Barracuda Networks Komplexní ochrana Vašich dat a sítí
Radko Hochman www.gestocomm.cz www.barracuda.com
Barracuda Networks • Založeno 2003 • Barracuda Spam & Virus Firewall
• HQ California, Campbell • > 150 000 zákazníků • > 100 zemí • Kontinuální růst
FY05
• 2009 akvizice rakouské společnosti Phion • NG Firewall → NextGen Firewall F • Vývoj a centrum podpory rozšířeno do Evropy
FY15
Klíč k úspěchu ● ● ● ● ● ●
Vstřícný přístup k zákazníkům Služby Servisní podpora Licenční politika Portfolio Platformy
„Try and Buy“ • Možnost seznámení se se sytémem prostřednictvím veřejně přístupných dohledů : http://login.barracuda.com, guest – přístupná většina systémů • Zapůjčení nové jednotky zdarma nebo stažení virtuálního obrazu zdarma • Testovací licence na 30 dnů • Neomezená funkcionalita • v individuálních případech možno prodloužit
• V případě koupě jednotka zůstává • Možná výměna HW jednotky za vyšší model nebo virtuální licence za vyšší level do 60 dnů od koupě bez poplatků za zpětný odběr
Platformy Hardware • Každý typ několik výkonově odlišných modelů • U nižších modelů mohou být omezeny některé výkonově náročnější funkcionality
Virtuální • VMware • Hyper-V • KVM • Citrix Xen
Cloud • Microsoft Azure
Aplikační Software • Archive One, PST Enterprisse
Služba • Barracuda Cloud
Služby EU – Energize Update • Základní užívací licence • Update a upgrade sofrware • Technická podpora (telefon, e-mail, 8 x 5) • Automatická aktualizace provozních databází
• IR – Instant Replacement • V případě poruchy odeslání náhradní jednotky ten samý, nejpozději následující pracovní den • Vzdálená asistence při výměně, převodu konfigurace eventiuelně dat • 24 x 7 • Po 4 letech obnova hardware zdarma
• PS - Premium support • Pro Enterprise modely (6xx a výš) • 24 x 7 • Prioritní řešení problémů • Možnost proaktivního monitoringu
• Sjednání na dobu 1, 3, 5 let
Licence • Jdnoduchá a přímočará licenční politika • Žádné uživatelské licence • Virtuální modely limitovány počtem jader CPU, nižší modely počtem uživatelů
• Minimum rozšiřujících licencí • Platnost 1, 3, 5 let
Barracuda Cloud Control Centrální Management ● ●
● ● ● ●
Pro většinu zařízení Barracuda Dohled zařízení Barracuda z jednoho portálu Centrální management politik Konsolidované reporty Přístup i z mobilních zařízení (aplikace) ZDARMA
Portfolio Security
Application Delivery
Backup / Archivace
NextGen Firewall F-Series
Load Balancer ADC
Backup
NextGen Firewall X-Series
Load Balancer FDC
Message Archiver
Link Balancer
ArchiveOne
Web Application Firewall Web Filter
PST Enterprise SSL VPN Copy
Spam Firewall Email Security Service
Mobile Device Manager
Web Security Service
CudaSign
Spam & Virus Firewall ● ● ● ●
První a stále populární produkt Barracuda Komplexní ochrana e-mailové komunikace Kontrola příchozí i odchozí pošty 12 vrstev obrany DoS … Ověření … Antivir ... Analýzy… Skore
● ● ● ● ●
Kontrola a filtrování obsahu, příloh Uživatelsky definovatelné politiky Ochrana proti ztrátě dat – DLP Možnost rozšířené ochrany proti malware - Avira Platformy : HW, Virtual, MS-Azure Barracuda E-mail Security Service
●
Škálovatelné Od malých po řešení pro Enterprise a ISP
Barracuda NextGen Firewall F Výkonný síťový firewall Plná kontrola aplikací Plní kontrola uživatelů Inteligentní řízení provozu Komplexní rozšířené IDS/IPS Kompletní centrální dohled
Barracuda NextGen Firewall F • Evropský původ – Rakousko, Insbruck • Vyvinuto na počátku tisícíletí společností Phion jako bezpečnostní řešení pro bankovní sektor (označení Netfence) • V září 2009 akvizice společnosti Barracuda Networks • Vývojová základna v Evropě • Servisní podpora v Evropě
UTM : Unified Treat Management Jednotný managemet hrozeb • IPS / IDS • Firewall • URL Filter • Application control 2.0 • Spam • Application proxy • Reverse proxy • Mlaware protection / Antivir • Vzdálený přístup
Další služby • Autentizační služby (MSAD, LDAP, Radius … • DHCP server • DNS server • NTP server (platnost certifikátů)
Evoluce Firewallů
Optimalizace WAN Centralizovaný dohled Škálovatelnost Vzdálený přístup (VPN) Quality of Service (QoS) Reporty a Audity
Application control Identita uživatelů Porty, pakety, Protokoly, Anti-virus
Tradiční Firewall Next Generation Firewall Barracuda NextGen Firewall F
Řízení přístupu k aplikacím ●
●
●
●
„Business Critical“? Akceptovatelné? Bezpečnostní riziko?
Blokování nežádoucích aplikací Řízení akceptovatelného provozu - prioritizace - omezení pásma Šetří kapacitu připojení a zrychluje kritické aplikace. Kontrola SSL provozu
Řízení přístupu k aplikacím - příklad
Zakázané apllikace Facebook (mimo file transfer) povolen v době oběda pro přihlášené uživatele Videostreaming povolen s nízkou prioritou pro skupinu „IT“ Update vybraných aplikací povolen s nízkou prioritou Vysoká priorita pro aplikaci Salesforce uživatelům ze skupiny Sales
Řízení přístupu k Internetu Obecné
Řízení aplikací – Application Control
Poskyto va
tel 1
Obecné
Posk. 1
Hry
Hry Posk. 2
Poskytovatel 2
Posk. 1 nebo 2
Posk. 3
atel 3 Poskytov Barracuda NG Firewall Přehled detekovaných aplikací a potenciálních rízik
Application Based Link Selection • Definuje použití jednotlivých připojení pro definované aplikace • Definice konkrétních aplikací nebo kategorií • Použití levnějších, méně spolehlivých připojení pro nekritické aplikace • Použití robustních spojení pro kritické aplikace •
Session Balancing / Link Backup • Střídá definovaná připojení pro jednotlivá TCP spojení • Cyklicky, Náhodně • V případě výpadku některého připojení se toto nepoužije
Plná kontrola a monitoring uživatelů Ztotožnění užívatele s jeho IP adresou DC Agent (Domain Control Agent)
Automatické mapování mezi uživatelem a jeho IP adresou ● Možnost manuálního vyřazenívybraných IP adres (HTTP proxy a Terminal Servery ...) ● Možnost vzdáleného přístupu k MSAD ●
TS Agent (Terminal Server Agent) Mapování uživatele na specfický rosah portů ● SSL enkrypce ●
VPN ●
Použijí se údaje při přihlášení
Explicitní přihlášení k Firewallu Zvláštní webové rozhraní ● Uživatelsky méně komfortní ●
Bezpečný přístup k Internetu
Firewall – IDS / IPS • Rozšířená detekce a prevence možných narušení • Ochrana proti přímým útokům • Soustavné monitorování sítě a síťového chování jednotlivých systémů • Detekce a vyhodnocení podezřelých aktivit • Klasifikace • Logování / Blokování podezřelého provozu
• Databáze více než 1200 aplikací • Dynamicky udržovaná (EU) • Možnost definice vlastních vzorů • Možnost redefinice akcí
• Ochrana transportní vrstvy • Identifikace a blokování pokročilých technik pro obejití tradičních systémů
Malware protection • Ochrana interní sítě před škodlivým obsahem • Viry, červy, trojské koně, java aplety, dokumenty, makro viry a další • Web – HTTP, HTTPS • e-mail – SMTP, POP3 • Přenos souborů – FTP • Inspekce SSL
• Mody • Proxy • InLine
• Dva plně integrované antivirové systémy • Avira • ClamAV • Jedny z nejlépe hodnocených antivirových programů • Pravidelná automatizovaná aktualizace signatur • Pokročilá heuristická analýza
• Dostupné pro F18 a vyšší mimo F100 a všechny virtuální verze • Možnost rozšířené analýzy pomocí Advanced Treat Detection
Barracuda Advanced Threat Detection (ATD) • Další úroveň ochrany proti malware, cíleným útokům typu zero - hour / day • Identifikace a blokování pokročilých technik pro obejití tradičních systémů
• Stahovaný soubor je kontrolován proti kontinuálně updatované on-line databázi • Chování neznámého souboru (s neznámou signaturou) je analyzováno v izolovaném prostředí v Barracuda cloud • Simultální podpora různých operačních systémů.
Vzdálený přístup k podnikové síti - VPN • Zabezpečený přístup klienta do interní sítě ze sítě Internet (Client-To-Site) • Zabezpečené propojení privátních sítí přes síť internet (Site-To-Site ) • IPSec • Zabezpečené připojení na síťové úrovni • Aplikace přistupují k privátní síti transparentně • Aplikace nemusí být pro přístup k privátní síti nijak vybaveny • Možnost vazby na certifikát X.509 • Možnost autentizace jménem, heslem, skupinou • Pro provoz je vyžadován klient a server (koncentrátor) • Šifrován je kompletní provoz včetně záhlaví paketů
• SSL
• Zabezpečené propojení na aplikační úrovni • Každá aplikace musí mít vlastnosti klienta / serveru • Možnost vazby na certifikát X.509 • Možnost autentizace jménem, heslem • Používá se zejména po přístup k zabezpečenému webu, e-mailu • Není třeba instalovat speciálního klienta • Šifrován je obsah
Barracuda TINA VPN • Transport Independent Network Access • Rozšířená vlastnosti na základě IPSec • Site-To-Site i Client-To-Site • Multiplatformní • Klient MS Windows, Linux MAC, OS • Podpora klientů Android, IOS, Windows Phone
• Barrauda Traffic Inteligence (klient MS Windows) • Podpora redundantních serverů – přístupových bodů • Automatické vyhledání nejvhodnějšího přístupového bodu • Automatické navázání spojení po výpadku internetového připojení • Použití až 24 transportních prostředků
• Centralizovaná správa (NG firewall, NG Control Center) • Vynucení bezpečnostních politik (klient MS Windows) • Kontrola „zdraví“ klienta, aktuálních update, firewallu klienta, antiviru • Selektivní routing (omezení přístupu mimo VPN při navázané VPN)
• Autentizace • Interní / Externí X.509, Smart Card, Secure ID, Jméno / heslo • MSAD, LDAP, RADIUS
Dynamická Mash VPN Hub&Spoke setup Hub detekuje stav a provoz mezi jednotlivými pobočkami Hub automaticky řídí změny konfigurace Pobočky vytvářejí dočasné tunely
Zabezpečený vzdálený přístup
NextGen Firewall F Cloud CudaLaunch Mobilní VPN Web Prohlížeč
NextGen Firewall F On-premisse
Klient
Vzdálený přístup z mobilních zařízení – CUDALaunch
Management Aplikace NG Admin • Jednotný management všech součástí • Stejné rozhraní pro lokální, dálkovou i centrální správu • Export / Import konfigurace • Správa konfigurací (RCS) – individuální pro každý subsystém
Pro centrální správu NG Control Center • Správa sw verzí • Správa konfigurací • Správa logů • Certifikační autorita
ATR • Obnova systému a konfigurace v jednom kroku
Management
Centrální management – NextGen Control Center • Zrychluje provádění akcí – hromadné provádění • Zvyšuje bezpečnost • Snižuje náklady
•Zabezpečený přístup ke spravovaným jednotkám • Cenrální správa sw verzí • Cenrální správa licencí • Cenrální správa konfigurací • Cenrální správa logů • Grafická konfigurece VPN • Certifikační autorita
•Platformy • HW appliance • Virtuální • Cloud – MS Azure
Hardwarové modely Model Propustnost Firewall Propustnost IPS Propustnost VPN Současné relace Nové relace Provedení Napájecí zdroj
F10 300 Mbit/s 60 Mbit/s 85 Mbit/s 2 000 1 000 Mini Extrerní
F100 300 Mbit/s 60 Mbit/s 85 Mbit/s 8 000 1 500 Desktop Extrerní
F200 650 Mbit/s 115 Mbit/s 120 Mbit/s 35 000 2 500 Desktop Extrerní
LAN GE / FE SFP (1GE)
4
4
4
F280 F300 F380 1,6 Gbit/s 680 Mbit/s 3,8 Gbit/s 450 Mbit/s 125 Mbit/s 1,1 Gbit/s 310 Mbit/s 370 Mbit/s 750 Mbit/s 100 000 70 000 200 000 9 000 2 500 9 500 Desktop 19“ 1U 19“ 1U Extrerní Interní Interní 4
4+4
8
F400 5,0 Gbit/s 1,5 Gbit/s 960 Mbit/s 310 000 16 000 19“ 1U Int. Dual 8
SFP+ (10GE)
F600 16,3 Gbit/s 3,9 Gbit/s 2,3 Gbit/s 2 000 000 110 000 19“ 1U Int, opt Dual 8 buď 4
F800 19,6 Gbit/s 4,8 Gbit/s 6,8 Gbit/s 2 500 000 150 000 19“ 1U Int. Dual
F900 22,2 Gbit/s 5,4 Gbit/s 7,6 Gbit/s 2 800 000 160 000 19“ 2U Int. Dual
F1000 40 Gbit/s 10 Gbit/s 10 Gbit/s 3 500 000 160 000 19“ 2U Int. Dual
nebo 2
4*
4*
4/8 *
Volitelně
Volitelně
Volitelně
Volitelně
20 / 12 * 24 / 16 / 8 * 16 / 32 * 4* 8* 16 / 32 *
ADSL WiFi 3G USB Modem
Volitelně
Volitelně
Volitelně
Ano
Volitelně
Volitelně
Volitelně
Volitelně
Volitelně
•Stateful Firewall •Application Control •IPS •IPsec VPN •Web Proxy – od F18 •Barracuda Web Filter – od F18 Nové modely Q4 / 2015 •F18, F80, F 180 •F280 revize B •Výkonnější •Větší počet portů
Volitelně
Volitelně
•Barracuda Web Filter – od F18 •Mail Gateway, Spam Filter, FTP Gateway, SSH Gateway - od F18 •Barracuda Malware protection – volitelně od F18 •Barracuda Basic Remote Access – volitelně od F18 (mimo F100) •Barracuda Advanced Remote Access – volitelně od F18 mimoF100)
Virtuální Model Počet jader Počet IP adres
VF25 2 25
VF50 2 50
Model Počet jader Počet síťových rozhraní - Amazon Propustnost Firewall Propustnost IPS Propustnost VPN Současné relace Nové relace
VMware, Hyper-V, KVM, Cytrix VF100 VF250 VF500 2 2 2 100 250 500
Azure, Amazon L2 L4 1 2 2 2 400 Mbit/s 2 Gbit/s 80 Mbit/s 900 Mbit/s 120 Mbit/s 500 Mbit/s 35 000 300 000 2 500 16 000
VF1000 VF2000 VF4000 VF8000 2 4 8 16 Neomezeno Neomezeno Neomezeno Neomezeno
L6 4 4 5 Gbit/s 2,5 Gbit/s 1 Gbit/s 500 000 35 000
L8 8 4 9 Gbit/s 3 Gbit/s 1,5 Gbit/s 1 000 000 45 000
Barracuda Web Application Firewall Ochrana Vašich aplikací a dat
Útoky jsou dnes automatizovány
Web Exploitation Kit
SQL Injection Toolkit
Layer 7 Web Application Firewall
Inbound inspection Outbound inspection Ochrana proti útokům na aplikační (7.) vrstvě Ochrana proti odcizení dat
Ochrana proti útokům a ztrátě dat Attack Protection • SQL, XSS, command injection
CSRF Web Site Cloaking Data Theft Protection • Credit card, SSN, custom patterns
Session Protection • Cookie encryption • Parameter tampering protection
Integrovaný Anti-Virus
OWASP Top 10 Brute Force Protection DoS Protection IP Reputation Blocking • Blocking by Geo IP • Anonymous Proxy Blocking
Podpora Armored Browser XML Firewall • XML schema enforcement • Web services security
Integrace SIEM
Identita a řízení přístupu
Authentication
Authorization
Single-Sign-On
Two-Factor Authentication
Token ID
Client Certificate
SMS Passcode
Reporting
Jednoduché nasazení a dohled Úroveň přizpůsobení Vysoká
Uživatelské a pozitivní zabezpečení
Střední
Přednastavené vzory (template)
Nízká
Výchozí zabezpečení
Akcelerace a rozdělení zátěže Data Center Barracuda Web Application Firewall HTTP Komprese
Request Rate Control
L4 / L7 Load Balancing Application monitors SSL Offloading TCP Pooling HTTP Caching Content Routing
Konsolidace různorodých zařízení v DMZ Load Balancing
SSL Accelerators
Access Control
Caching
Security
Reverse Proxy Web Application Firewall
Snižuje komplikovanost managementu Snižuje riziko konfiguračních chyb
Výhody Barracuda WAF Soustavná ochrana před vyvíjejícími se hrozbami Blokuje SQL injections, cross-site scripting, session spoofing a mnoho dalších
Prevence odcizení dat Inspekce odchozího provozu Výkonná authentikace a autorizace
Získávání nových schopnost pro blokování přicházejících hrozeb
Pomáhá akcelerovat výkon Aplikací
Archivace Barracuda Message Archiver ●
výkonné, ale jednoduché řešení pro archivaci z MS Exchange a Office365 s rozsáhlými možnostmi vyhledávání ve zprávách
Barracuda Archive One ●
výkonné řešení pro komplexní management e-mailové komunikace MS Exchange s širokými možnostmi nastavení a vyhledávání ve zprávách
Barracuda PST Enterprisse ●
výkonný nástroj pro vyhledání, migraci a eliminaci PST souborů MS Outlook
Barracuda Message Archiver ● ● ● ● ● ● ● ● ● ● ●
HW, Virtual, MS-Azure Archivace veškeré e-mailové komunikace Libovolný e-mail server včetně Office365 (Barracuda Cloud Relay) Offload e-mailových serverů Integrace s MSAD / LDAP Podrobné prohledávání zpráv podle řady kriterií Přístup ke zprávám i v případě výpadku e-mail server Jednoduché nastavení Retenční politiky Možnost zálohování do Barracuda Cloud MS-Outlook plug-in – přistup k archivovaným zprávám obdobně jako k živým
Barracuda Message Archiver Cloud Relay
Barracuda Archive One ● ●
● ● ● ● ● ●
● ● ●
●
SW řešení Produkt spolećnosti C & C – Vývojového partnera společnosti Microsoft – Akvizice 2014 Určeno pro spolupráci MS-Exchange (od 2007) Archivace e-mailové komunikace podle řady kriterií Offload e-mailových serverů Integrace s MSAD / LDAP Podrobné prohledávání zpráv podle řady kriterií Konsolidované prohledávaání zpráv bez ohledu na umístění : v e‑mailových schránkách, PST souborech, veřejných složkách, archivech Přístup ke zprávám i v případě výpadku e-mail serveru Propracované retenční politiky MS-Outlook plug-in – uživatel přistupuje k archivovaným zprávám obdobně jako k živým Archive One File – Archivace souborů
Barracuda PST Enterprisse ● ●
PST soubory představují bezpečnostní riziko Vyhledání PST souborů na serverech a prac. stanicích ●
● ● ● ●
Klient bez instalace
Rozsáhlá pravidla pro import zpráv Možnost automaticky určovat vlastníka nepřipojených PST Možnost exportu do archivů nebo Office 365 Možnost odpojení a vymazání souboru po archivaci
Děkuji za pozornost Radko Hochman Gesto Communications www.gestocomm.cz Www.barracuda.com