Download - Moderní vzdálený přístup
[Public]—For everyone©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Moderní vzdálený přístup
Martin Koldovský[email protected]
SE Manager Eastern Europe
2[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
VýzvyVýzvy
poskytnout vzdálený přístup většímu množství uživatelů– nové role uživatelů – nová zařízení (mobilní zařízení, ...)– nová prostředí (sdílené počítače, domácí PC, ...)
více možností řízeného vzdáleného přístupu bez kompromisů v zabezpečení a s rozumnými nároky na administraci
3[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Vzdálený přístup dříve a dnesVzdálený přístup dříve a dnes
Dříve– pomalé připojení na omezenou dobu– relativně nízká míra rizika– připojení na veřejné IP adrese, bez překážek
Dnes– stálé rychlé připojení, vysoká míra rizika– broadband a bezdrátové sítě– wifi hotspoty – captive portály– další překážky - překlad adres, firewall, proxy
4[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
AgendaAgenda
Kdo přistupuje vzdáleně - autentizace Za jakých podmínek přistupuje - NAC Odkud přistupuje – VPN klienti a “bezklientský přístup” Přístup ze sdíleného klientského PC Mobilní přístup Přes co přistupuje – VPN brány
5[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Kdo přistupuje - autentizaceKdo přistupuje - autentizace
nové způsoby autentizace– DynamicID – jednorázová hesla zasílaná přes SMS
» vzd. přístupem umožní vybavit více uživatelů a okamžitě se silným způsobem autentizace bez nákladů na autentizační zařízení pro každého uživatele (každý uživatel již token má – jeho mobil)
» vhodné i pro scénář přístupu ze sdíleného PC, kde nelze použít smartcard, USB aut.tokeny apod. (není čtečka, nejsou drivery)
6[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Za jakých podmínek přistupuje - NACZa jakých podmínek přistupuje - NAC
pravidla na papíře a ve skutečnosti – začít bezpečnostní politiky sledovat a technicky vynucovat
Network Access Control (NAC) - integrováno do VPN klienta
clientless NAC – na vyžádání, z webového prohlížeče jde o cooperative enforcement – podílí se na něm brána
na základě znalostí o konfiguraci a stavu klienta
7[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Clientless NACClientless NAC
8[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Nezanechat stopy na sdíleném PCNezanechat stopy na sdíleném PC
ve sdíleném prostředí - SecureWorkspace– bezpečné zpracování firemních dat na sdíleném PC – šifrované
prostředí, které je odstraněno s koncem relace– zabránit úniku informací přes sdílený počítač (zapomenuté
interní dokumenty v internetové kavárně, nebezpečí spyware)– zabezpečení clipboardu, kontrola tisku– zabránit exportu dat ze zabezpečené relace– Program Control – jen autorizované aplikace a ochrana před
malware– na vyžádání ze sítě nebo na USB
9[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Clientless nemusí znamenat bez možnosti plné IP konektivityClientless nemusí znamenat bez možnosti plné IP konektivity
podpora nativních aplikací vyžadujících plnou IP konektivitu– SSL Network Extender
IP konektivita bez nutnosti administrátorských práv na straně klienta– SSL Network Extender
Application Mode
10[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Mobilní zařízeníMobilní zařízení
SecureClient Mobile iConn – VPN klient pro iPhone ActiveSync přes SSL - “bezklientský” zabezpečený e-mail
11[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Nový rezidentní VPN klientNový rezidentní VPN klient
nová generace řešení SecureClient = Check Point Endpoint Connect
nyní i v balíku Endpoint Security – od verze R72
12[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Dva extrémní přistupy jsou kombinoványDva extrémní přistupy jsou kombinovány
“ode zdi ke zdi”? IPSec vs SSL VPN organizací spravovaný koncový bod vs. koncové
zařízení, o kterém víme jen velmi málo rezidentní klient vs. clientless přístup
13[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Ochrana na straně VPN brányOchrana na straně VPN brány
integrované bezpečnostní brány– integrace řízení přistupu (firewall), intrusion prevention,
webového aplikačního firewallu, content inspection (AV)– cooperative enforcement – integrace NAC do VPN brány
Hacker/ Infected PC
Normal User
Normal User
Security Gateway / Connectra
Application Server
Email Server
Web Server
14[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
VPN brányVPN brány
Connectra– univerzální VPN koncentrátor pro SSL VPN i rezidentní IPSec
klienty a mobilní zařízení– k instalaci jako appliance, software nebo na VMware ESX
VPN-1 (UTM-1/Power-1)– integrovaná bezpečnostní brána– nový SSL VPN Blade (“Connectra na platformě VPN-1”)
Connectra 9072
15[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
Total Security from Check PointTotal Security from Check Point
Only with Check Point can you achieve total end-to-end security with a single line of unified security gateways, a single agent for all endpoint security needs,
all managed by our single integrated security management console.
UnifiedGateways
SingleEndpointSecurityAgent
Single SecurityManagement
Console
totalsecurity from Check Point
16[Public]—For everyone
©2003–2008 Check Point Software Technologies Ltd. All rights reserved.
ActiveSync supportActiveSync support
• Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy)
• Leveraging native built-in mail client
• Any mobile phone supporting ActiveSync (WM, iPhone, Android, Symbian)
• Basic and client certificate based authentication
• Auto-enrollment from the SSL VPN gateway
• Access policy based on users groups
• Support for multiple Exchange servers
• Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy)
• Leveraging native built-in mail client
• Any mobile phone supporting ActiveSync (WM, iPhone, Android, Symbian)
• Basic and client certificate based authentication
• Auto-enrollment from the SSL VPN gateway
• Access policy based on users groups
• Support for multiple Exchange servers
ActiveSync over SSLActiveSync over SSL
• MS Exchange server is decoupled from the internet
• Centrally managed remote-access strong authentication
• Control endpoint security through ActiveSync with additional options (Device lock , encryption, remote wipe,
• MS Exchange server is decoupled from the internet
• Centrally managed remote-access strong authentication
• Control endpoint security through ActiveSync with additional options (Device lock , encryption, remote wipe,
Security Gateway w/ SSL VPN Blade
MS Exchange Mail Server
Active Directory
NativeActiveSync
over SSL
InternetInternet