Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí Simac Technik ČR, a.s. Praha, 5.5. 2011 Jan Kolář, Solution Architect Jan.kolar@simac.cz 1
Hranice sítě se posunují Dříve - Pracovalo se v práci, poté padla - VPN připojení do firmy bylo luxusem - Stanice se připojovaly pouze do firemní sítě, kde byly chráněny Nyní - Práci si nosíme domů, nebo pracujeme pouze z domova - Pro používání některých aplikací je VPN nutnost - Stanice se připojují kamkoli, kde je dostupný Internet 2
S mobilními uživateli přibývají nové starosti Různé typy přístupu Různé typy mobilních zařízení Kapacita linky do Internetu Různá nastavení Kontrola obsahu web provozu Bezpečnost uložených dat 3
Jak to chceme vyřesit Umožnit uživatelům bezpečný přístup s jakýmkoli zařízení, kdykoliv a odkudkoliv Stejnou bezpečnostní politiku ve vnitřní síti i mimo ni Stejnou bezpečnostní politiku nezávisle na způsobu připojení (LAN, Wifi, VPN) Minimalizovat nároky na administraci řešení 4
Jaké jsou možnosti? 1. Zakázat přístup do jiných než korporátních sítí 2. Vynucovat neustálé VPN připojení do firmy 3. Využití služby v Cloudu SaaS 4. Hybridní řešení 5
Cisco Secure Mobility řešení Korporátní síť Internet Web server Web Security Appliance Zkontrolovaný URL dotaz Internet Router ASA Always-on VPN tunel URL Dotaz Mobilní uživatel - Sestavení VPN a ověření identity uživatele, předání informací WSA - Uživatel se pokusí přistoupit na web server v Internetu - Provoz je přesměrován z ASA na vnitřní router - URL dotaz je přesměrován na Web Security Appliance (WSA). Provoz je zkontrolován oproti uživatelské politice - Zkontrolovaný URL dotaz je přeposlán na web server do Internetu
Možné architektury zapojení Internet All VPN Traffic Always-on VPN tunnel Non HTTP/S Traffic WCCP Device Anyconnect VPN User ASA Inbound Internet Traffic L2 Redirect of Web Traffic Outbound Internet Traffic Web Security Appliance WCCP Router je připojený k WSA na L2 a přeposílá na ni web provoz Ostatní provoz je směrován na defaultní bránu dle směrovací tabulky WSA přeposílá odchozí web provoz na internetovou bránu a příchozí provoz na ASA (pomocí statických záznamů) 7
Komponenty řešení 1. Cisco Ironport Web Security Appliance (WSA) 2. Cisco Adaptive Security Appliance (ASA) 3. Cisco AnyConnect Secure Mobility Client 8
AnyConnect 3.0 - Funkce IPSec a SSL VPN klient Nové uživatelské rozhraní Podpora IKEv2 Web Security se ScanSafe Network Access Manager Posture http://www.cisco.com/en/us/ products/ps6742/ products_device_support_t ables_list.html 9
AnyConnect 3.0 - Security Podpora Windows, Linux, Mac OSX Windows Mobile 5,6 & 6.1 iphone, ipad Šifrování SSL with DTLS IPSEC with IKEv2 Funkce pro Secure Mobility Optimal Gateway Selection AlwaysON VPN Trusted Network Detection 10
AnbyConnect 3.0 - Network Access Manager Správce L2 spojení (Wired i Wireless) Firemní i uživatelské sítě Ověřování uživatelů i stanic 802.1X 802.1AE (MACsec) Mnoho typů EAP Možnost pouze jednoho spojení v daný okamžik Možnost funkce Auto-connect Spuštění skriptu po sestavení spojení 11
AnyConnect nasazení Profile editory Profile editory jsou intergované do ASDM, nebo jako samostatné aplikace VPN Web Security NAM 12
Cisco Ironport Web Security Appliance Web proxy cache Bezpečnostní funkce - Reputační filtrování - Antimalware kontrola - Kontrola Web aplikací - Filtrování obsahu - HTTPS inspekce - Ověřování uživatelů - Reporting a tracking 13
Cisco Adaptive Security Appliance Výkonný firewall Kontrola přístupu Inspekce protokolů Ochrana proti síťovým útokům VPN koncentrátor (SSL, IPSec) Phone Proxy 14
SaaS platforma - ScanSafe 15
ScanCenter správa a reporting Centrální správa politik Centrální reporting 75 reportovacích atributů HTTP, HTTPS, FTP over HTTP Odchozí fitrování Pravidelné zasílání reportů Detailní dohledávání transakcí 16
AnyConnect Web Security se ScanSafe Ochrana proti Malware Vynucuje bezpečnostní politiky Chrání uživatele i když není připojen přes VPN URL dotaz obsahuje ověřovací údaje Dotaz odešle do ScanSafe Cloud Odpověd zkontroluje a vrátí zpět klientovi 17
AnyConnect hybridní řešení Internet Traffic AnyConnect Secure Mobility VPN Internal Traffic (optional)
Podle čeho řešení vybírat? Počet mobilních uživatelů Jaké aplikace ve firemní síti musí být přístupné mobilním klientům? Co chci řešit Web cache, Antimalware, vynucování politik, únik informací Vadí mi reporty a jejich data mimo vlastní infrastrukturu? Využití zapojení již využívaných technologií Licence 19
Dotazy? 20