BEZPEČNOST (BEZ)DRÁTU Martin Macek, mmacek@netlancers.cz
O nás KDO? CO? JAK? Společnost zaměřená na bezpečnost počítačových sítí Certifikovaní odborníci Společnost založena roku 2009 Jsme LIR, vlastníme AS a prefixy IPv4 i IPv6 Implementace bezpečnostní prvků (firewally, switche, bezdráty) Správa síťové infrastruktury, monitoring MSSP služby (datové centrum) Troubleshooting, analýzy Poradenství, konzultace Individuálním přístupem k zákazníkovi hledáme optimální řešení jeho požadavků
Kdo NEJSME Nejsme ISP Nějaké ISP budete potřebovat pro využití našich služeb Nespravujeme koncové stanice ale i tak jsou v bezpečí Občas se střetáváme s realitou Často jsme žádáni o správu desktopů :[ Čemu nerozumíme to neděláme Na práci mimo náš záběr doporučujeme naše partnery
Historie Start Network People motto Služby pro ISP Řešení na míru 2010 MSSP provider VM, FG, VPN, FML Cloudové služby 2009 Managed Security Služby datacentra (IaaS) Zaměření na Fortinet Vývoj FAAS technologie Profi bezpečnostní služby 2011
Používané technologie
Portfolio služeb Professional/Managed Services Bezpečnost sítí: Návrh, Instalace, Provoz, Monitoring, Rozvoj Datacenter Services Implicitní ochrana součástí všech služeb Virtual Private Servers Možné šifrování dat Virtualní firewally Virtuální sítě, VPN Ochrana mailové komunikace Server housing Webhosting
Datové centrum Služby datového centra: Praha, Coolhousing + GTS (dohled 24x7) Konektivita: NIX + zahraničí 1Gbps, redundantní FortiGate: firewall cluster, single boxy FortiMail: virtuální appliance, redundantní na úrovni VMware FortiAnalyzer: logování, zákaznické reporty Disková pole: prostor pro virtuální servery, privátní úložiště
Typické požadavky zákazníků Antivir ochrana sítě Nevyžádaná pošta Virtuální servery Propojení poboček Filtrování obsahu webu Omezené investice Práce z domova Zamezení úniku dat z firmy Potřeba připojení mobilních zařízení Nedostatek IT specialistů Ochrana vlastní DMZ Uživatelské VPN Řízení přístupu dle skupin v AD Monitoring provozu sítě
MSSP Výhody Minimální počáteční investice Rychlá realizace Pružná změna nastavení služby dle potřeb zákazníka Rovnoměrné rozložení nákladů Dostupnost služby z celého internetu Nevýhody Závislost na internetové konektivitě Technické vybavení je majetkem poskytovatele služby
Obecné schéma připojení zákazníka k MSSP službě Pobočky jsou na službu připojeny pomocí VPN mezi routerem zákazníka a datovým centrem. Klíčovým faktorem pro kvalitu MSSP služby je spolehlivé internetové připojení zákazníka.
Pravá ruka je těžká, cítíte se uvolněně
Případová studie - školství Zadání zákazníka Omezené investice Filtrování obsahu webu Vazba bezpečnosti na Windows doménu Nevyžádaná pošta Nedostatek IT specialistů Potřeba připojení mobilních zařízení Práce z domova ŘEŠENÍ: MSSP služba včetně routeru Navýšení konektivity na 20/20 Mbit Definice politik přístupu Kantor /Student Webfilter (pornografie, P2P sítě, omezení Facebooku ) Antivir, IPS Zavedení antispamu FortiMail Vzdálený přístup do školní sítě (SSL VPN portál) Zřízení bezdrátové sítě Aruba Sjednocení správy domén a webových projektů Výchozí stav internet 10/10 Mbit přístup na internet bez omezení bezdrátová síť mikrotik pošta bez antispamu či na veřejných serverech nedostatek IT specialistů webové projekty školy u různých poskytovatelů hostingů nemožnost vzdáleného přístupu do LAN 90+ uživatelů LAN
Případová studie firemní zákazník Zadání zákazníka Propojení poboček Redundance klíčových prvků LAN Revize infrastruktury LAN Filtrování obsahu webu Vazba bezpečnosti na Windows doménu Nevyžádaná pošta Potřeba připojení mobilních zařízení Vzdálený přístup dodavatelů k LAN Výchozí stav internet 50/50 Mbit bez zálohy přístup na internet bez omezení bezdrátová síť bez centrální správy a omezení, pouze několik AP pošta bez antispamu software firewall IT oddělení řeší operativu, nemá specializaci nemožnost vzdáleného přístupu do LAN ŘEŠENÍ: 350 uživatelů LAN Provedena analýza infrastruktury a bezpečnosti Navýšení konektivity na 100/100 Mbit, zřízení záložní konektivity Segmentace LAN dle analýzy Pořízení firewall clusteru, core switchů Redundance všech klíčových míst v LAN Migrace pravidel ze SW firewallu do FortiGate Zavedení antispamu FortiMail Vzdálený přístup do sítě pro dodavatele, obchodníky (SSL VPN portál) Centrálně spravovaná bezdrátová síť v rámci celé společnosti
FortiGate
FortiGate UTM
FortiGate UTM aplikační kontrola
FortiGate VPN
Závěr Děkuji Vám za pozornost