komplexní ochrana vašich dat a sítí - gesto comm › upload › kc › files › seminare ›...
TRANSCRIPT
Barracuda Networks
Komplexní ochrana Vašich dat a sítí
Radko Hochman
www.gestocomm.cz
www.barracuda.com
Barracuda Networks
•Založeno 2003• Barracuda Spam & Virus Firewall
•HQ California, Campbell
• > 150 000 zákazníků• > 100 zemí
•Kontinuální růst
•2009 akvizice rakouské společnosti Phion• NG Firewall → NextGen Firewall F• Vývoj a centrum podpory rozšířeno do Evropy
FY05 FY15
Klíč k úspěchu
● Vstřícný přístup k zákazníkům● Služby● Servisní podpora● Licenční politika● Portfolio● Platformy
„Try and Buy“
•Možnost seznámení se se sytémem prostřednictvím veřejně přístupných dohledů : http://login.barracuda.com, guest – přístupná většina systémů
•Zapůjčení nové jednotky zdarmanebo stažení virtuálního obrazu zdarma
•Testovací licence na 30 dnů • Neomezená funkcionalita• v individuálních případech možno prodloužit
•V případě koupě jednotka zůstává
•Možná výměna HW jednotky za vyšší model nebo virtuální licence za vyšší level do 60 dnů od koupě bez poplatků za zpětný odběr
PlatformyHardware
• Každý typ několik výkonově odlišných modelů• U nižších modelů mohou být omezeny některé výkonově náročnější funkcionality
Virtuální• VMware• Hyper-V• KVM• Citrix Xen
Cloud• Microsoft Azure
Aplikační Software• Archive One, PST Enterprisse
Služba• Barracuda Cloud
SlužbyEU – Energize Update• Základní užívací licence• Update a upgrade sofrware• Technická podpora (telefon, e-mail, 8 x 5) • Automatická aktualizace provozních databází
•IR – Instant Replacement• V případě poruchy odeslání náhradní jednotky ten samý, nejpozději následující pracovní den
• Vzdálená asistence při výměně, převodu konfigurace eventiuelně dat• 24 x 7• Po 4 letech obnova hardware zdarma
•PS - Premium support• Pro Enterprise modely (6xx a výš)• 24 x 7• Prioritní řešení problémů• Možnost proaktivního monitoringu
•Sjednání na dobu 1, 3, 5 let
Licence
•Jdnoduchá a přímočará licenční politika• Žádné uživatelské licence• Virtuální modely limitovány počtem jader CPU, nižší modely počtem uživatelů
•Minimum rozšiřujících licencí
•Platnost 1, 3, 5 let
Barracuda Cloud Control
Centrální Management● Pro většinu zařízení Barracuda● Dohled zařízení Barracuda z jednoho
portálu● Centrální management politik● Konsolidované reporty● Přístup i z mobilních zařízení (aplikace)● ZDARMA
PortfolioApplication Delivery
Email Security Service
Spam Firewall
Web Security Service
Web Filter
SSL VPN
Web Application Firewall
NextGen Firewall X-Series
NextGen Firewall F-Series
Link Balancer
Load Balancer FDC
Load Balancer ADC
Mobile Device Manager
Backup
Message Archiver
Copy
PST Enterprise
ArchiveOne
CudaSign
Backup / ArchivaceSecurity
Spam & Virus Firewall● První a stále populární produkt Barracuda● Komplexní ochrana e-mailové komunikace● Kontrola příchozí i odchozí pošty● 12 vrstev obrany
DoS … Ověření … Antivir ... Analýzy… Skore
● Kontrola a filtrování obsahu, příloh● Uživatelsky definovatelné politiky● Ochrana proti ztrátě dat – DLP● Možnost rozšířené ochrany proti malware - Avira● Platformy : HW, Virtual, MS-Azure
Barracuda E-mail Security Service
● ŠkálovatelnéOd malých po řešení pro Enterprise a ISP
Barracuda NextGen Firewall F
Výkonný síťový firewall
Plná kontrola aplikací
Plní kontrola uživatelů
Inteligentní řízení provozu
Komplexní rozšířené IDS/IPS
Kompletní centrální dohled
Barracuda NextGen Firewall F
•Evropský původ – Rakousko, Insbruck
•Vyvinuto na počátku tisícíletí společností Phion jako bezpečnostní řešení pro bankovní sektor (označení Netfence)
•V září 2009 akvizice společnosti Barracuda Networks
•Vývojová základna v Evropě
•Servisní podpora v Evropě
UTM : Unified Treat ManagementJednotný managemet hrozeb
• IPS / IDS• Firewall• URL Filter• Application control 2.0• Spam• Application proxy• Reverse proxy• Mlaware protection / Antivir• Vzdálený přístup
Další služby• Autentizační služby (MSAD, LDAP, Radius …• DHCP server• DNS server• NTP server (platnost certifikátů)
Evoluce Firewallů
Next Generation FirewallTradiční Firewall
Barracuda NextGen Firewall F
Porty, pakety, Protokoly,Anti-virus
Application controlIdentita uživatelů
Optimalizace WANCentralizovaný dohled
ŠkálovatelnostVzdálený přístup (VPN)Quality of Service (QoS)
Reporty a Audity
Řízení přístupu k aplikacím
„Business Critical“?Akceptovatelné?
Bezpečnostní riziko?
● Blokování nežádoucích aplikací
● Řízení akceptovatelného provozu - prioritizace - omezení pásma
● Šetří kapacitu připojení a zrychluje kritické aplikace.
● Kontrola SSL provozu
Řízení přístupu k aplikacím - příklad
Zakázané apllikaceFacebook (mimo file transfer) povolen v době oběda pro přihlášené uživateleVideostreaming povolen s nízkou prioritou pro skupinu „IT“ Update vybraných aplikací povolen s nízkou prioritou Vysoká priorita pro aplikaci Salesforce uživatelům ze skupiny Sales
Řízení přístupu k Internetu
Poskytovatel 2
Poskytovatel 1
Poskytovatel 3
Posk. 1 Posk. 2 Posk. 1nebo 2
Posk. 3
Obecné Hry
Obecné
Hry
Řízení aplikací – Application Control
Barracuda NG Firewall
Přehled detekovaných aplikací a potenciálních rízik
Application Based Link Selection• Definuje použití jednotlivých připojení pro
definované aplikace• Definice konkrétních aplikací nebo kategorií• Použití levnějších, méně spolehlivých
připojení pro nekritické aplikace• Použití robustních spojení pro kritické
aplikace•
Session Balancing / Link Backup• Střídá definovaná připojení pro jednotlivá
TCP spojení• Cyklicky, Náhodně• V případě výpadku některého připojení se
toto nepoužije
Plná kontrola a monitoring uživatelůZtotožnění užívatele s jeho IP adresou
DC Agent (Domain Control Agent)●Automatické mapování mezi uživatelem a jeho IP adresou●Možnost manuálního vyřazenívybraných IP adres(HTTP proxy a Terminal Servery ...)●Možnost vzdáleného přístupu k MSAD
TS Agent (Terminal Server Agent)●Mapování uživatele na specfický rosah portů● SSL enkrypce
VPN● Použijí se údaje při přihlášení
Explicitní přihlášení k Firewallu● Zvláštní webové rozhraní●Uživatelsky méně komfortní
Bezpečný přístup k Internetu
Firewall – IDS / IPS•Rozšířená detekce a prevence možných narušení•Ochrana proti přímým útokům•Soustavné monitorování sítě a síťového chování jednotlivých systémů • Detekce a vyhodnocení podezřelých aktivit• Klasifikace • Logování / Blokování podezřelého provozu
•Databáze více než 1200 aplikací• Dynamicky udržovaná (EU)• Možnost definice vlastních vzorů• Možnost redefinice akcí
•Ochrana transportní vrstvy•Identifikace a blokování pokročilých technik pro obejití tradičních systémů
Malware protection•Ochrana interní sítě před škodlivým obsahem
• Viry, červy, trojské koně, java aplety, dokumenty, makro viry a další• Web – HTTP, HTTPS• e-mail – SMTP, POP3• Přenos souborů – FTP• Inspekce SSL
•Mody• Proxy• InLine
•Dva plně integrované antivirové systémy• Avira• ClamAV• Jedny z nejlépe hodnocených antivirových programů• Pravidelná automatizovaná aktualizace signatur• Pokročilá heuristická analýza
•Dostupné pro F18 a vyšší mimo F100 a všechny virtuální verze
•Možnost rozšířené analýzy pomocí Advanced Treat Detection
Barracuda Advanced Threat Detection (ATD) • Další úroveň ochrany proti malware, cíleným útokům typu zero - hour / day• Identifikace a blokování pokročilých technik pro obejití tradičních systémů
• Stahovaný soubor je kontrolován proti kontinuálně updatované on-line databázi
• Chování neznámého souboru (s neznámou signaturou) je analyzováno v izolovaném prostředí v Barracuda cloud
• Simultální podpora různých operačních systémů.
Vzdálený přístup k podnikové síti - VPN
• Zabezpečený přístup klienta do interní sítě ze sítě Internet (Client-To-Site)• Zabezpečené propojení privátních sítí přes síť internet (Site-To-Site)
• IPSec•Zabezpečené připojení na síťové úrovni•Aplikace přistupují k privátní síti transparentně•Aplikace nemusí být pro přístup k privátní síti nijak vybaveny•Možnost vazby na certifikát X.509•Možnost autentizace jménem, heslem, skupinou•Pro provoz je vyžadován klient a server (koncentrátor)•Šifrován je kompletní provoz včetně záhlaví paketů
• SSL•Zabezpečené propojení na aplikační úrovni•Každá aplikace musí mít vlastnosti klienta / serveru•Možnost vazby na certifikát X.509•Možnost autentizace jménem, heslem•Používá se zejména po přístup k zabezpečenému webu, e-mailu•Není třeba instalovat speciálního klienta •Šifrován je obsah
Barracuda TINA VPN•Transport Independent Network Access•Rozšířená vlastnosti na základě IPSec•Site-To-Site i Client-To-Site•Multiplatformní
• Klient MS Windows, Linux MAC, OS• Podpora klientů Android, IOS, Windows Phone
•Barrauda Traffic Inteligence (klient MS Windows)• Podpora redundantních serverů – přístupových bodů• Automatické vyhledání nejvhodnějšího přístupového bodu• Automatické navázání spojení po výpadku internetového připojení• Použití až 24 transportních prostředků
•Centralizovaná správa (NG firewall, NG Control Center)•Vynucení bezpečnostních politik (klient MS Windows)
• Kontrola „zdraví“ klienta, aktuálních update, firewallu klienta, antiviru• Selektivní routing (omezení přístupu mimo VPN při navázané VPN)
•Autentizace• Interní / Externí X.509, Smart Card, Secure ID, Jméno / heslo• MSAD, LDAP, RADIUS
Dynamická Mash VPNHub&Spoke setupHub detekuje stav a provoz mezi jednotlivými pobočkamiHub automaticky řídí změny konfiguracePobočky vytvářejí dočasné tunely
Zabezpečený vzdálený přístup
NextGen Firewall FOn-premisse
NextGen Firewall FCloud
CudaLaunchMobilní
WebProhlížeč
Klient
VPN
Vzdálený přístup z mobilních zařízení – CUDALaunch
ManagementAplikace NG Admin•Jednotný management všech součástí•Stejné rozhraní pro lokální, dálkovou i centrální správu•Export / Import konfigurace•Správa konfigurací (RCS) – individuální pro každý subsystém
Pro centrální správu NG Control Center•Správa sw verzí•Správa konfigurací•Správa logů•Certifikační autorita
ATR •Obnova systému a konfigurace v jednom kroku
Management
Centrální management – NextGen Control Center• Zrychluje provádění akcí – hromadné provádění• Zvyšuje bezpečnost• Snižuje náklady
•Zabezpečený přístup ke spravovaným jednotkám• Cenrální správa sw verzí• Cenrální správa licencí• Cenrální správa konfigurací• Cenrální správa logů• Grafická konfigurece VPN• Certifikační autorita
•Platformy• HW appliance• Virtuální• Cloud – MS Azure
Hardwarové modelyModel F10 F100 F200 F280 F300 F380 F400 F600 F800 F900 F1000
Propustnost Firewall 300 Mbit/s 300 Mbit/s 650 Mbit/s 1,6 Gbit/s 680 Mbit/s 3,8 Gbit/s 5,0 Gbit/s 16,3 Gbit/s 19,6 Gbit/s 22,2 Gbit/s 40 Gbit/sPropustnost IPS 60 Mbit/s 60 Mbit/s 115 Mbit/s 450 Mbit/s 125 Mbit/s 1,1 Gbit/s 1,5 Gbit/s 3,9 Gbit/s 4,8 Gbit/s 5,4 Gbit/s 10 Gbit/sPropustnost VPN 85 Mbit/s 85 Mbit/s 120 Mbit/s 310 Mbit/s 370 Mbit/s 750 Mbit/s 960 Mbit/s 2,3 Gbit/s 6,8 Gbit/s 7,6 Gbit/s 10 Gbit/sSoučasné relace 2 000 8 000 35 000 100 000 70 000 200 000 310 000 2 000 000 2 500 000 2 800 000 3 500 000
Nové relace 1 000 1 500 2 500 9 000 2 500 9 500 16 000 110 000 150 000 160 000 160 000Provedení Mini Desktop Desktop Desktop 19“ 1U 19“ 1U 19“ 1U 19“ 1U 19“ 1U 19“ 2U 19“ 2U
Napájecí zdroj Extrerní Extrerní Extrerní Extrerní Interní Interní Int. Dual Int, opt Dual
Int. Dual Int. Dual Int. Dual
LAN GE / FE 4 4 4 4 4 + 4 8 8 8 20 / 12 * 24 / 16 / 8 * 16 / 32 *SFP (1GE) buď 4 4 * 8 * 16 / 32 *
SFP+ (10GE) nebo 2 4 * 4 * 4/8 *
ADSL
WiFi Volitelně Volitelně Ano Volitelně
3G USB Modem Volitelně Volitelně Volitelně Volitelně Volitelně Volitelně Volitelně Volitelně Volitelně Volitelně Volitelně
•Stateful Firewall •Application Control •IPS •IPsec VPN •Web Proxy – od F18•Barracuda Web Filter – od F18
Nové modely Q4 / 2015•F18, F80, F 180 •F280 revize B
•Výkonnější•Větší počet portů
•Barracuda Web Filter – od F18•Mail Gateway, Spam Filter, FTP Gateway, SSH Gateway - od F18•Barracuda Malware protection – volitelně od F18 •Barracuda Basic Remote Access – volitelně od F18 (mimo F100) •Barracuda Advanced Remote Access – volitelně od F18 mimoF100)
VirtuálníVMware, Hyper-V, KVM, Cytrix
Model VF25 VF50 VF100 VF250 VF500 VF1000 VF2000 VF4000 VF8000Počet jader 2 2 2 2 2 2 4 8 16
Počet IP adres 25 50 100 250 500 Neomezeno Neomezeno Neomezeno Neomezeno
Azure, AmazonModel L2 L4 L6 L8
Počet jader 1 2 4 8Počet síťových rozhraní - Amazon 2 2 4 4
Propustnost Firewall 400 Mbit/s 2 Gbit/s 5 Gbit/s 9 Gbit/sPropustnost IPS 80 Mbit/s 900 Mbit/s 2,5 Gbit/s 3 Gbit/sPropustnost VPN 120 Mbit/s 500 Mbit/s 1 Gbit/s 1,5 Gbit/sSoučasné relace 35 000 300 000 500 000 1 000 000
Nové relace 2 500 16 000 35 000 45 000
AmazonModel L2 L4 L6 L8
Počet jader 1 2 4 8Počet síťových rozhraní 1 1 1 1
Propustnost Firewall 400 Mbit/s 2 Gbit/s 5 Gbit/s 9 Gbit/sPropustnost IPS 80 Mbit/s 900 Mbit/s 2,5 Gbit/s 3 Gbit/sPropustnost VPN 120 Mbit/s 500 Mbit/s 1 Gbit/s 1,5 Gbit/sSoučasné relace 35 000 300 000 500 000 1 000 000
Nové relace 2 500 16 000 35 000 45 000
Barracuda Web Application FirewallOchrana Vašich aplikací a dat
Útoky jsou dnes automatizovány
Web Exploitation Kit SQL Injection Toolkit
Layer 7 Web Application Firewall
Inbound inspectionOchrana proti útokům na aplikační (7.) vrstvě
Outbound inspectionOchrana proti odcizení dat
Ochrana proti útokům a ztrátě dat
Attack Protection• SQL, XSS, command injection
CSRF
Web Site Cloaking
Data Theft Protection• Credit card, SSN, custom patterns
Session Protection• Cookie encryption• Parameter tampering protection
Integrovaný Anti-Virus
OWASP Top 10Brute Force ProtectionDoS ProtectionIP Reputation Blocking• Blocking by Geo IP• Anonymous Proxy Blocking
Podpora Armored BrowserXML Firewall• XML schema enforcement• Web services security
Integrace SIEM
Identita a řízení přístupu
Two-Factor Authentication
Token ID
Authentication Authorization ReportingSingle-Sign-On
Client Certificate SMS Passcode
Jednoduché nasazení a dohledÚroveň přizpůsobení
Uživatelské a pozitivní zabezpečeníVysoká
Přednastavené vzory (template)Střední
Výchozí zabezpečeníNízká
Akcelerace a rozdělení zátěže
Data Center
Barracuda Web Application
Firewall
L4 / L7 Load Balancing
Application monitors
SSL OffloadingTCP Pooling
HTTP CachingContent Routing
HTTP Komprese
Request Rate Control
Konsolidace různorodých zařízení v DMZ
Snižuje komplikovanost managementuSnižuje riziko konfiguračních chyb
Reverse Proxy Web Application Firewall
LoadBalancing
SSLAccelerators Caching
Access Control Security
Výhody Barracuda WAF
Soustavná ochrana před vyvíjejícími se hrozbamiSoustavná ochrana před vyvíjejícími se hrozbami
Blokuje SQL injections, cross-sitescripting, session spoofinga mnoho dalších
Získávání nových schopnostpro blokování přicházejících hrozeb
Prevence odcizení datPrevence odcizení dat
Inspekce odchozího provozu
Výkonná authentikace aautorizace
Pomáhá akcelerovat výkon AplikacíPomáhá akcelerovat výkon Aplikací
ArchivaceBarracuda Message Archiver● výkonné, ale jednoduché řešení pro archivaci z MS Exchange a
Office365 s rozsáhlými možnostmi vyhledávání ve zprávách
Barracuda Archive One● výkonné řešení pro komplexní management e-mailové komunikace
MS Exchange s širokými možnostmi nastavení a vyhledávání ve zprávách
Barracuda PST Enterprisse● výkonný nástroj pro vyhledání, migraci a eliminaci PST souborů
MS Outlook
Barracuda Message Archiver● HW, Virtual, MS-Azure● Archivace veškeré e-mailové komunikace● Libovolný e-mail server včetně Office365 (Barracuda Cloud Relay)● Offload e-mailových serverů● Integrace s MSAD / LDAP● Podrobné prohledávání zpráv podle řady kriterií● Přístup ke zprávám i v případě výpadku e-mail server ● Jednoduché nastavení● Retenční politiky● Možnost zálohování do Barracuda Cloud● MS-Outlook plug-in – přistup k archivovaným zprávám obdobně jako k živým
Barracuda Message Archiver
Cloud Relay
Barracuda Archive One● SW řešení● Produkt spolećnosti C & C – Vývojového partnera společnosti
Microsoft – Akvizice 2014● Určeno pro spolupráci MS-Exchange (od 2007)● Archivace e-mailové komunikace podle řady kriterií● Offload e-mailových serverů● Integrace s MSAD / LDAP● Podrobné prohledávání zpráv podle řady kriterií● Konsolidované prohledávaání zpráv bez ohledu na umístění :
v e mailových schránkách, PST souborech, veřejných složkách, ‑archivech
● Přístup ke zprávám i v případě výpadku e-mail serveru ● Propracované retenční politiky● MS-Outlook plug-in – uživatel přistupuje k archivovaným zprávám
obdobně jako k živým
● Archive One File – Archivace souborů
Barracuda PST Enterprisse● PST soubory představují bezpečnostní riziko● Vyhledání PST souborů na serverech a prac. stanicích
● Klient bez instalace
● Rozsáhlá pravidla pro import zpráv● Možnost automaticky určovat vlastníka nepřipojených PST● Možnost exportu do archivů nebo Office 365● Možnost odpojení a vymazání souboru po archivaci
Děkuji za pozornost
Radko Hochman
Gesto Communications
www.gestocomm.cz
Www.barracuda.com