Bezpečně nemusí vždy znamenat draze a neefektivně AddNet a aktivní bezpečnost sítě Jindřich Šavel
29.2.2016
©2012 All rightss.r.o. reserved. ©2016 Novicom All rights reserved
www.novicom.cz,
[email protected]
NOVICOM s.r.o. 29.2.2016
Co zazní v prezentaci
▪ O Novicomu ▪ Zabezpečení sítě
▪ Aktivní bezpečnost sítě ▪ AddNet
©2016 Novicom s.r.o. All rights reserved
Strana 2
29.2.2016
Představení společnosti Novicom
▪ Česká společnost zabývající se ∙ vývojem, ∙ dodávkami ∙ a provozem systémů pro ∙ správu sítí ∙ monitoring ∙ bezpečnost ∙ a komunikace ▪ Orientace na střední a velké zákazníky a na dále na všechny vyžadující vysokou míru bezpečnosti a provozní spolehlivosti svých systémů ▪ Společnost s historií – více než 21 let českém trhu ©2016 Novicom s.r.o. All rights reserved
Strana 3
29.2.2016
Zabezpečení sítě ve výrobních podnicích
Trojúhelník bezpečnosti monitoruji a řídím • kde, kdo, kdy, jak ©2016 Novicom s.r.o. All rights reserved
Strana 4
x
Bermudský trojúhelník bezpečnosti • kde? kdo? kdy? jak? 29.2.2016
Bermudský trojúhelník Bermudský trojúhelník bezpečnosti • kde? kdo? kdy? jak?
Žádné řízení přístupu do sítě (NAC) Evidence IP adres v excelu Dynamicky přidělované IP adresy DHCP Samostatné DNS Pouze základní monitoring Infrastruktura Žádný pokročilý monitoring síťového provozu
©2016 Novicom s.r.o. All rights reserved
Strana 5
29.2.2016
Trojúhelník bezpečnosti Trojúhelník bezpečnosti monitoruji a řídím • kde, kdo, kdy, jak
Řízení přístupu do sítě (NAC) Pokročilé řízení adresního prostoru (DDI) IPAM, DHCP a DNS Pevné IP přidělované DHCP Multispektrální monitoring L2 Monitoring, Flow Monitoring, Infrastruktura a aplikace Pokročilá ochrana vnitřní sítě - NBA ©2016 Novicom s.r.o. All rights reserved
Strana 6
29.2.2016
Jak toho dosáhnout
▪ Alternativa 1 - Izolované systémy ▪ Monitoringy, IPAM, DHCP, DNS, NAC, BYOD, switch management, … ▪ Každý systém má ▪ Počáteční náklady ∙ Investice HW, SW, implementace a školení ▪ Náklady na provoz ∙ Údržba HW a SW, nové verze ▪ Svého správce ∙ Je k dispozici dokumentace? ∙ Je zastupitelný? ∙ Je jeho činnost auditována? ∙ Jsou nastavené procesy spolupráce mezi subsystémy? ©2016 Novicom s.r.o. All rights reserved
Strana 7
29.2.2016
Jak toho dosáhnout
▪ Alternativa 2 – Integrované řešení ▪ L2 Monitoring, IPAM, DHCP, DNS, NAC, BYOD, Switch management, … ▪ Minimalizace nákladů – vše pouze jednou… ▪ Minimalizace počátečních nákladů √Investice HW, SW, implementace a školení ▪ Minimalizace nákladů na provoz √Údržba HW a SW, nové verze ▪ Nároky na správce systému √Dokumentace je k dispozici √Je zastupitelnost √Činnost je auditována √Integrované řešení – významná redukce procesů ©2016 Novicom s.r.o. All rights reserved
Strana 8
29.2.2016
Koncept Aktivní bezpečnosti sítě SOC SIEM Log Management
Internet
Ochrana perimetru
AddNet
Firewall
DDI - IP address
IDS/IPS
management DHCP, DNS
MoNet Infrastrukturní monitoring
Network DLP
NAC - 802.1x
NBA
MAC authentication / authorization
Network behaviour analysis
L2 monitoring
Flow monitoring
Aplikační monitoring
Ochrana klientů
EndPoint Security / DLP Antivirus Antimalware
Klienti Desktopy Mobilní klienti
©2016 Novicom s.r.o. All rights reserved
Síť Síťové prvky Wifi Strana 9
Infrastruktura Servery Aplikace 29.2.2016
Představení pojmů IPAM / L2M / DDI / NAC ▪ IPAM ▪ Správa IP adresního prostoru ▪ L2 Monitoring ▪ Monitoring výskytu zařízení v síti (IP/MAC lokalita/port) ▪ Monitoring v reálném čase, úplná historie výskytu ▪ DDI ▪ Integrovaná správa IP adresního prostoru a základních síťových služeb ▪ DHCP a DNS ▪ NAC – řízení přístupu zařízení do sítě ▪ Autentizace zařízení (802.1x / MAC s ochranou) ▪ Autorizace zařízení – dynamické řízení přidělování do VLAN ©2016 Novicom s.r.o. All rights reserved
Strana 10
29.2.2016
Network Visibility & Security Advanced Network Monitoring Distributed IP Network Management FlowMon collector FlowMon ADS, APM
AddNet
FlowMon
DDI/NAC
Flow monitoring
L2 monitoring IPAM – address space management DDI - DHCP, DNS NAC – 802.1x/MAC Autentication /Autorization
IP-flows monitoring FlowMon ADS – Anomaly detection system (NBA) FlowMon APM – Application performance monitoring
FlowMon probe
CENTRAL SITE
AddNet control server AddNet workserver AddNet workserver DHCP
IPAM
DNS
L2 Monitoring
DMZ FlowMon probe
RADIUS
LAN 1
LAN X
AddNet workserver
AddNet workserver
DHCP
IPAM
DNS
L2 Monitoring
RADIUS
AddNet workserver
DHCP
IPAM
DNS
L2 Monitoring
RADIUS
DHCP
IPAM
DNS
L2 Monitoring
RADIUS
Integrované řešení monitoringu a správy AddNet Monitoring
ADS FlowMon Infrastructure Monitoring
DMZ
LAN 1
LAN X
Applications Aplications serv.
Applications
Applications
Aplications serv.
Aplications serv.
Database
Database
Operating syst.
L2 Monitoring
Database Operating syst.
L2 Monitoring
Operating syst.
L2 Monitoring
Virtualization
DHCP
Virtualization
DHCP
Virtualization
DHCP
Hardware
DNS
Hardware
DNS
Hardware
DNS
Environment
RADIUS
Environment
RADIUS
Environment
RADIUS
Flow monitoring
©2016 Novicom s.r.o. All rights reserved
Flow monitoring
Flow monitoring
Strana 12
29.2.2016
Koncept v detailu - MoNet => FlowMon ADS
©2016 Novicom s.r.o. All rights reserved
Strana 13
29.2.2016
Koncept v detailu - FlowMon ADS => AddNet
©2016 Novicom s.r.o. All rights reserved
Strana 14
29.2.2016
AddNet
SÍŤOVÁ SPRÁVA NEBYLA NIKDY JEDNODUŠŠÍ!
©2016 Novicom s.r.o. All rights reserved
Strana 15
29.2.2016
Původní Novicom technologie ▪ Novicom SGP (Secure Grid Platform) ▪ technologická platforma pro nadstandardní provozní spolehlivost Novicom systémů a jejich integrovaných klíčových služeb (L2/infrastrukturní monitoring a základní síťové služby DHCP/ DNS/ NAC) ▪ vícenásobná redundance typu Active-Active, podpora hierarchického a distribuovaného modelu v prostředí rozsáhlých sítí ▪ Novicom SDP (Secure Delivery Protocol) ▪ vlastní komunikační protokol navržený pro zajištění spolehlivé komunikace v prostředí velice nekvalitní sítě ▪ pracuje na linkách s chybovostí až 95% ▪ garance maximálního zabezpečení přenášených dat (military grade security) ▪ Novicom FireBox platforma ▪ systém HW a virtuálních appliancí, zvyšující bezpečnost, spolehlivost a servisní flexibilitu pro klíčové komunikační a bezpečnostní funkce ▪ je založené na OS Linux s bezpečnostními úpravami kernelu, s nezávislými prvky centrální správy a zálohování/obnovy ©2016 Novicom s.r.o. All rights reserved
Strana 16
29.2.2016
AddNet Je unikátní DDI/NAC nástroj pro řádové zvýšení efektivity správy IP adresního prostoru a řízení bezpečnosti přístupu v rozsáhlých sítích. Toho je dosaženo integrací systémů L2 monitoringu, správy IP adresního prostoru, základních síťových služeb (DHCP, DNS), řízení přístupu do sítě (NAC) a pokročilé komunikace s aktivními prvky sítě.
©2016 Novicom s.r.o. All rights reserved
Strana 17
29.2.2016
Co je AddNet?
L2 Monitoring • Real time • Úplná historie • Lokalizace zařízení
NAC
DDI • IPAM • DHCP • DNS
©2016 Novicom s.r.o. All rights reserved
Dashboard & Reporting
• 802.1x & MAC autentizace • Autorizace • Krizový management
BYOD
Switch
• DDI & NAC • Automatizovaná a samoobslužná správa • Guest zóna
interoperability • Repository • Port utilizace • Zálohování konfigurací
Strana 18
29.2.2016
AddNet řídící server
▪ Funkcionalita ▪ Centrální databázový server ▪ Sbírá data z workserverů (L2 monitoring) ▪ Řídí podřízené workservery ∙ Konfigurace služeb DDI/NAC (DHCP/DNS/RADIUS) ▪ Poskytuje uživatelské rozhraní ▪ Edice AddNet řídících serverů ▪ Podle rozsahu funkcionality ∙ AddNet DDI Edition a doplňkové moduly ∙ SIO - Komunikace s aktivní prvky ∙ NAC - Enhanced Security ∙ BYOD ∙ AddNet Enterprise Edition ▪ Podle počtu IP zařízení v síti ∙ 100, 250, 500, 2000, 5000, bez omezení ©2016 Novicom s.r.o. All rights reserved
Strana 19
29.2.2016
AddNet workserver
▪ Funkcionalita ▪ Provádí L2 monitoring ▪ Komunikuje s aktivními prvky ▪ Poskytuje základní síťové služby ∙ DHCP/DNS/RADIUS ▪ Schopnost autonomního provozu i v případě nedostupnosti řídícího serveru ▪ Edice AddNet Workserverů ▪ AddNet Workserver ∙ Bez licenčního omezení (s praktickým omezením 2 WS na 2000 IP zařízení v síti) ▪ AddNet Workserver BOE (Branch Office Edition) ∙ Do 25, 50 a 100 IP zařízení v lokalitě ©2016 Novicom s.r.o. All rights reserved
Strana 20
29.2.2016
Snadné nasazení AddNetu
2 – 3 měsíce
▪ Využití původní Novicom implementační metodiky NIM ▪ Definované postupy a výstupy ▪ Kontrola kvality ▪ Hlavní fáze ▪ Vstupní analýza 70 ▪ Příprava SGP infrastruktury % ▪ Aplikační nastavení AddNetu ▪ Iniciační sniffing ▪ Nastavení finální IP strategie 30 ▪ Spuštění DDI % ▪ Spuštění NAC ▪ Zahájení provozní podpory ©2016 Novicom s.r.o. All rights reserved
Strana 21
29.2.2016
Klíčové přínosy AddNetu
▪ L2 monitoring - jednoznačná lokalizace zařízení v síti ▪ Řádová úspora práce síťových administrátorů ▪ Standardizace činností a centralizace správy v rozsáhlých a distribuovaných sítích ▪ Snadné zavedení a správa NAC ▪ 802.1x / MAC autentizace s ochranou ▪ Autorizace (přiřazování do VLAN) ▪ Plně automatizovaná správa a jednoznačná identifikace BYOD a mobilních zařízení ▪ Podstatné zvýšení provozní spolehlivosti DDI/NAC služeb díky vícenásobné redundanci a nadstandardní škálovatelnosti ▪ Úspora nákladů díky sledování utilizace aktivních prvků ▪ Plná heterogennost - bezproblémová spolupráce běžnými síťovými technologiemi (včetně Microsoft a Cisco) ▪ Snadná implementace a ověřené projektové postupy ©2016 Novicom s.r.o. All rights reserved
Strana 22
29.2.2016
V čem je AddNet jiný?
▪ Využití vlastních technologií
▪ Novicom SGP – Secure Grid Platform ▪ Novicom SDP – Secure Delivery Protocol ▪ Novicom FireBox appliance
▪ Flexibilní podpora topologie nasazení ▪ Centralizované nasazení ▪ Plně distribuovaného nasazení ▪ Kombinované nasazení
▪ Nadstandardní provozní spolehlivost a škálovatelnost
▪ Provoz v distribuovaných lokalitách i při nedostupnosti řídící lokality ▪ Podpora aktivního clusteringu na všech úrovních ▪ Nadstandardní bezpečnost dat (appliance, datový přenos, architektura)
▪ Unikátní spojení DDI a NAC
▪ DDI nástroj je doplněný o NAC ▪ Optimalizované pro rozsáhlé distribuované sítě
©2016 Novicom s.r.o. All rights reserved
Strana 23
29.2.2016
Bezpečnost na 4 kliknutí v praxi
ZoKB: §22 vyhlášky č.316/2014 ©2016 Novicom s.r.o. All rights reserved
Strana 24
29.2.2016
Bezpečnost na 4 kliknutí - Co pro to potřebujete?
▪ Monitoring vnitřní sítě ▪ L2 monitoring (která IP/MAC kde a kdy byla v síti) ▪ Flow monitoring (která IP/MAC s kým a jak komunikovala) ▪ Infrastrukturní monitoring (které zařízení/služba je afektována)
▪ Pokročilé nadstavby monitoringu ▪ NBA – behaviorální analýza sítě (kdo a jak se chová neobvykle) ▪ DDI – nástroj správy IP adresního prostoru (IPAM) a základních síťových služeb (DHCP / DNS) ▪ NAC – řízení přístupu zařízení do sítě ∙ 802.1x / MAC Autentizace ∙ Autorizace – řízení přidělování VLAN
Mějte vaší síť plně pod kontrolou! ©2016 Novicom s.r.o. All rights reserved
Strana 25
29.2.2016
Další informace ▪ Novicom s.r.o. ▪ ▪ ▪ ▪
▪ Jindřich Šavel ▪ ▪ ▪ ▪
Koněvova 67 130 00 Praha 3 www.novicom.cz
[email protected]
©2016 Novicom s.r.o. All rights reserved
Strana 26
obchodní ředitel
[email protected] +420 271 777 231 +420 777 222 961
29.2.2016
L2 monitoring
▪ Základní stavební kámen AddNetu ▪ Poskytuje informace o výskytu zařízení v síti ▪ KTERÁ ∙ IP/MAC ▪ KDE ∙ se nachází v síti ▪ Real-time monitoring ▪ Úplná historie výskytu zařízení v síti ▪ Podpora kabelové knihy ▪ Možnost importu AddNet L2 monitoring je schopný v reálném čase upozornit na rozpor mezi adresním plánem a realitou v síti! ©2016 Novicom s.r.o. All rights reserved
Strana 27
29.2.2016
Z vyhlášky č. 316 ze dne 15.12.2014 ▪ Dočtete se např.
▪ §22 Nástroj pro detekci kybernetických bezpečnostních událostí ▪ (2)„… dále používá nástroj pro detekci kybernetických bezpečnostních událostí, které zajistí ověření, kontrolu a případně zablokování komunikace ▪ a) v rámci vnitřní komunikační sítě a ▪ b) serverů patřících do informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury.“
©2016 Novicom s.r.o. All rights reserved
Strana 28
29.2.2016
IPAM - Adresní plánování Umožňuje řízení DNS a IP adresních dat na úrovni rozsáhlých organizací s jednotnou správou, monitoringem a auditem. ▪Tvorba IP adresního plánu ▪ Tvorba/Implementace adresního plánu ∙ Porovnání výstupu z monitoringu (ARPmon) s existujícími adresními plány ∙ Po provedení případné korekce je výstupem seznam pravidel pro import do AddNetu ∙ Import do AddNetu ∙ Alternativně přímé vytváření v AddNetu ▪ Rezervace adresního prostoru ▪ Příprava standardních profilů zařízení ▪IP Management konzole ▪ Přehled IP/MAC adres, status využití, typ zařízení, lokalita ▪ Zjištění „mrtvých adres“ a jejich vrácení do adresního plánování ©2016 Novicom s.r.o. All rights reserved
Strana 29
29.2.2016
IPAM - Adresní plánování ▪ Přidávání a konfigurace síťových zařízení ▪ Možnost rychlého přidělení IP přímo z prostředí monitoringu ▪ Automatická provázanost na DHCP/DNS/Radius ▪ Maximální uživatelské přívětivost a proaktivnost ▪ Snadné přidání zařízení do sítě bez konfigurace – změna z „dynamic“ na „fixed“ ▪ Přiřazení další volné IP adresy ▪ Podpora krizového řízení ▪ Možnost vytvoření tzv. Krizových setů ▪ V případě incidentů umožňuje okamžité odpojení všech zařízení, mimo krizový set ▪ Po odstranění příčin a/nebo důsledků incidentu je možné postupně obnovit síťový provoz na vybraných zařízeních ▪ Historie přiřazení adres IP/MAC
©2016 Novicom s.r.o. All rights reserved
Strana 30
29.2.2016
Spolehlivý provoz základních síťových služeb
▪ Flexibilní model nasazení DDI ▪ Centralizovaný x ▪ Distribuovaný ▪ Možnost zajištění plné redundance služeb i v lokalitě, která je dočasně nedostupná ▪ DHCP ▪ Výhody integrace s L2 monitoringem ▪ Rozšířený set funkcionality ▪ Vysoký výkon díky multithreadové architektuře ∙ (High Performance DHCP services) ▪ DNS ▪ Distribuovaný model ▪ Podpora více interface ▪ Bezproblémová spolupráce se stávající infrastrukturou ©2016 Novicom s.r.o. All rights reserved
Strana 31
29.2.2016
Řízení přístupů do sítě
▪ Díky integrované komunikaci s aktivními prvky je podporován standard 802.1x a jeho subsety MAC autentizace a autorizace ▪ Využití aktivních prvků s podporou 802.1x resp. Radius služeb ▪ Unikátní MAC autentizace s ochranou – bez nákladů na administraci ▪ Při požadavku zařízení na síťovou komunikaci příslušný switch proved dotaz do integrovaného Radius serveru AddNetu, který dá informaci ∙ zda má zařízení povolenou komunikaci ∙ případně zařadí zařízení do nastavené VLAN ▪ Při požadavku na odpojení zařízení je tato informace distribuována do integrovaného Radiusu. Při opětovném dotazu aktivního prvku (p. Positive time to live) je přístup odepřen a zařízení nemůže komunikovat na síti ©2016 Novicom s.r.o. All rights reserved
Strana 32
29.2.2016
AddNet BYOD modul
▪ Samoobslužná správa BYOD a mobilních zařízení ▪ Vytváření guest zón ▪ Jednoznačná identifikace BYOD a mobilních zařízení ▪ Poskytování informací o IP a vlastníku zařízení ▪ Možnost aplikování následných bezpečnostních pravidel pro BYOD a síťové zařízení ▪ Firewall pravidla ▪ Poskytování Identifikace zařízení pro IDS, Netflow systémy, Web filtering, sledování provozu apod. ▪ Možnost realizace návazných a obdobných konceptů ▪ Jednoznačná identifikace pro veškeré monitorovací systémy ▪ Možnost aplikování identifikace i pro desktop systémy ▪ Možnost garantovat End-point security systémům tím, že na síti nekomunikují zařízení bez End-point ochrany Řeší rozpor mezi síťovými a bezpečnostními správci ©2016 Novicom s.r.o. All rights reserved
Strana 33
29.2.2016
Komunikace s aktivními prvky
▪ Repository aktivních prvků ▪ Přehledové informace (S/N, IOS verze apod.) ▪ Sledování utilizace aktivních prvků ▪ Sledování celkové utilizace ▪ Sledování na úroveň portu ▪ Podpora pro optimalizaci využití sítě – výpis nevyužitých zásuvek ▪ Zálohování a obnova konfigurací aktivních prvků ▪ Centrální zálohování konfigurací aktivních prvků Není omezeno na jednoho výrobce! ©2016 Novicom s.r.o. All rights reserved
Strana 34
29.2.2016
Dashboard a reporting
▪ Dashboard ▪ Přehledové informace o provozu systému ▪ Informace o nestandardních stavech ∙ Zakázané zařízení, zařízení v rozporu s IP plánem apod. ▪ Reporting ▪ Kombinace více zdrojů dat ∙ L2 monitoring ∙ DHCP provoz ∙ Aktivní prvky ▪ Drill-down ▪ Možnost přístupu k detailu ∙ IP, monitor apod. ©2016 Novicom s.r.o. All rights reserved
Strana 35
29.2.2016
AddNet?
▪ Zahoďte excelové evidence IP adres ▪ Radikálně snižte pracnost síťové administrace ▪ Zvyšte provozní spolehlivost sítě ▪ Rozhodujte, která zařízení mohou komunikovat ve vaší síti ▪ Zaveďte si pořádek a bezpečnost v síti ©2016 Novicom s.r.o. All rights reserved
Strana 36
29.2.2016
Další informace ▪ Novicom s.r.o. ▪ ▪ ▪ ▪
▪ Jindřich Šavel ▪ ▪ ▪ ▪
Koněvova 67 130 00 Praha 3 www.novicom.cz
[email protected]
©2016 Novicom s.r.o. All rights reserved
Strana 37
obchodní ředitel
[email protected] +420 271 777 231 +420 777 222 961
29.2.2016