Úloha sítě při zajištění kybernetické bezpečnosti

Podobné dokumenty
Bezpečnostní vlastnosti moderních sítí

Ivo Němeček. Manager, Systems Engineering Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Architektura SecureX. Ivo Němeček, CCIE #4108 Manager, Systems Engineering , Cisco Expo Praha. Cisco Public

Jednotné řízení přístupu do sítě v prostředí BYOD

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Sítě na rozcestí? Ivo Němeček, Systems Engineering

Bezpečnost sítí

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

& GDPR & ŘÍZENÍ PŘÍSTUPU

Aktivní bezpečnost sítě

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

Technická opatření pro plnění požadavků GDPR

Využití moderních přístupů při budování Technologického centra kraje

Představení Kerio Control

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Mobilita. - základní předpoklad k nasazení služeb s přidanou hodnotou. Petr Vejmělek AutoCont CZ a.s.

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Flow Monitoring & NBA. Pavel Minařík

Konfigurace sítě s WLAN controllerem

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Enterprise Mobility Management

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Konference ISSS Bezdrátová škola. Jan Houda, 4G Consulting Jaroslav Čížek, Cisco. Duben Cisco Systems, Inc. All rights reserved.

Pohled na IoT. Jiří Rott SE, společnost Cisco Systems s.r.o. modul Digitalizace a Průmysl

Flow monitoring a NBA

Kybernetické hrozby jak detekovat?

Obrana sítě - základní principy

Kybernetické hrozby - existuje komplexní řešení?

FlowMon Vaše síť pod kontrolou

Aruba ClearPass bezpečné řízení přístupu do sítě a integrační možnosti. Daniel Fertšák Aruba Systems Engineer

2016 Extreme Networks, Inc. All rights reserved. Aplikační analýza

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Obsah. Úvod 13. Věnování 11 Poděkování 11

3. SPECIFIKACE TECHNICKÝCH PARAMETRŮ

Monitorování datových sítí: Dnes

TECHNOLOGICKÉ DOPOLEDNE

Technické aspekty zákona o kybernetické bezpečnosti

AddNet integrovaný DDI/NAC nástroj

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

Převezměte kontrolu nad bezpečností sítě s ProCurve

Xirrus Zajímavé funkce. Jiří Zelenka

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Koncept centrálního monitoringu a IP správy sítě

Vítáme Vás 1 COPYRIGHT 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED.

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

FlowMon Monitoring IP provozu

Technická specifikace zařízení

Hlas. Robert Elbl COPYRIGHT 2011 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED.

Komentáře CISO týkající se ochrany dat

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE INTEGROVANÝCH PROJEKTŮ ITI

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Zabezpečení infrastruktury

VPN - Virtual private networks

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Seznámení s IEEE802.1 a IEEE a IEEE802.3

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Zabezpečení v síti IP

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

Aplikační inteligence a identity management jako základ bezpečné komunikace

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Desktop systémy Microsoft Windows

MPLS MPLS. Label. Switching) Michal Petřík -

Produktové portfolio

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Flow monitoring a NBA

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

Demilitarizovaná zóna (DMZ)

SPS Úvod Technologie Ethernetu

Část l«rozbočovače, přepínače a přepínání

Bezpečnostní projekt Případová studie

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Inteligentní služby sítě pro státní správu a samosprávu

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Identifikátor materiálu: ICT-3-03

Praktické ukázky, případové studie, řešení požadavků ZoKB

Aby vaše data dorazila kam mají. Bezpečně a včas.

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Síťová visibilita a integrovaná správa sítě - nezbytná součást SOC strategie. AddNet a BVS. Jindřich Šavel NOVICOM s.r.o

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Z ČEHO STAVÍ VELCÍ KLUCI?

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Cloud Slovník pojmů. J. Vrzal, verze 0.9

User based tunneling (UBT) a downloadable role

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Koncept. Centrálního monitoringu a IP správy sítě

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Zákon o kybernetické bezpečnosti: kdo je připraven?

Transkript:

Úloha sítě při zajištění kybernetické bezpečnosti Ivo Němeček, CCIE #4108 Manager, Systems Engineering Konference ISSS, 8. 4. 2014 1

Bezpečnostní model Nepřetržité útoky PŘED Řízení Vynucení Posílení BĚHEM Zjištění Blokování Obrana POTÉ Rozsah Omezení Zotavení Sít Koncové prvky Mobilní Virtuální Cloud Koncentrované Spojité 2

Obrana v síti CO KDE KDY KDO JAK Vhled, kontext a řízení zařízení Síť Kontext ISE NG FW / IPS ISR G2 + NBAR NetFlow Data pro vhled do komunikace od přístupové vrstvy Obohacení Flow dat o identitu, událostí a aplikační info pro kontext Jednotný pohled na síť pro detekci, vyšetřování a výkazy 3

Řízení přístupu do sítě podle kontextu IDENTITA HQ 14:38 1 802.1x EAP ověření uživatele Firemní zařízení Vlastní zařízení 2 Profilování zařízení 3 Stav zařízení ISE Wireless LAN Controller Jednotná správa přístupu VLAN 10 VLAN 20 4 Definice pravidel 5 Prosazení pravidel v síti PROFILOVÁNÍ HTTP NETFLOW SNMP DNS RADIUS Firemní DHCP zdroje pouze internet 6 Plný nebo omezený přístup přidělen 4

Rozpoznávání připojených zařízení WLAN AP KLASIFIKACE ZAŘÍZENÍ Profilování zařízení v přepínaných i bezdrátových sítích ISE Pravidla Pravidla pro tiskárnu TISKÁRNA Videotelefon Pravidla pro videotelefon [připoj do VLAN X] CDP LLDP DHCP MAC CDP LLDP DHCP MAC [omezený přístup] Řešení ISE Profiler + IOS Sensor Typický scénář spolupráce ISE a IOS Sensor Sběr dat přepínač shromažďuje data týkající se zařízení a předává je do ISE Klasifikace ISE klasifikuje zařízení, shromažďuje informace o datovém toku a poskytuje informace o zařízení Autorizace ISE uplatňuje pravidla podle vyprofilovaného kontextu 5

Přidělování oprávnění po ověření Pružné definované ověřovací metody (802.1X, MAB, Web Auth v různém pořadí) Pružná definice pravidel pro ověřování, řízení přístupu podle rolí NAC Guest Server Kompletní Guest Service včetně správy a web ověřování tiskárna MAB ISE NAC Profiler 802.1X RADIUS zaměstnanec Web Auth Catalyst Switch host Různé mětody autorizace (VLAN, Downloadable ACL, URL Redirect, SGA) Directory Server Postupné nasazování 802.1X (Monitor Mode, Low Impact Mode, High Security Mode) Profiling System pro zjišťování stavu stanic pro široké spektrum koncových zařízení 6

Řízení v síti podle rolí Trustsec Uživatel na bezdrátu Filtrování na vstupu WLC ISE RADIUS Guest služby Posture Profiler SXP Uživatel na pevném připojení 802.1X MACsec Campus síť Cat 6K Nexus 7K, 5K and 2K Filtrování na vstupu Datové Centrum Filtrování na výstupu 7

Vlastní Pravidla pro přístup Stav Uživatel Typ zařízení Místo zařízení čas Přístupová metoda 8

Integrace s MDM Administrátor může provést vzdáleně akce na zařízení přes MDM server (např. vymazat data) MyDevices Portal ISE Endpoints Directory Volby Upravit Obnovit Ztráta? Odstranit Zcela vymazat Vymazat firemní Uzamknout 9

Důvěrnost přenosů i v LAN sítích Ochrana dat pomocí šifrování L2 (MACSec) Šifrování dat 802.1AE Data v otevřené formě In the Clear Šifrování dat 802.1AE CORPORATE RESOURCES Dešifrování na vstupu do rozhraní Šifrování na výstupu z rozhraní Pakety uvnitř přepínače nejsou šifrované Řešení Typický scénář nasazení Důvěrnost dat se zachovanou viditelností datových toků Šifrování na L2 Hop by Hop Viditelnost datových toků pro uplatňování bezpečnostních pravidel a QoS 10

Monitorování toků v síti Flexible NetFlow a NBAR News Key Fields Packet #1 flow record app_record match ipv4 source address Source IP 10.1.1.1 match ipv4 destination address Destination IP match.. 173.194.34.134 match application name Source Port 20457 Destination Port 23 Layer 3 protocol 6 Key Fields Packet #2 Source IP 10.1.1.1 Destination IP 72.163.4.161 Source Port 30307 Destination Port 80 Layer 3 protocol 6 TOS byte 0 Ingres Interface Ethernet 0 NetFlow cache TOS byte 0 Ingres Interface Ethernet 0 Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. App Name Times tamps Byttes Packets 10.1.1.1 173.194.34.13 10.1.1.1 173.194.34.13 4. 4 20457 80 Ethernet 20457 80 6 0 Ethernet 0 HTTP 10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube First packet of a flow will create the Flow entry using the Key Fields Remaining packets of this flow will only update statistics (bytes, counters, timestamps) 11

Architektura řešení Cyber Threat Defense Zařízení Přístup Distribuce Edge Management Branch Campus Data Center Catalyst 3750-X Access Point Access Point Catalyst 3560-X Catalyst 4500 Catalyst 6500 Catalyst 3750-X Stack Catalyst 6500 WLC Catalyst 6500 ISR NetFlow Siteto-Site VPN FW Identity Remote Access StealthWatch FlowCollector ISE Sběr a analýza NetFlow záznamů StealthWatch Management Console Korelace a zobrazení informací o tocích a identitě TrustSec: Řízení přístupu, profiling a posture AAA služby, profiling a inspekce koncových zařízení NetFlow Iinfrastruktura S podporou NetFlow 12

Hybridní ochrana web komunikace s AnyConnect klientem AnyConnect Novinky Email Sdílení informací mezi ASA a WSA ASA Web Security Appliance Sociální sítě Podnikové SaaS Firemní AD 13

Centralizovaná inteligence Security Intelligence Operations (SIO) Globální telemetrie pro hrozby Cloud web security SensorBase Bezpečnostní operační středisko Propracované algoritmy PSIRT Applied Mitigation IP Reputation Zpětná vazba v reálném čase AnyConnect Endpoints ASA Context-Aware Firewall Edge ExpoExpo Web Security Appliances Email Security Appliances Cloud 2011 and/or its affiliates. All rights reserved. 2011 and/or its affiliates. All rights reserved. IDS/IPS Appliances/ Modules Data Center Cloud-based Security Identity Services Engine Branch 14

Centralizované řízení bezpečnosti SDN přístupem POKYN K NÁPRAVĚ APIC Enterprise Module AKTUALIZACE Defense Center APIC - Enterprise Module APIC ZJIŠTĚNA HROZBA 15

Shrnutí: moderní síť Chrání sebe samu i připojené stanice Řídí přístup ke informacím podle kontextu Chrání komunikaci šifrováním Obsahuje a využívá pokročilé bezpečnostní funkce (FW, IPS, ) Vidí hluboko i do šíře do komunikace Poskytuje cenné telemetrické údaje Spolupracuje se specializovanými bezpečnostními systémy Přesměrovává k nim data Vyměňuje si s nimi informace Aktivně reaguje na hrozby 16

Business pravidla Kdo Kdy Jak Kde Kdy Porozumění hrozbám Globální inteligence Operační středisko Dyn. aktualizace Prosazení v síti V síťové infrastruktuře Překryvné, výkonné Připojené do cloudu 17

Děkuji

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář