protector Appliance 21

22 Appliance Specifications Model DP 506 DP 1006 DP 2006 DP 3006 DP 4412 DP 8412 DP Capacity 0.5Gbps 1Gbps 2Gbps 3Gbps 4GBps 8Gbps 12Gbps Max Concurrent Sessions Max DDoS Flood Attack Protection Rate Latency 2 Million 4 Million 1 Million packets per second 10 Million packets per second <60 micro seconds Real-Time Signatures Detect and protect against attacks in less than 18 seconds 22

23 Management

24 Seznamte se s Májou Systémová administrátorka ve velké firmě na léky 24

25 Seznamte se s Alexendrem Finanční ředitel ve velké firmě na léky 25

26 Přehledný management 26

27 Viditelnost Chci vědět, jak jsme na tom s bezpečností a co se děje na síti našeho oddělení 27

28 Bezpečnostní politika - firewall Najít pravidla týkající se finančního oddělení Mája se chce ohledně pravidla poradit se svým manažerem 28

29 SmartLog Google pro logy Podívejme se jaké logy najdeme pro síť finančního od. Zobrazované sloupce se mohou měnit podle typu prohlížených dat 29

30 SmartEvent reporty za oddělení 30

31 Delegace práv pro reporty 31

32 Přehled uživatelské aktivity 32

33 Vyšetřování možných incidentů 33

34 Vazba incidentů na správu politik Translate Security Information into Action! 34

35 Workflow: přehled, autorizace, revize SmartWorkflow: Automated Policy Change Management Visual change tracking Flexible authorization Audit trails Single Console Integration 35

36 Compliance, best practices Stovky bezpečnostních kontrol předpřipravených experty přímo v managementu sloužících pro monitorování splňovaní norem a jako základ doporučené bezpečné konfigurace 36

37 Compliance: Bezpečnostní kontroly politik Doporučení Stav plňení Související předpisy [Restricted] ONLY for designated groups and 37

38 Infrastruktura

39 Check Point and HTTPS Inspection Application Control Blade can block/allow important HTTPS based applications even without enabling HTTPS inspection! The above rule would block all access to the following examples (and more)

40 Check Point HTTPS inspection HTTPS inspection Granular policy Active Directory objects URL Filtering groups All or per Software Blade Supports Inbound and outbound CA list and certification verification 40

41 Virtual Edition: zabezp. VMware ESX Security Challenges in Virtual Environments Protection from external threats Inspect traffic between Virtual Machines (VMs) Secure new Virtual Machines automatically 41

42 Virtualized Security Virtual Systems Management Multi-Domain Servers Management, HA VSLS DB Server Farm 42

43 Shrnutí

44 DMZ koncepty zabezpečení Prostředky řízení přístupu vícevrstvá ochrana Management pokročilé nástroje použitelné snadno i ve velkých prostředích, viditelnost Infrastruktura flexibilní podpora vykonávání bezpečnosti v nejrůznějších podmínkách (platformy, výkon) 44

45 Nad rámec prezentace Přístup uživatelů do Internetu Secure Web Gateway Application Control identifikace a řízení aplikací bez ohledu na protokol URL Filtering předchůdce, první generace App. Ctrl. Ochrana uživatelů před hrozbami a malware Threat Prevention multi-layer Antivirus slabiny klientských aplikací IPS neznámé hrozby Threat Emulation post-infekční ochrana Antibot 45

46 46

47 47

48 48

49 Vaše dotazy