Barracuda Networks. Komplexní ochrana Vašich dat a sítí. Radko Hochman. www.gestocomm.cz www.barracuda.com

Barracuda Networks Komplexní ochrana Vašich dat a sítí Radko Hochman www.gestocomm.cz www.barracuda.com

Barracuda Networks Založeno 2003 Barracuda Spam & Virus Firewall HQ California, Campbell > 150 000 zákazníků > 100 zemí Kontinuální růst FY05 2009 akvizice rakouské společnosti Phion NG Firewall NextGen Firewall F Vývoj a centrum podpory rozšířeno do Evropy FY15

Klíč k úspěchu Vstřícný přístup k zákazníkům Služby Servisní podpora Licenční politika Portfolio Platformy

Try and Buy Možnost seznámení se se sytémem prostřednictvím veřejně přístupných dohledů : http://login.barracuda.com, guest přístupná většina systémů Zapůjčení nové jednotky zdarma nebo stažení virtuálního obrazu zdarma Testovací licence na 30 dnů Neomezená funkcionalita v individuálních případech možno prodloužit V případě koupě jednotka zůstává Možná výměna HW jednotky za vyšší model nebo virtuální licence za vyšší level do 60 dnů od koupě bez poplatků za zpětný odběr

Platformy Hardware Každý typ několik výkonově odlišných modelů U nižších modelů mohou být omezeny některé výkonově náročnější funkcionality Virtuální VMware Hyper-V KVM Citrix Xen Cloud Microsoft Azure Aplikační Software Archive One, PST Enterprisse Služba Barracuda Cloud

Služby EU Energize Update Základní užívací licence Update a upgrade sofrware Technická podpora (telefon, e-mail, 8 x 5) Automatická aktualizace provozních databází IR Instant Replacement V případě poruchy odeslání náhradní jednotky ten samý, nejpozději následující pracovní den Vzdálená asistence při výměně, převodu konfigurace eventiuelně dat 24 x 7 Po 4 letech obnova hardware zdarma PS - Premium support Pro Enterprise modely (6xx a výš) 24 x 7 Prioritní řešení problémů Možnost proaktivního monitoringu Sjednání na dobu 1, 3, 5 let

Licence Jdnoduchá a přímočará licenční politika Žádné uživatelské licence Virtuální modely limitovány počtem jader CPU, nižší modely počtem uživatelů Minimum rozšiřujících licencí Platnost 1, 3, 5 let

Barracuda Cloud Control Centrální Management Pro většinu zařízení Barracuda Dohled zařízení Barracuda z jednoho portálu Centrální management politik Konsolidované reporty Přístup i z mobilních zařízení (aplikace) ZDARMA

Portfolio Security Application Delivery Backup / Archivace NextGen Firewall F-Series Load Balancer ADC Backup NextGen Firewall X-Series Load Balancer FDC Message Archiver Link Balancer ArchiveOne Web Application Firewall Web Filter PST Enterprise SSL VPN Copy Spam Firewall Email Security Service Mobile Device Manager Web Security Service CudaSign

Spam & Virus Firewall První a stále populární produkt Barracuda Komplexní ochrana e-mailové komunikace Kontrola příchozí i odchozí pošty 12 vrstev obrany DoS Ověření Antivir... Analýzy Skore Kontrola a filtrování obsahu, příloh Uživatelsky definovatelné politiky Ochrana proti ztrátě dat DLP Možnost rozšířené ochrany proti malware - Avira Platformy : HW, Virtual, MS-Azure Barracuda E-mail Security Service Škálovatelné Od malých po řešení pro Enterprise a ISP

Barracuda NextGen Firewall F Výkonný síťový firewall Plná kontrola aplikací Plní kontrola uživatelů Inteligentní řízení provozu Komplexní rozšířené IDS/IPS Kompletní centrální dohled

Barracuda NextGen Firewall F Evropský původ Rakousko, Insbruck Vyvinuto na počátku tisícíletí společností Phion jako bezpečnostní řešení pro bankovní sektor (označení Netfence) V září 2009 akvizice společnosti Barracuda Networks Vývojová základna v Evropě Servisní podpora v Evropě

UTM : Unified Treat Management Jednotný managemet hrozeb IPS / IDS Firewall URL Filter Application control 2.0 Spam Application proxy Reverse proxy Mlaware protection / Antivir Vzdálený přístup Další služby Autentizační služby (MSAD, LDAP, Radius DHCP server DNS server NTP server (platnost certifikátů)

Evoluce Firewallů Optimalizace WAN Centralizovaný dohled Škálovatelnost Vzdálený přístup (VPN) Quality of Service (QoS) Reporty a Audity Application control Identita uživatelů Porty, pakety, Protokoly, Anti-virus Tradiční Firewall Next Generation Firewall Barracuda NextGen Firewall F

Řízení přístupu k aplikacím Business Critical? Akceptovatelné? Bezpečnostní riziko? Blokování nežádoucích aplikací Řízení akceptovatelného provozu - prioritizace - omezení pásma Šetří kapacitu připojení a zrychluje kritické aplikace. Kontrola SSL provozu

Řízení přístupu k aplikacím - příklad Zakázané apllikace Facebook (mimo file transfer) povolen v době oběda pro přihlášené uživatele Videostreaming povolen s nízkou prioritou pro skupinu IT Update vybraných aplikací povolen s nízkou prioritou Vysoká priorita pro aplikaci Salesforce uživatelům ze skupiny Sales

Řízení přístupu k Internetu Obecné Řízení aplikací Application Control Poskyto va tel 1 Obecné Posk. 1 Hry Hry Posk. 2 Poskytovatel 2 Posk. 1 nebo 2 Posk. 3 atel 3 Poskytov Barracuda NG Firewall Přehled detekovaných aplikací a potenciálních rízik Application Based Link Selection Definuje použití jednotlivých připojení pro definované aplikace Definice konkrétních aplikací nebo kategorií Použití levnějších, méně spolehlivých připojení pro nekritické aplikace Použití robustních spojení pro kritické aplikace Session Balancing / Link Backup Střídá definovaná připojení pro jednotlivá TCP spojení Cyklicky, Náhodně V případě výpadku některého připojení se toto nepoužije

Plná kontrola a monitoring uživatelů Ztotožnění užívatele s jeho IP adresou DC Agent (Domain Control Agent) Automatické mapování mezi uživatelem a jeho IP adresou Možnost manuálního vyřazenívybraných IP adres (HTTP proxy a Terminal Servery...) Možnost vzdáleného přístupu k MSAD TS Agent (Terminal Server Agent) Mapování uživatele na specfický rosah portů SSL enkrypce VPN Použijí se údaje při přihlášení Explicitní přihlášení k Firewallu Zvláštní webové rozhraní Uživatelsky méně komfortní

Bezpečný přístup k Internetu

Firewall IDS / IPS Rozšířená detekce a prevence možných narušení Ochrana proti přímým útokům Soustavné monitorování sítě a síťového chování jednotlivých systémů Detekce a vyhodnocení podezřelých aktivit Klasifikace Logování / Blokování podezřelého provozu Databáze více než 1200 aplikací Dynamicky udržovaná (EU) Možnost definice vlastních vzorů Možnost redefinice akcí Ochrana transportní vrstvy Identifikace a blokování pokročilých technik pro obejití tradičních systémů

Malware protection Ochrana interní sítě před škodlivým obsahem Viry, červy, trojské koně, java aplety, dokumenty, makro viry a další Web HTTP, HTTPS e-mail SMTP, POP3 Přenos souborů FTP Inspekce SSL Mody Proxy InLine Dva plně integrované antivirové systémy Avira ClamAV Jedny z nejlépe hodnocených antivirových programů Pravidelná automatizovaná aktualizace signatur Pokročilá heuristická analýza Dostupné pro F18 a vyšší mimo F100 a všechny virtuální verze Možnost rozšířené analýzy pomocí Advanced Treat Detection

Barracuda Advanced Threat Detection (ATD) Další úroveň ochrany proti malware, cíleným útokům typu zero - hour / day Identifikace a blokování pokročilých technik pro obejití tradičních systémů Stahovaný soubor je kontrolován proti kontinuálně updatované on-line databázi Chování neznámého souboru (s neznámou signaturou) je analyzováno v izolovaném prostředí v Barracuda cloud Simultální podpora různých operačních systémů.

Vzdálený přístup k podnikové síti - VPN Zabezpečený přístup klienta do interní sítě ze sítě Internet (Client-To-Site) Zabezpečené propojení privátních sítí přes síť internet (Site-To-Site ) IPSec Zabezpečené připojení na síťové úrovni Aplikace přistupují k privátní síti transparentně Aplikace nemusí být pro přístup k privátní síti nijak vybaveny Možnost vazby na certifikát X.509 Možnost autentizace jménem, heslem, skupinou Pro provoz je vyžadován klient a server (koncentrátor) Šifrován je kompletní provoz včetně záhlaví paketů SSL Zabezpečené propojení na aplikační úrovni Každá aplikace musí mít vlastnosti klienta / serveru Možnost vazby na certifikát X.509 Možnost autentizace jménem, heslem Používá se zejména po přístup k zabezpečenému webu, e-mailu Není třeba instalovat speciálního klienta Šifrován je obsah

Barracuda TINA VPN Transport Independent Network Access Rozšířená vlastnosti na základě IPSec Site-To-Site i Client-To-Site Multiplatformní Klient MS Windows, Linux MAC, OS Podpora klientů Android, IOS, Windows Phone Barrauda Traffic Inteligence (klient MS Windows) Podpora redundantních serverů přístupových bodů Automatické vyhledání nejvhodnějšího přístupového bodu Automatické navázání spojení po výpadku internetového připojení Použití až 24 transportních prostředků Centralizovaná správa (NG firewall, NG Control Center) Vynucení bezpečnostních politik (klient MS Windows) Kontrola zdraví klienta, aktuálních update, firewallu klienta, antiviru Selektivní routing (omezení přístupu mimo VPN při navázané VPN) Autentizace Interní / Externí X.509, Smart Card, Secure ID, Jméno / heslo MSAD, LDAP, RADIUS

Dynamická Mash VPN Hub&Spoke setup Hub detekuje stav a provoz mezi jednotlivými pobočkami Hub automaticky řídí změny konfigurace Pobočky vytvářejí dočasné tunely

Zabezpečený vzdálený přístup NextGen Firewall F Cloud CudaLaunch Mobilní VPN Web Prohlížeč NextGen Firewall F On-premisse Klient

Vzdálený přístup z mobilních zařízení CUDALaunch

Management Aplikace NG Admin Jednotný management všech součástí Stejné rozhraní pro lokální, dálkovou i centrální správu Export / Import konfigurace Správa konfigurací (RCS) individuální pro každý subsystém Pro centrální správu NG Control Center Správa sw verzí Správa konfigurací Správa logů Certifikační autorita ATR Obnova systému a konfigurace v jednom kroku

Management

Centrální management NextGen Control Center Zrychluje provádění akcí hromadné provádění Zvyšuje bezpečnost Snižuje náklady Zabezpečený přístup ke spravovaným jednotkám Cenrální správa sw verzí Cenrální správa licencí Cenrální správa konfigurací Cenrální správa logů Grafická konfigurece VPN Certifikační autorita Platformy HW appliance Virtuální Cloud MS Azure

Hardwarové modely Model Propustnost Firewall Propustnost IPS Propustnost VPN Současné relace Nové relace Provedení Napájecí zdroj F10 300 Mbit/s 60 Mbit/s 85 Mbit/s 2 000 1 000 Mini Extrerní F100 300 Mbit/s 60 Mbit/s 85 Mbit/s 8 000 1 500 Desktop Extrerní F200 650 Mbit/s 115 Mbit/s 120 Mbit/s 35 000 2 500 Desktop Extrerní LAN GE / FE SFP (1GE) 4 4 4 F280 F300 F380 1,6 Gbit/s 680 Mbit/s 3,8 Gbit/s 450 Mbit/s 125 Mbit/s 1,1 Gbit/s 310 Mbit/s 370 Mbit/s 750 Mbit/s 100 000 70 000 200 000 9 000 2 500 9 500 Desktop 19 1U 19 1U Extrerní Interní Interní 4 4+4 8 F400 5,0 Gbit/s 1,5 Gbit/s 960 Mbit/s 310 000 16 000 19 1U Int. Dual 8 SFP+ (10GE) F600 16,3 Gbit/s 3,9 Gbit/s 2,3 Gbit/s 2 000 000 110 000 19 1U Int, opt Dual 8 buď 4 F800 19,6 Gbit/s 4,8 Gbit/s 6,8 Gbit/s 2 500 000 150 000 19 1U Int. Dual F900 22,2 Gbit/s 5,4 Gbit/s 7,6 Gbit/s 2 800 000 160 000 19 2U Int. Dual F1000 40 Gbit/s 10 Gbit/s 10 Gbit/s 3 500 000 160 000 19 2U Int. Dual nebo 2 4* 4* 4/8 * Volitelně Volitelně Volitelně Volitelně 20 / 12 * 24 / 16 / 8 * 16 / 32 * 4* 8* 16 / 32 * ADSL WiFi 3G USB Modem Volitelně Volitelně Volitelně Ano Volitelně Volitelně Volitelně Volitelně Volitelně Stateful Firewall Application Control IPS IPsec VPN Web Proxy od F18 Barracuda Web Filter od F18 Nové modely Q4 / 2015 F18, F80, F 180 F280 revize B Výkonnější Větší počet portů Volitelně Volitelně Barracuda Web Filter od F18 Mail Gateway, Spam Filter, FTP Gateway, SSH Gateway - od F18 Barracuda Malware protection volitelně od F18 Barracuda Basic Remote Access volitelně od F18 (mimo F100) Barracuda Advanced Remote Access volitelně od F18 mimof100)

Virtuální Model Počet jader Počet IP adres VF25 2 25 VF50 2 50 Model Počet jader Počet síťových rozhraní - Amazon Propustnost Firewall Propustnost IPS Propustnost VPN Současné relace Nové relace VMware, Hyper-V, KVM, Cytrix VF100 VF250 VF500 2 2 2 100 250 500 Azure, Amazon L2 L4 1 2 2 2 400 Mbit/s 2 Gbit/s 80 Mbit/s 900 Mbit/s 120 Mbit/s 500 Mbit/s 35 000 300 000 2 500 16 000 VF1000 VF2000 VF4000 VF8000 2 4 8 16 Neomezeno Neomezeno Neomezeno Neomezeno L6 4 4 5 Gbit/s 2,5 Gbit/s 1 Gbit/s 500 000 35 000 L8 8 4 9 Gbit/s 3 Gbit/s 1,5 Gbit/s 1 000 000 45 000

Barracuda Web Application Firewall Ochrana Vašich aplikací a dat

Útoky jsou dnes automatizovány Web Exploitation Kit SQL Injection Toolkit

Layer 7 Web Application Firewall Inbound inspection Outbound inspection Ochrana proti útokům na aplikační (7.) vrstvě Ochrana proti odcizení dat

Ochrana proti útokům a ztrátě dat Attack Protection SQL, XSS, command injection CSRF Web Site Cloaking Data Theft Protection Credit card, SSN, custom patterns Session Protection Cookie encryption Parameter tampering protection Integrovaný Anti-Virus OWASP Top 10 Brute Force Protection DoS Protection IP Reputation Blocking Blocking by Geo IP Anonymous Proxy Blocking Podpora Armored Browser XML Firewall XML schema enforcement Web services security Integrace SIEM

Identita a řízení přístupu Authentication Authorization Single-Sign-On Two-Factor Authentication Token ID Client Certificate SMS Passcode Reporting

Jednoduché nasazení a dohled Úroveň přizpůsobení Vysoká Uživatelské a pozitivní zabezpečení Střední Přednastavené vzory (template) Nízká Výchozí zabezpečení

Akcelerace a rozdělení zátěže Data Center Barracuda Web Application Firewall HTTP Komprese Request Rate Control L4 / L7 Load Balancing Application monitors SSL Offloading TCP Pooling HTTP Caching Content Routing

Konsolidace různorodých zařízení v DMZ Load Balancing SSL Accelerators Access Control Caching Security Reverse Proxy Web Application Firewall Snižuje komplikovanost managementu Snižuje riziko konfiguračních chyb

Výhody Barracuda WAF Soustavná ochrana před vyvíjejícími se hrozbami Blokuje SQL injections, cross-site scripting, session spoofing a mnoho dalších Prevence odcizení dat Inspekce odchozího provozu Výkonná authentikace a autorizace Získávání nových schopnost pro blokování přicházejících hrozeb Pomáhá akcelerovat výkon Aplikací

Archivace Barracuda Message Archiver výkonné, ale jednoduché řešení pro archivaci z MS Exchange a Office365 s rozsáhlými možnostmi vyhledávání ve zprávách Barracuda Archive One výkonné řešení pro komplexní management e-mailové komunikace MS Exchange s širokými možnostmi nastavení a vyhledávání ve zprávách Barracuda PST Enterprisse výkonný nástroj pro vyhledání, migraci a eliminaci PST souborů MS Outlook

Barracuda Message Archiver HW, Virtual, MS-Azure Archivace veškeré e-mailové komunikace Libovolný e-mail server včetně Office365 (Barracuda Cloud Relay) Offload e-mailových serverů Integrace s MSAD / LDAP Podrobné prohledávání zpráv podle řady kriterií Přístup ke zprávám i v případě výpadku e-mail server Jednoduché nastavení Retenční politiky Možnost zálohování do Barracuda Cloud MS-Outlook plug-in přistup k archivovaným zprávám obdobně jako k živým Barracuda Message Archiver Cloud Relay

Barracuda Archive One SW řešení Produkt spolećnosti C & C Vývojového partnera společnosti Microsoft Akvizice 2014 Určeno pro spolupráci MS-Exchange (od 2007) Archivace e-mailové komunikace podle řady kriterií Offload e-mailových serverů Integrace s MSAD / LDAP Podrobné prohledávání zpráv podle řady kriterií Konsolidované prohledávaání zpráv bez ohledu na umístění : v e mailových schránkách, PST souborech, veřejných složkách, archivech Přístup ke zprávám i v případě výpadku e-mail serveru Propracované retenční politiky MS-Outlook plug-in uživatel přistupuje k archivovaným zprávám obdobně jako k živým Archive One File Archivace souborů

Barracuda PST Enterprisse PST soubory představují bezpečnostní riziko Vyhledání PST souborů na serverech a prac. stanicích Klient bez instalace Rozsáhlá pravidla pro import zpráv Možnost automaticky určovat vlastníka nepřipojených PST Možnost exportu do archivů nebo Office 365 Možnost odpojení a vymazání souboru po archivaci

Děkuji za pozornost Radko Hochman Gesto Communications www.gestocomm.cz Www.barracuda.com