Jak vybrat správný firewall. Martin Šimek Západočeská univerzita



Podobné dokumenty
Dodávka UTM zařízení FIREWALL zadávací dokumentace

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Kybernetické hrozby - existuje komplexní řešení?

Představení Kerio Control

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Monitorování datových sítí: Dnes

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

PB169 Operační systémy a sítě

Virtualizace síťových prvků

12. Bezpečnost počítačových sítí

Technické aspekty zákona o kybernetické bezpečnosti

SAMSUNG SCHOOL 2014 JUNIPER NETWORKS. Pavlína Müllerová BDM Juniper Networks

Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než 1300 síťových aplikací

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

VÝZVA. k podání nabídky

BEZPEČNOST CLOUDOVÝCH SLUŽEB

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Úvod - Podniková informační bezpečnost PS1-2

Next-Generation Firewalls a reference

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

Technická specifikace zařízení

Xirrus Zajímavé funkce. Jiří Zelenka

Účinná ochrana sítí. Roman K. Onderka

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

Firewally a iptables. Přednáška číslo 12

Kybernetické hrozby jak detekovat?

Přehled služeb CMS. Centrální místo služeb (CMS)

O 2 Clean Internet. Ochranný štít pro bezpečný internet. Richard Novak, ICT Manager O2 Business Product Management

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Zabezpečení v síti IP

Flow monitoring a NBA

Technická opatření pro plnění požadavků GDPR

Flow monitoring a NBA

Podrobné technické specifikace a požadavky k dílčímu plnění 2:

Bezpečnostní projekt Případová studie

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Specifikace veřejné zakázky: Věc: Dodatečné informace č. 1 k veřejné zakázce "Konsolidace IT a nové služby TC ORP Uherské Hradiště"

3. SPECIFIKACE TECHNICKÝCH PARAMETRŮ

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Palo Alto Networks - Firewally příští generace. Klíčové vlastnosti Next-Generation Firewall.

Šifrovaný provoz. Dobrý sluha, ale zlý pán. Jan Šveňha Veracomp s.r.o. Copyright 2016 Blue Coat Systems Inc. All Rights Reserved.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Google Apps. Administrace

SOCIÁLNÍ SLUŽBY MĚSTA HAVÍŘOVA

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Obrana sítě - základní principy

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Řada Dell SonicWALL NSA

Y36SPS Bezpečnostní architektura PS

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Koncept BYOD. Jak řešit systémově? Petr Špringl

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Zákon o kybernetické bezpečnosti: kdo je připraven?

Spolehlivá ochrana Bezpečnostní brány Úplné řešení Redukce nevyžádané pošty Řízení přenosového pásma Automatická detekce napadení

Y36SPS Bezpečnostní architektura PS

Příloha č. 1 - Specifikace předmětu plnění

Flow monitoring a NBA

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Síťová bezpečnost v projektu státní maturity. GTS Managed Security

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA DCIT, a.s.,

Počítačové sítě Teoretická průprava II. Ing. František Kovařík

Jak být online a ušetřit? Ing. Ondřej Helar

Bezpečnost sítí

AIS MČ Praha 3 x Základní registry AIS MČ Praha 3 x Základní registry

Centrální místo služeb (CMS)

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

Bezpečnost webových stránek

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Nejbezpečnější prostředí pro vaše data

Budování sítě v datových centrech

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Server Security, Serverové produkty

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Bezdrátový router 150 Mbit/s Wireless N

FlowMon Vaše síť pod kontrolou

Check Point Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů

Analýza a zabezpečení počítačové sítě

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Desktop systémy Microsoft Windows

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

Firewall, IDS a jak dále?

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Bezpečnostní politika společnosti synlab czech s.r.o.

UniSPIS Oboustranné rozhraní RŽP na e-spis

Efektivní řízení rizik

Vysvětlení zadávací dokumentace č. 1

Počítačová síť ve škole a rizika jejího provozu

Technologie počítačových komunikací

Firewall, IDS a jak dále?

Bezpečnost vzdáleného přístupu. Jan Kubr

Transkript:

Jak vybrat správný firewall Martin Šimek Západočeská univerzita EurOpen.CZ, Měřín, 5. října 2015

Obsah prezentace K čemu je firewall? Co je to firewall? Kam svět spěje? Nová generace firewallů? Jak vypadá trh? Společný management? Jaký je výkon? Co lze virtualizovat? SDN EurOpen.CZ, Měřín, 5. října 2015 2

Jaká jsou rizika? Krádež nebo zveřejnění interních dat Neoprávněný přístup k interním uzlům Zachycování nebo pozměňování dat Odmítnutí služby Záporná publicita, veřejné mínění, právní aspekty EurOpen.CZ, Měřín, 5. října 2015 3

Co musí být zabezpečeno? Byznys: know-how, patenty, zdrojové kódy, informační agendy, Jakýkoli přístup do vaší sítě Jakákoliv cesta z vaší sítě Informace o vaší síti EurOpen.CZ, Měřín, 5. října 2015 4

Co je to firewall? Síťový prvek k řízení provozu mezi sítěmi s různou úrovní důvěryhodnosti či zabezpečení Definuje pravidla pro komunikaci mezi sítěmi Imunní vůči průnikům Zachycuje a reportuje dostatek informací pro sledování provozu EurOpen.CZ, Měřín, 5. října 2015 5

Paketový filtr Filtrování na L3 a částečně L4 Posuzuje jednotlivé pakety Bez souvislostí Bez znalosti vyšších vrstev Bezestavový Pravidla pro každý směr Jednoduchý, rychlý EurOpen.CZ, Měřín, 5. října 2015 6

Stavový firewall Rozhoduje na základě kontextu Bere v úvahu vzájemné stavy mezi pakety Pamatuje si vnitřní stavy spojení Realizuje konečný automat Pravidla nejsou pouze jednosměrná Minimální zatížení pro existující spojení EurOpen.CZ, Měřín, 5. října 2015 7

Společné vlastnosti Zdroj a cíl komunikace zadán IP adresou Zdrojový anebo cílový port Použitý protokol Stav spojení Stačí to? EurOpen.CZ, Měřín, 5. října 2015 8

Web 2.0 Číslo portu nestačí k identifikaci aplikace Komunikace probíhá přes aplikační vrstvu Většina provozu cloudových aplikací je zabalena v HTTP(S) protokolech Nové typy útoků cílí na aplikační vrstvu EurOpen.CZ, Měřín, 5. října 2015 9

Tradiční firewall Nemá kontrolu nad povolenou komunikací Nerozpozná tunelovaný provoz Nerozlišuje aplikace Nerozpozná aplikační útoky EurOpen.CZ, Měřín, 5. října 2015 10

IDS detekce útoků IDS/IPS o Podá informaci jinému zařízení o Signatury útoků automatický update o Heuristika o Detekce neobvyklého chování sítě IPS prevence útoků o Aktivně reaguje EurOpen.CZ, Měřín, 5. října 2015 11

Nová generace firewallů Schopnost práce v L2 i L3 režimu Integrace s IPS o Zpracování paketu v jednom průchodu o Automatická aktualizace signatur Rozpoznávání aplikací o Definice aplikačních pravidel o Nahlížení do šifrovaného SSL provozu Standardní funkce firewallu (SPI, NAT, VPN, ) Integrace s externími ověřovacími službami EurOpen.CZ, Měřín, 5. října 2015 12

Jak vypadá trh s NGFW? Poradenské firmy o Gartner o Frost & Sullivan o EurOpen.CZ, Měřín, 5. října 2015 13

Jak vypadá trh s NGFW? EurOpen.CZ, Měřín, 5. října 2015 14

Co na to management? EurOpen.CZ, Měřín, 5. října 2015 15

Co na to management? EurOpen.CZ, Měřín, 5. října 2015 16

Pohodlí něco stojí Je paket zpracován v jednom průchodu? Používá se standardní hardware? Probíhá stavová inspekce na firewallu? Je integrace IPS a firewallu bezešvá? Jaká je propustnost firewallu? Jaká je propustnost po aktivaci ostatních modulů? Kolik je k dispozici portů a jakých? Kolik je možno vytvořit VPN tunelů? Nabízí podporu IPsec/SSL VPN? Obsahuje antivirus, antispyware (antimalware)? Blokuje nežádoucí e-maily (antispam, phishing)? Umožňuje webfiltering (URL filtering vs. content filtering)? Je možné nastavit časová omezení, šířku pásma (traffic shaping)? Umožňuje správu uživatelů (integrace s AD, LDAP/Radius)? Umožňuje vynutit politiky na základě identity uživatele nebo IP adresy? Nabízí nějakou použitelnou formu reportingu? Lze pomocí regulárních výrazů detekovat únik informací (DLP)? Jaká je provázanost a spolupráce mezi jednotlivými moduly? Je k dispozici jednotné a intuitivní uživatelské rozhraní? Jak je to s licencemi? Lze používat zařízení v režimu failover nebo load balancing? EurOpen.CZ, Měřín, 5. října 2015 17

Výkon je výkon Testování stojí čas Nezávislé testovací laboratoře o NSS Labs o EurOpen.CZ, Měřín, 5. října 2015 18

Výkon je výkon EurOpen.CZ, Měřín, 5. října 2015 19

Reálná průchodnost EurOpen.CZ, Měřín, 5. října 2015 20

Je to výhodné? EurOpen.CZ, Měřín, 5. října 2015 21

A co šifrovaný provoz? EurOpen.CZ, Měřín, 5. října 2015 22

Certifikace řešení EurOpen.CZ, Měřín, 5. října 2015 23

Co lze virtualizovat? Filtrace provozu mezi instancemi o V rámci datového centra o Mezi datovými centry Filtrace provozu zvenčí fyzické sítě VPN koncentrátor Loadbalancer EurOpen.CZ, Měřín, 5. října 2015 24

SDN FW Veškerá logika zpracování je na straně řadiče o Latence při zpracování nového spojení o Výměna dalších zpráv Ve stádiu výzkumu o Upřednostnění požadavků na blokování o Stavové tabulky Prakticky o Firewall ovládaný REST API o Součást platformy EurOpen.CZ, Měřín, 5. října 2015 25

Závěr Sledování trendů Cyklus obnovy zařízení Požadované vlastnosti Nezávislé testy výkonu Virtuální vs. Hardwarový EurOpen.CZ, Měřín, 5. října 2015 26

Děkuji za pozornost Dotazy?