Bezpečnostní vlastnosti moderních sítí



Podobné dokumenty
Úloha sítě při zajištění kybernetické bezpečnosti

Ivo Němeček. Manager, Systems Engineering Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Architektura SecureX. Ivo Němeček, CCIE #4108 Manager, Systems Engineering , Cisco Expo Praha. Cisco Public

Jednotné řízení přístupu do sítě v prostředí BYOD

& GDPR & ŘÍZENÍ PŘÍSTUPU

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Bezpečnost sítí

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Využití moderních přístupů při budování Technologického centra kraje

Aktivní bezpečnost sítě

Obrana sítě - základní principy

Technická opatření pro plnění požadavků GDPR

Sítě na rozcestí? Ivo Němeček, Systems Engineering

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Mobilita. - základní předpoklad k nasazení služeb s přidanou hodnotou. Petr Vejmělek AutoCont CZ a.s.

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Konfigurace sítě s WLAN controllerem

Z ČEHO STAVÍ VELCÍ KLUCI?

POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Pohled na IoT. Jiří Rott SE, společnost Cisco Systems s.r.o. modul Digitalizace a Průmysl

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Představení Kerio Control

Desktop systémy Microsoft Windows

CCNA Network Upgrade

Koncept centrálního monitoringu a IP správy sítě

Flow Monitoring & NBA. Pavel Minařík

Cesta k jednotnému komunikačnímu prostředí českého egovermentu

MPLS MPLS. Label. Switching) Michal Petřík -

Bezpečnostní projekt Případová studie

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Úvod do síťových technologií

Zabezpečení infrastruktury

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

Možnosti zabezpečení komunikace ve virtualizovaném prostředí. Simac Technik ČR, a.s.

Technická specifikace zařízení

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Není cloud jako cloud, rozhodujte se podle bezpečnosti

3. SPECIFIKACE TECHNICKÝCH PARAMETRŮ

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Seznámení s IEEE802.1 a IEEE a IEEE802.3

Flow monitoring a NBA

Zabezpečení v síti IP

VPN - Virtual private networks

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Obsah. Úvod 13. Věnování 11 Poděkování 11

Vítáme Vás 1 COPYRIGHT 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED.

Dodávka UTM zařízení FIREWALL zadávací dokumentace

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Xirrus Zajímavé funkce. Jiří Zelenka

Konference ISSS Bezdrátová škola. Jan Houda, 4G Consulting Jaroslav Čížek, Cisco. Duben Cisco Systems, Inc. All rights reserved.

Hlas. Robert Elbl COPYRIGHT 2011 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED.

Dell SonicWALL. Co uvidíte v demolabu? Jan Ježek business communication s.r.o.

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Produktové portfolio

SPS Úvod Technologie Ethernetu

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Efektivní provoz koncových stanic

Inteligentní služby sítě pro státní správu a samosprávu

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Část l«rozbočovače, přepínače a přepínání

Datové centrum pro potřeby moderního města. Koncepce, stav projektu, budoucí rozvoj B.Brablc, 06/16/09

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

Aruba ClearPass bezpečné řízení přístupu do sítě a integrační možnosti. Daniel Fertšák Aruba Systems Engineer

2016 Extreme Networks, Inc. All rights reserved. Aplikační analýza

Principy a použití dohledových systémů

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Integrovaný DDI/NAC a vizualizace komunikace IT aktiv, jako základ rychlé reakce SOC

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Identifikátor materiálu: ICT-3-03

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Komentáře CISO týkající se ochrany dat

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Koncept. Centrálního monitoringu a IP správy sítě

Extreme Forum Datová centra A10, VMWare, Citrix, Microsoft, Ixia

AddNet integrovaný DDI/NAC nástroj

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

SOA a Cloud Computing

doba datová začne již za: Copyright 2012 EMC Corporation. All rights reserved.

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

Aplikační inteligence a identity management jako základ bezpečné komunikace

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Google Apps. Administrace

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Převezměte kontrolu nad bezpečností sítě s ProCurve

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

SafeNet ProtectV integration in Cloud environment Adastra Use Case

Transkript:

Bezpečnostní vlastnosti moderních sítí Ivo Němeček, CCIE #4108 Manager, Systems Engineering CyberSecurity konference, 4.2. 2014 1

Nepřetržité útoky PŘED Řízení Vynucení Posílení BĚHEM Zjištění Blokování Obrana POTÉ Rozsah Omezení Zotavení Sít Koncové prvky Mobilní Virtuální Cloud Koncentrované Spojité 2

CO KDE KDY KDO JAK Vhled, kontext a řízení zařízení Síť Kontext ISE NG FW / IPS ISR G2 + NBAR NetFlow Data pro vhled do komunikace od přístupové vrstvy Obohacení Flow dat o identitu, událostí a aplikační info pro kontext Jednotný pohled na síť pro detekci, vyšetřování a výkazy 3

Ochrana dat pomocí šifrování L2 (MACSec) Šifrování dat 802.1AE Data v otevřené formě In the Clear Šifrování dat 802.1AE CORPORATE RESOURCES Dešifrování na vstupu do rozhraní Šifrování na výstupu z rozhraní Pakety uvnitř přepínače nejsou šifrované Řešení Typický scénář nasazení Důvěrnost dat se zachovanou viditelností datových toků Šifrování na L2 Hop by Hop Viditelnost datových toků pro uplatňování bezpečnostních pravidel a QoS 4

Security Intelligence Operations (SIO) Globální telemetrie pro hrozby Cloud web security SensorBase Bezpečnostní operační středisko Propracované algoritmy PSIRT Applied Mitigation IP Reputation Zpětná vazba v reálném čase AnyConnect Endpoints ASA Context-Aware Firewall Edge ExpoExpo Web Security Appliances Email Security Appliances Cloud 2011 and/or its affiliates. All rights reserved. 2011 and/or its affiliates. All rights reserved. IDS/IPS Appliances/ Modules Data Center Cloud-based Security Identity Services Engine Branch 5

Automatizované profilování zařízení pomocí ISE a technologie IOS Sensor WLAN AP KLASIFIKACE ZAŘÍZENÍ Profilování zařízení v přepínaných i bezdrátových sítích ISE Pravidla Pravidla pro tiskárnu TISKÁRNA Videotelefon Pravidla pro videotelefon [připoj do VLAN X] CDP LLDP DHCP MAC CDP LLDP DHCP MAC [omezený přístup] Řešení ISE Profiler + IOS Sensor Typický scénář spolupráce ISE a IOS Sensor Sběr dat přepínač shromažďuje data týkající se zařízení a předává je do ISE Klasifikace ISE klasifikuje zařízení, shromažďuje informace o datovém toku a poskytuje informace o zařízení Autorizace ISE uplatňuje pravidla podle vyprofilovaného kontextu 6

IDENTITA HQ 14:38 1 802.1x EAP ověření uživatele Firemní zařízení Vlastní zařízení 2 Profilování zařízení 3 Stav zařízení ISE Wireless LAN Controller Jednotná správa přístupu VLAN 10 VLAN 20 4 Definice pravidel 5 Prosazení pravidel v síti PROFILOVÁNÍ HTTP NETFLOW SNMP DNS RADIUS Firemní DHCP zdroje pouze internet 6 Plný nebo omezený přístup přidělen 7

Administrátor může provést vzdáleně akce na zařízení přes MDM server (např. vymazat data) MyDevices Portal ISE Endpoints Directory Volby Upravit Obnovit Ztráta? Odstranit Zcela vymazat Vymazat firemní Uzamknout 8

News Key Fields Packet #1 Source IP 10.1.1.1 Destination IP address 173.194.34.134 Source Port 20457 Destination Port 23 Layer 3 protocol 6 flow record app_record match ipv4 source address match ipv4 destination match.. match application name Key Fields Packet #2 Source IP 10.1.1.1 Destination IP 72.163.4.161 Source Port 30307 Destination Port 80 Layer 3 protocol 6 TOS byte 0 Ingres Interface Ethernet 0 NetFlow cache TOS byte 0 Ingres Interface Ethernet 0 Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. App Name Times tamps Byttes Packets 10.1.1.1 173.194.34.13 10.1.1.1 173.194.34.13 4. 4 20457 80 Ethernet 20457 80 6 0 Ethernet 0 HTTP 10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube First packet of a flow will create the Flow entry using the Key Fields Remaining packets of this flow will only update statistics (bytes, counters, timestamps) 9

Zařízení Přístup Distribution Edge Management Branch Campus Data Center Catalyst 3750-X Access Point Access Point Catalyst 3560-X Catalyst 4500 Catalyst 6500 Catalyst 3750-X Stack Catalyst 6500 WLC Catalyst 6500 ISR NetFlow Siteto-Site VPN FW Identity Remote Access StealthWatch FlowCollector ISE Sběr a analýza NetFlow záznamů StealthWatch Management Console Korelace a zobrazení informací o tocích a identitě TrustSec: Řízení přístupu, profiling a posture AAA služby, profiling a inspekce koncových zařízení NetFlow Iinfrastruktura NetFlow Capable 10

Hybridní ochrana web komunikace s AnyConnect klientem AnyConnect Novinky Email Sdílení informací mezi ASA a WSA ASA Web Security Appliance Sociální sítě Podnikové SaaS Firemní AD 11

1. vmotion přesouvá VM mezi fyzickými porty pravidla v síti musí následovat vmotion Port Group 2. Potřebujeme vidět lokálně přepínaná data a aplikovat na ně pravidla Správce bezpečnosti Správce serverů 3. Musíme zajistit oddělení rolí pro zachování nepřerušeného provozu Správce sítě 12

Virtual Security Gateway PRIVÁTNÍ CLOUD ASA1000V Datové centrum FW, IPS Nexus 1000V Switch Připojení partnerů ZABEZPEČENÍ: Nexus 1000V VSG ASA VPN 2010 and/or its affiliates. All rights reserved. Confidential 13

Znám reputace! Potřebuji data o hrozbách Mám bezp. události Potřebuji znát reputaci SIO Mám informaci o aplikacích! Potřebuji informaci o identitě & skupinách Mám NBAR info! Potřebuji indentitu Mám NetFlow! Potřebuji znát oprávnění pxgrid Context Orchestration Jeden protokol pro bezpečný přístup Přímý a řízený přístup k rozhraním Znám místa! potřebuji identitu Mám MDM info! potřebuji místo Mám data o hrozbách! Potřebuji reputaci Mám záznamy z firewallů! Potřebuji identitu Mám inventuru aplikací! Potřebuji info o stavu zařízení Znám identitu & typy zařízení! Potřebuji inventuru aplikace & zranitelností 14

Business pravidla Kdo Kdy Jak Kde Kdy Porozumění hrozbám Globální inteligence Operační středisko Dyn. aktualizace Prosazení v síti V síťové infrastruktuře Překryvné, výkonné Připojené do cloudu 15

Děkuji

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář