Koncepty v zabezpečení DMZ infrastruktury proti aktuálním kybernetickým útokům Martin Koldovský mkoldov@checkpoint.com
DMZ je o segmentaci In computer security, a DMZ is a physical or logical subnetwork that contains and exposes an organization's external-facing services to a larger untrusted network, usually the Internet. The purpose of a DMZ is to add an additional layer of security to an organization's local area network (LAN); an external attacker only has access to equipment in the DMZ, rather than any other part of the network. The name is derived from the term "demilitarized zone", an area between nation states in which military action is not permitted. http://en.wikipedia.org/wiki/dmz_(computing) 2
Segmentace je o řízení přístupu Vyčlenění služeb do speciálně vytvořené zóny pro flexibilnější řízení přístupu přístup uživatelů na služby z Internetu oddělení klientských PC a služeb bezpečný vzdálený přístup poboček, partnerů a jednotlivých uživatelů přes VPN 3
3 oblasti Prostředky řízení přístupu Management Infrastruktura 4
Prostředky řízení přístupu Firewall Identity Awareness IPS Intrusion Prevention Web Security Ochrana před DDoS útoky 5
Bez měření není řízení Centrální sběr logů z mnoha bran a vrstev Prohledávání logů Google pro logy Identifikace bezpečnostních incidentů Reporting Správa konzistentních a přehledných bezpečnostních politik Workflow změn politik a jejich audit Integrovaná kontrola splňování norem a best practices (Compliance Blade) 6
Infrastruktura Inspekce šifrovaného provozu HTTPS Zabezpečení virtualizace Virtual Edition Virtualizovaná bezpečnost Virtual Systems 7
Řízení přístupu
Vícevrstvá architektura Data Leakage Prevention Antivirus Anti-Bot Anti-Spam IPS Application Control URL Filtering Protocol and Application Decoder HTTPS inspection Stream Reassembly Engine Identity Awareness Layer 2 4 Firewall & IPS IPsec Multi-Core Packet Queuing and Dispatching 9
Identity Awareness Politiky založené na rolích uživatelů, ne pouze na IP adresách sítí a počítačů Uživatel, zařízení, lokalita 10
Srovnání některých zdrojů identity Requirement AD Query Captive Portal Identity Agent Lite Identity Agent Full Agent Deployment Clientless Clientless Resident Resident Requires Admin Privileges Unique No No agent on AD No No additional server No Yes Transparent Authentication Captive portal Web auth Machine Identity Detect IP Spoofing Logoff & IP Change Detection Delayed Basic Keep window open option Unique Security Strength Packet tagging High Security Excellent 11
IPS: přehled ochran 12
IPS v detailu Protection type Signature Severity Critical Protocol Anomalies High Application Control Medium Engine settings Low Confidence Level High Medium-high Medium Medium-Low Low Performance Impact Critical Protection Type High Server Medium Low Clients 13
Geo Protection 14
DDoS Attack Information Network Flood Server Flood Application Low & Slow Attacks High volume of packets High rate of new sessions Web / DNS connectionbased attacks Advanced attack techniques 15
Multi-Layer DDoS Protection Network Flood Server Flood Application Low & Slow Attacks Behavioral High volume of network packets analysis Automatic and High rate of pre-defined new sessions signatures Web Behavioral / DNS connectionbased DNS HTTP and attacks Advanced Granular attack custom filters techniques Stateless and behavioral engines Protections against misuse of resources Challenge / response mitigation methods Create filters that block attacks and allow users 16
Layers Work Together Protection Layers Flow Network Flood Server Flood Application Low & Slow Attacks Allowed Traffic 17
Behavioral DoS Protection System Automatically Block Abnormal Network Behavior Inbound Traffic 3 Learning Degree of Attack = High 5 Blocking Module 1 RT Statistics 2 Fuzzy Logic Engine 6 Closed Feedback Controller Degree of Attack = Low (Positive Feedback) 4 Footprints Lookup Outbound Traffic 18
DDoS: On-the-Fly Signature Creation Protect Applications and Services Automatically Inputs DoS and DDoS Public Network Network Servers Clients Application Level Threats Zero-Minute Malware Propagation Real-Time Signature Inbound Traffic Inspection Module Behavioral Analysis Closed Feedback Abnormal Activity Detection Outbound Traffic Enterprise Network Real-Time Signature Generation Optimize Signature Remove When Attack is Over 19
The Solution DDoS Protector DPx06 DPx412 DOS Shield (DOS signature) Behavioral DOS DNS Protection Syn Protection Out of state Connection Limit HTTP Mitigator White list/black list Block Denial of Service Attacks Within Seconds! 20
Where to Protect Against DDOS Scenarios: 1 2 3 On-Premise Deployment DDOS Protector Appliance + Off-Site Deployment DDOS Protector Appliance 21
Appliance Specifications Model DP 506 DP 1006 DP 2006 DP 3006 DP 4412 DP 8412 DP 12412 Capacity 0.5Gbps 1Gbps 2Gbps 3Gbps 4GBps 8Gbps 12Gbps Max Concurrent Sessions Max DDoS Flood Attack Protection Rate Latency 2 Million 4 Million 1 Million packets per second 10 Million packets per second <60 micro seconds Real-Time Signatures Detect and protect against attacks in less than 18 seconds 22
Management
Seznamte se s Májou Systémová administrátorka ve velké firmě na léky 24
Seznamte se s Alexendrem Finanční ředitel ve velké firmě na léky 25
Přehledný management 26
Viditelnost Chci vědět, jak jsme na tom s bezpečností a co se děje na síti našeho oddělení 27
Bezpečnostní politika - firewall Najít pravidla týkající se finančního oddělení Mája se chce ohledně pravidla poradit se svým manažerem 28
SmartLog Google pro logy Podívejme se jaké logy najdeme pro síť finančního od. Zobrazované sloupce se mohou měnit podle typu prohlížených dat 29
SmartEvent reporty za oddělení 30
Delegace práv pro reporty 31
Přehled uživatelské aktivity 32
Vyšetřování možných incidentů 33
Vazba incidentů na správu politik Translate Security Information into Action! 34
Workflow: přehled, autorizace, revize SmartWorkflow: Automated Policy Change Management Visual change tracking Flexible authorization Audit trails Single Console Integration 35
Compliance, best practices Stovky bezpečnostních kontrol předpřipravených experty přímo v managementu sloužících pro monitorování splňovaní norem a jako základ doporučené bezpečné konfigurace 36
Compliance: Bezpečnostní kontroly politik Doporučení Stav plňení Související předpisy [Restricted] ONLY for designated groups and 37
Infrastruktura
Check Point and HTTPS Inspection Application Control Blade can block/allow important HTTPS based applications even without enabling HTTPS inspection! The above rule would block all access to the following examples (and more) http://www.facebook.com http://www.facebook.com/farmville https://www.facebook.com https://www.facebook.com/farmville 39
Check Point HTTPS inspection HTTPS inspection Granular policy Active Directory objects URL Filtering groups All or per Software Blade Supports Inbound and outbound CA list and certification verification 40
Virtual Edition: zabezp. VMware ESX Security Challenges in Virtual Environments Protection from external threats Inspect traffic between Virtual Machines (VMs) Secure new Virtual Machines automatically 41
Virtualized Security Virtual Systems Management Multi-Domain Servers Management, HA VSLS DB Server Farm 42
Shrnutí
DMZ koncepty zabezpečení Prostředky řízení přístupu vícevrstvá ochrana Management pokročilé nástroje použitelné snadno i ve velkých prostředích, viditelnost Infrastruktura flexibilní podpora vykonávání bezpečnosti v nejrůznějších podmínkách (platformy, výkon) 44
Nad rámec prezentace Přístup uživatelů do Internetu Secure Web Gateway Application Control identifikace a řízení aplikací bez ohledu na protokol URL Filtering předchůdce, první generace App. Ctrl. Ochrana uživatelů před hrozbami a malware Threat Prevention multi-layer Antivirus slabiny klientských aplikací IPS neznámé hrozby Threat Emulation post-infekční ochrana Antibot 45
46
47
48
Vaše dotazy