Juniper Networks Security

Transkript

Juniper Networks Security
„vize budoucnosti se stává realitou“
Aleš Popelka
[email protected]
Copyright © 2005 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
Juniper Networks
Aplikovaná řešení
Přínosy aplikovaných technologií
Pozice Juniper Networks
Proč vybrat Juniper
Služby Soft-troniku & Juniper
Networks
Agenda
www.juniper.net
2
Juniper Networks
Historie & Realita
• 14Q období růstu
• obrat 2,1Mld. USD v 2005
• růst 54% oproti 2004
4100+ zaměstnanců v 70 zemích
Implementace v 77% Enterprise z Fortune
100
Geographic
Diversification
APAC
Americas
EMEA
Top 25 Service Providerů využívá řešení JN
www.juniper.net
3
Systémová řešení - přehled
Ochrana perimetru
Firewall/IPSecVPN
SSG serie
Secure Access
SA-SSL VPN
Sercure Meeting
AAA/802.1x Funk Software
Odyssey
Networking, Routing
J-Serie/M-Serie
E-Serie/T-Serie
Secure
Assured
Aplikační
Akcelerátory
- Datacenter DX
- WAN WX/WXC
VoIP Session
Border Controller
Inside LAN IPS
NetScreen IDP/ISG
Unified Access Control
Infranet Controler
www.juniper.net
4
Aplikovaná
řešení
1.
2.
3.
4.
Ochrana perimetru
Interní zabezpečení komunikace
Vzdálený přístup
Vnitropodnikový přístup
www.juniper.net
5
Požadavky na ochranu perimetru – firewall vs. router
Region Server
or DMZ
Switc
E1/E3 -> Broadband (<=100M)
GE
Branch
PCs
……
Guest
WLAN
Corp
WLAN
HQ
IPSec
h
www
•
WAN BW vzrůstá
•
Zvyšují se aplikační požadavky
•
Zvýšené bezpečnostní požadavky LAN
•
Procesní požadavky převyšují E1/E3
www.juniper.net
6
Řešení – integrovaná Security Service Gateway
VPN DMZ
Ave
ra
Partner DMZ
RADIUS
Svr
FTP
Svr
SSL
Svr
Web
Svr
Lat
en
SSL
Svr
IP Network
cy/
ge
Pac
k
et S
ize
Jit
ter
Tol
era
n ce
s&
n
o
n
ti
ec ctio
n
n tion
on nne
o
i
C
c
t
of e/co
ca rote
i
l
# a lu
p
Ap ss/p
v
e
en
r
a
aw
DMZ
Time
Nahrazují border router
Umožňují bezpečné kryptované spojení Site-to-site
Poskytují stálou lineární propustnost systému pro mix. velkých i malých paketů
Zajištění malé latence pro provoz real-time aplikací
Vysoká propustnost při zajištění vysokého počtu spojení, podpora QoS
Firewall s recon. L2-L7 IPS/IDP s preventivní ochranou
www.juniper.net
7
Bezpečnostní technologie UTM
Outbound Threats
Inbound Threats
Spyware Site Access
Phishing Site Access
www.<restricted site>.com
Web
Filtering
AV
Anti
Spam
Viruses, file-based Trojans
Spyware/Adware, Keyloggers
Viruses, file-based Trojans
AV
Anti
Spam
Spam / Phishing
Worms, Trojans, Exploits,
IPS/DI DoS (L4 & L7), Recon, Scans
Stateful Firewall
Web
Filtering
Worms, Trojans, P2P, Chat
Spyware phone home
Reverse Attacks
IPS/DI
Network attacks, DoS attacks
www.juniper.net
8
NetScreen Security Manager
M ana ge m en t Le ve l
Device Lifecycle
Design, Deploy
Configure
Security
Administration
• Define security
for entire network
(all devices)
• Define
permissions
• Push device specific
policies out
• RAS user management
• Administrator
management
•
•
•
•
Attack log monitoring
Consolidation
Top attacks report
Log investigation
• Signature
updates
• Policy
adjustments
Network
Administration
• VPN Modeling
• L2/L3
Specifications
• Routing
•
•
•
•
• VPN monitoring
• Network failure
recognition and
response
• HA Failover monitoring
• VPN Model
• Routing
adjustment
Device
Technician
• Remote
installation
• Initial
configuration
• Interface
characteristics
• Management access
• Licenses
• HW monitoring:
interfaces, up/down,
component failure,
power failure
• OS upgrade
• Device
configuration
modifications
VPN configuration
Route tables
Routing
VLAN configuration
Monitor, Maintain
Upgrade, Adjust
Security
Admin
Network
Admin
• OS Version
• Role-based administrace
• Neomezený počet profilů „rolí“
• Možnost kustomizace
Operations
www.juniper.net
9
Secure Services Gateway
500 Serie
účelová H/W platforma
Best-in-Class Security & WAN Protokoly
Vysoký výkon
Security
• 1 Gb/s FW/NAT
• 500 Mb/s IPSec VPN
• 500 Mb/s IPS
I/O Options
• 4 on-board 10/100/1000M porty
• 6 I/O expanzní sloty
• Interface
• FW, Deep Inspection, NAT, DoS, security
zones, etc
• Antivirus, -spyware, -phishing
Web filtering - SurfControl a Websense
Anti-Spam - Symantec Corporation.
Networking
• Dynamický routing, virtuální routery, VPN,
HA, VLANs
• LAN: SFP, 10/100/1000, FE WAN Enkapsulace
• WAN: Serial, T1/E1, DS3
• Leverage J-series WAN interfaces a
JUNOS WAN encapsulace
www.juniper.net
10
SSG Serie Overview
SSG 550
SSG 520
SSG 140
SSG 20
SSG 5
1G+ / 1G
650M + /
600 M
350M+ /
300M
160M /
90M
160M /
90M
FW PPS (64 Byte)
600k
300k
100k
30k
30k
VPN (1400 Byte)
500M
300M
100M
40M
40M
IPS
Yes
Yes
Yes
Yes
Yes
AV
Spyware/Adware/
Phishing)
Yes
Yes
Yes
Yes
Yes
Antispam
Yes
Yes
Yes
Yes
Yes
Web Filtering
Yes
Yes
Yes
Yes
Yes
Modular I/O
Yes
Yes
Yes
Yes
No
Routing
(RIP/OSPF/BGP)
Yes
Yes
Yes
Yes
Yes
WAN Encapsulations
Yes
Yes
Yes
Yes
Yes
HA
Yes
Yes
Yes
Optional
Optional
FW Mbps (Large
Packets/IMIX)
www.juniper.net
11
Firewall/IPSec systémy - shrnutí
Highlights
Konsolidovaná řešení
dedikovaný H/W, jednotný ScreenOS
virtualizace: zóny/routery/systémy
Content: IPS/DI, AntiVirus, AntiSpam, webFiltering
HA pro firewall i VPN, funkce load balancingu
dynamický routing včetně VPN
jednotný bezp. EMS management všech funkcí
High-end firewall: #1
Reference
DHL, podniková sféra, státní správa, bankovní sektor
www.juniper.net
12
Aplikovaná
řešení
1.
2.
3.
4.
Ochrana perimetru
Interní zabezpečení komunikace
www.juniper.net
13
Zákaznické požadavky vedoucí k IPS
Mohu jednoduše
monitorovat provoz své
sítě?
Nechci a ani nemohu
Mohu zjistit nové aktivity
zcela blokovat nonna síti? Služby,
business aplikace, avšak
protokoly…
mohu je mít pod
dohledem?
Mohu zajistit, aby se
minimalizovaly rizika vzniku Wireless je skvělý, ale jak
jej zcela zabezpečit?
hrozby útoku?
www.juniper.net
14
Typické umístění IPS systémů
Regional Head
Office
NSM
Satellite Office
Main Office
www.juniper.net
15
Bezpečnostní problémy a obranné techniky
IPS vs. firewall
Incoming Connections
• Attack Preparations
• Scans (Ports, Vulnerab...)
• Denial of Service
• Network Equipment
• Applications
• Direct Attacks
• Exploit, Buffer Overflow..
• Brute Force
• Worms
• Files (Web, Mail, FTP ...)
• Virus, Trojans
• Spyware/Adware
• Unwanted Content
• Phishing Emails
• Spam Emails
Outgoing Connections
IDP
AV
Anti-Spam
URL Filter
• Direct Attacks
• Reverse Attacks
• external Servers attacking
Client Applications !!
• Abuse
• Tunneling
• P2P, Instant Messaging ..
• Propagation of
• Worms and Trojans
• Virus und Trojan Files
• Spam - E-Mails
• Theft of Information
• Spyware/Adware “phone-home”
• Spyware Site Access
• Phishing Site Access
• Access to forbidden Content
• www.<restricted site>.com
www.juniper.net
16
IPS/IDP základní analýza hrozeb
Neznámé typy hrozeb a útoků
Známé útoky, na
aktualizaci se pracuje
Známé útoky,
ochrana vyřešena
www.juniper.net
17
IPS/IDP Analýza hrozeb
Známé útoky
ochrana vyřešena
Neznámé útoky
Protokolové anomálie
Řešení
•
•
•
•
Preventivní ochrana
update max. per 24hod
Analýza +60 protokolů
Silný R/D tým
Známé útoky
ochrana dosud nevyřešena
Neznámé typy útoků
a hrozeb
www.juniper.net
18
Řešení pro každý případ
Juniper IDP Standalone systémy
• 50 Mbps – 1 Gbps
• HA Clustering
• Centralizovaný Policy Management
•Complementární ke stávajícím
FW/VPN
•Ochrana LAN segmentů
•DMZ
•LAN
•Ochrana serverů
Juniper ISG Series
•Next-Gen Security ASIC
(GigaScreen)
•Multi-Gigabit FW/VPN/IDP
•Centralizovaný Policy Management
•High-end propustnost
•Virtualizace
•Granulární „podmínkový“ management
www.juniper.net
19
IDP Produktová řada
• Service Provider
• Large Enterprise Perimeter
• Internal LAN
• Enterprise Perimeter
• Internal LAN
• SMB
• Branch
Office
• Med Bus
• Large BO
• Enterprise
Perimeter
• Enterprise
Perimeter
ISG 1000/2000
IDP 1100@ 1 Gbps
IDP 600 @ 500Mbps
IDP 200 @ 200Mbps
IDP 50 @ 50Mbps
www.juniper.net
20
ISG Series souhrn ISG 1000 a ISG 2000
ISG 1000
ISG 2000
Max Throughput: Firewall
1 Gbps
2 Gbps
Max Throughput: IPSec VPN (3DES/AES)
1 Gbps
1 Gbps
Packets per second: FW/VPN
1.5/1.5 Million
3/1.5 Million
Max sessions
500,000
1,000,000
VPN tunnels
2000
10000
Max Throughput: Deep Inspection
200 Mbps
300 Mbps
Max Throughput: IDP
Up to 1 Gbps
Up to 2 Gbps
Number of supported security modules (IDP)
Up to 2
Up to 3
Number of fixed I/O interfaces
4 – 10/100/1000
0
Max interfaces
Up to 20
Up to 28
Number of I/O modules
2
4
www.juniper.net
21
IPS/IDP Systémy shrnutí
Highlights
• 8 detekčních metod
(Stateful Signature, Protocol Anomaly, Backdoor Detection,
Traffic Anomaly, IP Spoofing, DoS, L2 Detekce, Network
Honeypot)
• Operační módy: bridge/router/transparent/proxy
• komplexní ochrana vůči spyware, malware, keylogger, trojanům
• denní update databáze signatur
• High Availability
• TOP propustnost – až 2Gb/s
Reference
• Státní správa, bankovní sektor, výzkumné ústavy
www.juniper.net
22
Juniper IDP: Most Decorated IPS in 2005

IPS Market Leader for WW Units Shipped - Infonetics Research

Winner ‘Editors Choice’ – Network Computing: ‘The Great IPS Test’

Winner ‘Best Multifunction Appliance’ – Network Computing (Well-Connected)

Winner ‘Best IPS Appliance’ – Network Computing (Well-Connected)

Winner ‘Product of the Year’ – SearchNetworking.com

Winner ‘Product of the Year’ – IDG Research / TechWorld

Winner ‘Best Deployment Scenario’ ISP Guide: City of Burbank, Juniper IDP Customer

Awarded ‘NSS Certification’ for Industry Approved IPS: IDP 600F

Winner ‘Product of the Year’ – ISG 1000 - ZDnet Australia

Winner ‘Editors Choice’ – IDP 200 - ZDnet Australia
www.juniper.net
23
Aplikovaná
řešení
1.
2.
3.
4.
Zabezpečení perimetru
Interní zabezp. komunikace
www.juniper.net
24
Zákaznické požadavky vedoucí k řešením
SSL/VPN
Chci pracovat stejně jako v kanceláři i na mobilním
telefonu…
Chci se bezpečně, připojovat z internetu
Naši zákazníci a partneři chtějí přistupovat k našim
databázím…
Potřebuji zabezpečit interní síť před zavirovaným
přístupem. Nesmí se nákaza dále šířit
Z operativního a nákladového hlediska je potřeba
spravovat vše z jednoho místa…
www.juniper.net
25
Zabezpečený přístup k firemním aplikacím
Firemní
LAN
Domácí
kanceláře
Prodej &
Služby
Mobilní
zaměstanci
Directory
Store
Partner A
Extranet
Partneři
Partner B
= kryptovaná externí session
= Standardní Interní Session
Intranet /
Web Server
E-mail
Server
Farmy
Unix/NFS
MRP/ERP
www.juniper.net
26
IPSec VPN vs. SSL VPN
Internet
Kiosk
Mobile
Users
Branch Office
Remote Office
HQ
Telecommuters
Business
Partners,
Customers,
Contractors
Typ aplikace
Vzdálené pracoviště
Aplikace „Site to site“
Typ aplikace
Mobilní uživatelé
Partnerský Extranet
Zákaznický Extranet
Zaměstnanci,
dodavatelé, správci,
externí pracovníci
Typ spojení
pevná
Typ spojení
Mobilní nebo pevná
Důvěra, bezpečnost
vzdáleného bodu
dohledovatelná,
důvěryhodná
Důvěra, bezpečnost
vzdáleného bodu
Obojí -(ne)dohledovatelná,
obojí – (ne)důvěryhodná
www.juniper.net
27
Juniper Endpoint Defense Initiative (J.E.D.I.)
Corporate
LAN
Host Checker
JEDI
Host Check
• Technologie ověření koncového bodu
(O/S, AV, Servis Pack, aplikace)
• Podpora Win/Linux/Mobile
• Java Script/ActiveX
Endpoint
Defense
Přednosti
• Ověření koncového bodu před otevřením
spoje
• Průběžná kontrola systému v intervalech
• Možnost nápravy systému
www.juniper.net
28
Přístupový Management – 1 URL
tentýž uživatel, různá přístupová místa, jiné podmínky
Před
autentikace
Dynamické
Ověření koncového
bodu
Ověření uživatele,
stanovení role
Digital Cert = NE
Source IP = externí
Host Check = NE
ověření = slabé
Role Host
Kiosek
Digital Cert = ANO
Source IP = externí
Host Check = ANO
ověření = silné
Role Prodej
Externí, ověřený
Digital Cert = ANO
Source IP = interní
Host Check = ANO
ověření = interní
Role Prodej
Stanovení uživ.
podmínek
SAM = Ne
File = Ne
Web Download= Ano
Web Upload=Ne
Timeout = ½ hod.
Host Check = opakovaný
SAM = Ano
File = Ano
Web Download=Ano
Web Upload = Ano
Timeout = 2 hod.
Host Check = opakovaný
Network Connect = Ano
Timeout = 12 hod.
Host Check = Ne
Přístupová politika,
zdroje
•
•
Zdroje =
• CRM Web-pouze
čtení
Outlook Web přístup
Zdroje =
CRM Client/Server
• Exchange
Zdroje =
Plný síťový přístup
Interní LAN
www.juniper.net
29
Přístupový Management – více URL
různí uživatelé, rozličné ověřovací přístupy, různé zdroje
Partner
partners.company.com
Zaměst.
employees.company.com
Zákazník
customers.company.com
Dynamické ověřování a autorizace přístupu
Dynamické
Aut. metody
Role
Povolené
zdroje
heslo
Dual. faktor
(token, kód)
Silver Partner Gold Partner
marketing
marketing +
ceny
Dual. faktor
(token, kód)
heslo
heslo s min.
délkou
heslo
Zaměst.
Dodavatel
Zákazník
host
Siebel od
9:00-17:00
studie
Intranet
Outlook,
data
Specifické
soubory
www.juniper.net
30
spojení SSL & IDP/IPS
Business
Partner
SA identifies
user & takes
action on user
session
Self-registration
technology for easy
configuration
Signal
IDP detects
threat and
signals SA
LAN
Telecommuter
Korelovaná informace
Koordinovaná odezva
zjištění totožnosti
Manuální nebo automatická
odezva
ověření koncového bodu
záznam přístupů
detailní informace o
aplikacích/tocích/hrozbách
Možnosti reakce:
ukončit, zakázat nebo
karanténa uživ.
dodatek IDP’s threat
prevention
Komplexní IPS/IDP
Schopnost detekovat a
preventivně zabránit
průnikům
malware detekce
layer 2-7 dohled
Ověřená technologie
www.juniper.net
31
Secure Meeting
Snadné použití Web konference
“Point and Click”
• Sdílení desktopu/aplikace
• Chat online
Okamžité užití, intuitivní ovládání
Univerzální použití
není nutné instalovat žádný S/W
Web-based – pro každou platformu O/S
Dosažitelnost
bez dalších nákladů
Bezpečnost
plně kryptovaný přenos
vestavěná ochrana vůči peer-to-peer apl.
delegce práv
www.juniper.net
32
SSL VPN Systémy
Highlights
•
•
•
•
•
•
•
•
•
Libovolný klient (Win, Linux, Mac, Mobile)
Přístup definován na základě Profilu, SSO
Virtualizace systému, load balancing, garance HA (clustering)
Ověřování zpřístupnění a výmaz cache po ukončení session
Blokace přístupu při změně konfigurace klienta
Aplikační podpora Citrix, SAP, Java applety, VBS, Flash
Přístup: 1.čistý aplikační 2. klient-server apl 3. Simulace IPSec
Malware ochrana
Systémy pro 10 ale i 10000 souč. přistupujících uživatelů
Reference
největší České Aerolinie, ČEZ
www.juniper.net
33
Vision and Execution Leadership
Gartner Magic Quadrant, 2H 2005
META Spectrum, September 2004
Source: Gartner (December 2005)
www.juniper.net
34
Agenda
Juniper & Symantec
Strategická dohoda o spolupráci
www.juniper.net
35
Ochrana Symantec dnes
Symantec Network Security
Internet
Symantec
Gateway
Security
Symantec Gateway Security
Symantec
Network Security
Network Intrusion Prevention
Stateful signatures
Protocol anomaly
Vulnerability-based protection
Up to 1Gbps inline
Firewall
Gateway intrusion prevention
Antivirus
Antispam
URL filtering
VPN
Symantec
Network
Security
101101110010001110100
110100101111001110010
111010011111110100111
001001001000111001100
111010010010101010101
Data Center
& Servers
Symantec endpoint and
server protection agents
End User
Networks
www.juniper.net
36
Spojení Symantec a Juniper
vede k Best-in-class Network & Endpoint zabezpečení
Internet
Symantec
Gateway
Juniper’s
Security
ISG/SSG
Symantec
Network
Juniper’s
Security
IDP
Juniper security
appliances on the network
With Integrated
Symantec security
content
Symantec
Juniper
Network
IDP
Security
101101110010001110100
110100101111001110010
111010011111110100111
001001001000111001100
111010010010101010101
Data Center
& Servers
Symantec endpoint and
server protection agents
End User
Networks
www.juniper.net
37
Symantec a Juniper Systémová Integrace
LAN Desktop
802.1xEnabled
Switch
Symantec
Policy Manager
Endpoint
Policy
Decision point
Juniper
Infranet Controller
Symantec Endpoint Agent
Unified Access Client
Juniper
Enforcer
Single installer,
centralized management
Access Control
Decision Point
Unifikovaná a integrovaná platforma pro ověření konc. Bodu a přístupu
• Plná integrace obou technologií (konc. bod a síť. bezpečnost)
• Nejjednodušší avšak komplexní bezpečnostní řešení na trhu – nejmíň prvků
pro management,servery, systémy atd.
• Centralizovaná správa a snadná implementace
www.juniper.net
38
Pozice na trhu
Market Share*
1. SSL VPN
1. High-end Firewall
2. High-end Enterprise Routing
2. WAN Akcelerace
Gartner Leadership Quadrant
Firewall VPN
SSL
Intrusion Prevention Systémy
Aplikační Akcelerátory
* Source: Synergy IDC and Infonetics
www.juniper.net
39
Reference? Prosím..
Computer
Banking/
Finance
Consumer
Goods
Energy/
Utilities
Transport/
Auto
Various
90+
85+
50+
30+
30+
500+
www.juniper.net
40
Proč si vybrat Juniper.. přínos
Fokus na ‘svůj’ market,
‘Best in Class’ technologie, leader
Prointegrační firemní strategie s jasnou vizí
účelově navržené a ověřené systémy
Konsolidovaná řešení šetří investice
Podpora otevřených standardů
nezavazuje
www.juniper.net
41
Podpora Juniper & Soft-tronik
Testy
• IDP/IPS, SSL, Firewall/IPSec, AA
Záruční program
• Standard, rozšířený, NBD
Customer Support Center
Certifikovaná technická podpora ST
Program školení Juniper Networks Q1/07
Školství, státní správa, výzkumné ústavy
– zvýhodněný program
www.juniper.net
42
Děkuji za pozornost!
Aleš Popelka
BDM Juniper Networks
[email protected]
www.juniper.net
43

Juniper Networks Security

Transkript

Podobné dokumenty

JN_Solution Overview_31.5

Symantec Cl ient Secu rity

kristal

The South Lyon Herald - Salem

zde - Oxford University Press

vývoj apch - Aeronautical Information Service