Cyberoam UTM
Lukáš Olejár Petr Čechura
| |
[email protected] [email protected]
Proč UTM?
Syndrom „mě se to stát nemůže“…?
Doba se mění a zranitelnosti jsou všude
OS, firewall, webové aplikace, souborové systémy, bot net, spam, D/DoS IT administrátoři však - zdá se - nezaostávají:
Proč UTM?
Spravovat více dílčích řešení je náročné (finančně, časově, administrativně, …) Když dva dělají totéž, není to totéž!
Složitost síťové topologie
Více zařízení od více výrobců
Vyšší cena – CapEX a OpEX
Rozdílné dílčí logování a reportování
Nunto znát více konfiguračních rozhraní - školení
Kdo je Cyberoam?
Založeno 1999 Více než 550 zaměstnanců celosvětově Únor 2014 kupuje Cyberoam majoritní investor konkurenta Sohpos a společnosti se prezentují jako partneři, prodejní kanály se nemění Působnost ve více než 125 zemích světa Mezi TOP 3 hráči na poli UTM pobočky v USA, Indii a na Středním východě
2014: Sophos & Cyberoam
2013 Magic Quadrant for Unified Threat Management
Gartnerův magický kvadrant – UTM
2009
2010
2012
Magic Quadrant for SMB Multifunction Firewalls
Magic Quadrant for Unified Threat Management
Magic Quadrant for Unified Threat Management
Gartnerův magický kvadrant – UTM – 2013
2013 Magic Quadrant for Unified Threat Management
2014 Magic Quadrant for Unified Threat Management
Portfolio Cyberoam
Zabezpečení vaší sítě
Unified Threat Management NGFW
Centrální management pro pobočky/klienty
Monitoring a analýza sítě
Bezpečnostní brány pro domácí použití
& Open Source
Portfolio Cyberoam UTM UTM zařízení
Virtuální UTM
Pobočky, menší společnosti CR35wiNG, CR35iNG, CR25wiNG, CR25iNG, CR15wiNG, CR15iNG
Malé a střední společnosti
CRiV-1C, CRiV-2C, CRiV-4C, CRiV-8C, CRiV-12C
CR300iNG, CR200iNG, CR100iNG, CR50iNG
Vmware ESX/ESXi/Player/ Workstation
Velké společnosti (NG FW) CR2500iNG CR1500iNG CR1000iNG CR750iNG CR500iNG
Microsoft Hyper-V
Linux KVM
Linux XenServer
Cyberoam Live Demo
odkaz: http://demo.cyberoam.com přístupové údaje: guest /guest
Možno získat 30-ti dení testovací Trial CR virtual appliance
Centrální konzole Cyberoam (CCC)
CCC slouží pro centralizaci, integrovanou správu a monitoring Cyberoam UTM zařízení -
nabízí kompletní řízení přes distribuovanou zákaznickou síť
dostupný jako -
HW CCC zařízení, virtuální CCC
Mumbai Branch Office
New York Branch Office
Cyberoam UTM
Cyberoam UTM
Dubai Head Office Cyberoam UTM
Cyberoam UTM
Cyberoam Central Console (CCC)
Boston Branch Office
Cyberoam iView – logování a reporting
možnost shromažďování vícero informací - logy a reporty ze zařízení různých výrobců
Security Management Log Management
Forensic Analysis Compliance Management
dostupné ve formě
open Source SW dedikované zařízení
Identita Logging
Reporting
servery operační systémy
Logs & Events
aplikace
firewally
UTM
IDP / IPS switche
routery
UTM funkce
Layer 8 security Support for 3G/4G/WiMax
Patentovaná technologie Cyberoam: L8 security
Cyberoam L8 „vkládá“ uživatelskou identitu jako „8. vrstvu“ ISO/OSI modelu Cyberoam UTM poskytují komplexní zabezpečení od L2 do L7 svázené s uživatelskou identitou.
Cyberoam AAA založené na identitě uživatele
Uživatelé Zaměstnanci
Management
Cyberoam Autentizace
Cyberoam Autorizace
Cyberoam Audit
• • • •
• • • • •
• Identity–based logy a reporty • Compliance reporty
Uživatelské jméno IP Addresa MAC Id Session Id
Zákazníci
Partneři
Kontrola uživatelské aktivity • Kdo se může připojit do sítě • Kdo může přistoupit kam • Kdo k čemu přistoupil
Internet surfing quota Plány řízení Bezpečnostní politiky Web Filtering Viditelnost aplikací, aplikační filtr • QoS / management šířky pásma • Antispam/ IM kontrola
Možnost sledovat uživatelskou aktivitu; identifikovat útočníky/oběťi
Možnost dělat rychlá bezpečností rozhodnutí
V čem je lepší bezpečnost založená na identitě?
Korporátní LAN
DHCP 192.168.3.105 192.168.3.110 Richard Steve Ancy
Administrator
Aplikace bezpečnostní politiky založené na skutečné totožnosti uživatelů.
Rozdělení politik pro uživatele, kteří sdílí jednu IP/MAC
Internet
Licenční politika
Součástí UTM je zdarma
AAA
L8 SI firewall
SSL/IPSec VPN, (SSL VPN klient zdarma)
Management šířky pásma/QoS
Routing
Logování a reportování
Multi link management
Licence lze kupovat na období 1/2/3 roky + lze je prodlužovat
Licenční politika
HA box se kupuje pouze s 8x5 supportem Balíčky licencí (úspora financí) Total Value Subscription (TVS) Security Value Subscription (SVS) Complete Value Subscription (CVS) Antivirus a antispam Balíčky jsou ještě ve verzích PLUS = support je 24x7 Balíčky Jednotlivé licence
SVS
SVSP
TVS
TVSP
CVS
Gateway Anti-Virus
●
●
●
●
●
Webový a aplikační filtr
●
●
●
●
●
Intrusion Prevention Systém
●
●
●
●
●
●
●
●
Gateway Anti-Spam
●
Web Application Firewall Outbound Anti-Spam 8x5 support 24x7 support
●
● ●
●
●
Prioritizace aplikací s L7 a L8 kontrolou
Internet Aplikační traffic
Cyberoam Appliance
Rozpoznání
Řízení
Prioritizace Business Critical
Socio business
Non Critical
Nepovolené aplikace jsou blokovány worms
Spyware
Undesirable
Logy a reporty
Kontrola nad aplikacemi na základě uživatelské indentity, času, druhu aplikace a šířky pásma
Aplikační filtr – granulární nastavení pravidel
Category
Risk Level
Characteristics
Technology
File Transfer
Very Low (1)
Excessive Bandwidth
Browser Based
Gaming
Low (2)
General Internet
Medium (3)
Prone to misuse
Client Server
Instant Messenger
High (4)
Transfer files
Network Protocol
Infrastructure
Very High (5)
Tunnel other apps
P2P
Network Services P2P
Widely used
Proxy and Tunnel
Loss of Productivity
Remote Access
Can bypass firewall policy
Streaming Media VoIP Mobile Applications Social Networking Web Mail And more…
Aplikační filtr – proaktivní model ochrany
Volba P2P aplikací Volba akce Automaticky blokuje veškeré nově přidané aplikace bez nutnosti manuálního přidání
Eliminace potřeby ručního zásahu administrátora pro přidání aplikace do politiky v případě aktualizace seznamu
IM kontrola
Správa komunikačního média (chat, video, voice, file transfer)
Archivace komunikace
Ochrana dat (in/out)
Kdo může chatovat s kým
Produktivita Kontrola produtivity • Správa přístupu k druhu komunikace (chat, vidoe, voice, sdílení složek) • Kdo může komunikovat s kým
Prevence úniku dat • Blokování specifických slov • Blokace pomocí regulárních výrazů např social security no., credit card no., ABN routing numbers
Analýza komunikace • IM audit logy • Možnost filtrovat dle uživatele, IP, klíčových slov
Logování a reporting přímo na zařízení
Klíčová výhoda: integrovaný reporting založený na identitě uživatele
Reporty jsou ukládané na interní HDD
cyberoam pro logy & reporting používá nástroj iView
reporty jsou dostupné: tabulkový (XLS), PDF, on appliance
L8 komplexní reporty: web surfing report, antivirus & antispam report, IDS a IPS reporty, Data transfer report, web trend report , compliance reporty a reporty sloužící pro firemní audity
UTM Device
Software / Device
User based Dashboard
Traffic Dashboard
Security Dashboard
Aplikační reporty
„Compliance“ reporty
World traffic mapa
Interaktivní mapka pro zdrojový a cílový traffic napříč světovými doménami/ip adresami
Traffic Discovery
Traffic Discovery
SI firewall
Komplexní nastavení -> unifikovaná bezpečnost
Aplikační firewall Identity-based firewall Layer 8 Geo-based Traffic Control - Možnost nastavení kontroly provozu ze specifické země
Jednoduše konfigurovatelné přes Next-Gen UI Jednoduchá navigace,customizace, intuitivní rozhraní
Firewall Rule
Security Policies Connectivity Policies Productivity Policies
Unifikovaná bezpečnost Pravidla pro veškeré bezpečnostní rysy na stránce FW Jednoduchost a intuitivní ovládání navyšuje produktivitu administrátora
SI Firewall – konfigurace z jedné stránky
Identita
+ Bezpečnost
+ Produktivita
+ Konektivita
Intrusion Prevention System
•Vlastní výrobek (Signatury píše přímo Cyberoam) •4500+ signatur, IPS tuning •IPS politiky lze vztáhnout na uživatele, skupinu, IP adresy, atd.. •možnost definice více IPS politik •Lze vytvářet vlastní IPS signatury •identity-based alarmy & reporty •Automatické aktualizace v reálném čase •HTTP Proxy signatury •Základní ochrana před DoS a DDoS útoky (treshold)
GW Antivirus & AntiSpyware
•4 milliony+ signatur •Poskytovatel AV enginu: Avira •obousměrný sken: Web & Email •virová karanténa •skenuje HTTP, FTP, SMTP, POP3, HTTPS, IMAP a IM provoz •Aktualizace signatur každou půlhodinu
GW Antispam
•Inbound/Outbound •tři úrovně skenování: • IP reputace • Real-time Blackhole List • Recurrent Pattern Detection •~98% úspěšnost detekce spamu •karanténa a Spam Digest •skenuje SMTP, POP3, IMAP
Licence: Web Application Firewall
Firewally/IPS nejsou schopny ochránit webové aplikace před neznámými hrozbami
Tradiční FW
WAF ochrana na Cyberoam UTM chrání webové aplikace a webové Webový & servery před útočníkyDatabázový aplikační server server bez signatur (tzn. bez aktualizací)
Cyberoam UTM s WAF ochranou
intuitivní detektor toku (automatické přizpůsobení změn na stránce) ochrana proti zranitelnostem definovaných OWASP top 10 SSL Offloading monitoring & reporting
Blokování neautorizovaného přístupu
Finanční úspory není nutné kupovat dedikovaný HW pro WAF
Jednoduchost nasazení
Síť organizace Nevyžaduje změny ve stávajícím nastavení
Virtual Private Network (VPN)
Podpora mobilních VPN klientů
Podpora: IPSec, L2TP, PPTP, SSL VPN
Podporované platformy
Threat Free Tunneling (TFT)
MacOS
- skenování provozu ve VPN na malware, spam, nevhodný obsah, útoky Rozšířené možnosti
iOS Android iOS
- Failover: MPLS - VPN - Failover: VPN - VPN SSL VPN client/clientless - zdarma
IPSec VPN L2TP VPN PPTP VPN
Android L2TP VPN
Filtrace webového obsahu
velmi obsáhlá URL databáze 44 miliónů URL v 82+ kategoriích kontrola přístupu k HTTP/HTTPS stránkám blokování google cache blokace vnořených URL blokace stránek s malwarem detekce & blokace proxy, tunelů
Internet
Proxy Proxy Allowed Malware Google Blocked Embedded Web & Website Web Websites hosting cache Websites URLs 2.0 Tunneling HTTP 2.0 / HTTP/ pages sites HTTP HTTPS sites HTTPS /HTTPS
Update webových kategorií Cyberoam Security Center
Filtrace webového obsahu
navýšení produktivity řízením přístupu na nechtěné webové stránky
databáze webových kategorií přímo na zařízení rychlejší přístup anonymita kontrola proti úniku dat
blokování nahrávání souborů na web. stránky prevence ztráty produktivity (reporty založené na identitě) přizpůsobení zpráv zobrazených uživateli
Správa šířky pásma/QoS
politiky lze navázat na
User/Users User group
Firewall Rule
Web Category
Application
Vysoká dostupnost, minimalizace času výpadku
vysoká dostupnost (High Availability) - režimy nasazení: Active-Active & Active-Passive - HA box se kupuje pouze s 8x5 support licencí (úspora na licencích) - redukce SPOF, maximalizace uptime správa více internetových přípojek - Správa více WAN a WWAN (3G/4G, WiMax) přípojek s definicí podmínek překlopení - active-active nebo active-passive nasazení - gateway failover do VPN
Sales Dept.
ISP1 (10 mbps)
Dev. Dept.
Finance Dept.
MPLS
ISP2 (5 mbps)
ISP3 (3G) (3 mbps) Failover Link
Wireless (WLAN) - bezpečnost aplikace definovaných politik na WLAN větší výkon, vyšší hustota pokrytí díky 3x3 MIMO technologii
- dual band: 2.4 GHz nebo 5 GHz L8 ve WLAN - politiky v dynamickém IP prostředí založené na identitě - SSID = FW zóna
- MAC-based filtrace
Engineering Marketing
Sales
File server
Internet
ADS
ERP
Ochrana soukromí uživatelů – 4-Eye authentication
prevence proti zneužití práv IT administrátora a sledování už. aktivit
2 přístupy: Authorizer a Administrator
SMS autentizace
vhodné pro hotspoty, letiště, hotely, korporátní kanceláře hosté spadají do definované skupiny s určitými oprávněními přístupové údaje jsou zaslány prostřednictvím SMS
SMS pro hostovský přístup
hotely
letiště
Novinky – OS 10.6.1 – IPv6 revoluce
podpora nasazení v Dual Stack režimu podpora tunelování provozu (přenos IPv4 trafficu přes IPv6 a opačně): 6in4, 6to4, 6rd, 4in6
DHCPv6, DNSv6
dynamická (802.3ad) / statická linková agregace na IPv6
HA clustering (active-active/active-pasive) na IPv6
firewallová pravidla na IPv6
prevence DoS a SPoF
L8 ověřování uživatele na IPv6
podpora šifrovaného (SSL/TLS) spojení s LDAP/AD
Novinky – OS 10.6.1 – IPv6 revoluce
Cyberoam Dynamic DNS (podpora DynDNS, ZoneEdit, EasyDNS, OrgDNS, DnsPark)
IPS politiky na IPv6
iAccess – autentizace iOS/Android (od 4.4) klientů
podpora virtualizační platformy KVM a XEN (dříve jen VMware_ESXi, MS_HyperV) balancování zátěže na vstupních linkách založené na DNS podpora logování a reportování IPv6 traficu, uživatelů a bezpečnostních pravidel podpora protokolu ICAP pro možnost integrace DLP (DataLossPrevention), antivirových a cache/proxy řešení třetích stran
Virtuální… Realita
Strategie virtualizace: Datová centra
Výhody jednodušší správa serverové infrastruktury redukce nákladů snížená spotřeba el. energie snadno škálovatelný systém s možností rozšíření
Bezpečnostní výzvy v prostředí virtualizace
skenování InterVM provozu -
Riskujeme útoky cílené na:
Hypervisor management console Hypervisor & hostovský OS
Exploitace virtualizovaných web-aplikací Potřeba řešení bezpečnosti vehackery virtuálním prostředí Ochrana virtuálních serverů proti průniku Řízení uživatelského přístupu -
nelze provést skenování provozu mezi VM s externím bezpečnostním řešením jediná kompromitovaná VM může ovlivnit své okolí
vazba mezi přístupem ke službám a využití sítě s uživatelskou identitou
Bezpečnostní HW nemůže nabídnout inline ochranu -
toky jsou neviditelné; vytvoření slepých míst v síti nelze provádět forenzní analýzu
Cyberoam – virtuální appliance
virtuální rovina skenuje definovaný provoz ve virtuálním prostředí VM1
VM2
VM3
Apps
Apps
Apps
Windows OS
Linux OS
jiný OS
Hypervisor Hardware
Bezpečnostní aspekty • SI firewall • IPS • Antivirus • Anti-spyware & Anti-spam • Webová filtrace • Řízení aplikací •Cyberoam Web Application (WAF) VirtualFirewall UTM appliance • Virtual Private Network • Logging & Reporting
• L8 bezpečnost založená na identitě
Bezpečnost ve virtuálním datovém centru
vSwitch
Internet vSwitch
Cyberoam vUTM vSwitch
administrator
Řešení firemní/MSSP bezpečnosti
Kompletní řešení virtuální bezpečnosti BO/zákazník n BO/ zákazník 3 BO/ zákazník 2 BO/ zákazník 1
MSSP + poskytovatel hostingových služeb
zákazník1
Internet
Central Console & Logging /Reporting
vSwitch Cyberoam vUTM
vSwitch
Cyberoam vUTM
zákazník 2
vSwitch
vSwitch
vSwitch vSwitch
Cyberoam vUTM
vSwitch
zákazník 3
administrátor vSwitch Cyberoam vUTM
ISP jako MSSP
zákazník 1
Internet
R1
R4
vUTM - zákazník 1
vUTM – zákazník 2
ISP R3
Switch vUTM – zákazník 3
R2
zákazník 2
Virtuální Cyberoam poskytuje
Ochranu pro virtualizované sítě -
ochrana hypervisor management console, hypervisor & Guest OS
-
skenování Inter-VM provozu
Komplexní zabezpečení -
Jednoduchost nasazení -
škálovatelnost = realokace počtu vCPUs (upgrade se provede zadáním aktivačního klíče)
Compliance Management -
konsolidované bezpečnostní řešení na jedné virtual appliance
zobrazení výsledků v přehledných reportech (on-appliance)
Centrální management pro virtuální & fyzické appliance -
centrální správa prostřednictvím jednotného rozhraní CCC (Cyberoam Central Console)
dostupný jako Virtual CCC nebo HW CCC
Podporované virtualizační platformy
VMware ESX/ESXi Workstation VMware Player
Microsoft Windows Hyper-V
Linux KVM
Linux XEN server
Podporované virtualizační platformy
Cyberoam Virtual UTM - modely
Model
Licencování
CRiV-1C
nejvýše 1vCPU
CRiV-2C
nejvýše 2vCPU
CRiV-4C
nejvýše 4vCPU
CRiV-8C
nejvýše 8vCPU
CRiV-12C
nejvýše 12vCPU
Získejte 30 denní FREE demo Cyberoam Virtual appliance na www.cyberoam.com
Cyberoam vitual UTM - licence
Cyberoam Virtual UTM appliance range Subscriptions
CRiV-TR (30days Trial)
CRiV-1C
CRiV-2C
CRiV-4C
CRiV-8C
CRiV-12C
Supported vCPU
32
1
2
4
8
12
IPS
●
○
○
○
○
○
Gateway Anti-Spam
●
○
○
○
○
○
Gateway Anti Virus
●
○
○
○
○
○
Outbound Spam Protection
●
○
○
○
○
○
Web and Application Filter
●
○
○
○
○
○
Web Application Firewall
●
○
○
○
○
○
Support
●
○
○
○
○
○
(8x5)
(8x5/24x7)
(8x5/24x7)
(8x5/24x7)
(8x5/24x7)
(8x5/24x7)
● k dispozici
○ volitelně
Cyberoam Virtual UTM - upgrade
1.
3.
2.
Systém podpory pro partnery
Web Support
Technical Account Manager (TAM) dedikovaný pro daný region
Chat Support
Email Support
Knowledge base
Systém podpory pro zákazníky Web Support
Chat Support
Email Support
Phone Support
Knowledge base
Školení a certifikace
CYBEROAM CERTIFIED NETWORK & SECURITY Professional (CCNSP)
CYBEROAM CERTIFIED NETWORK & SECURITY EXPERT (CCNSE) CYBEROAM CERTIFIED TRAINER (CCT)
Předprodejní partnerská podpora
Inicializační fáze
Technologické konzultace / prezentace
Rezervace projektu u dodavatele
Analýza / Audit sítě (PS) / RF analýza (PS)
Web based demo
Plánování a design
Odborné konzultace / školení
Návrh / volba prvků i sítě
Testování, zápůjčky, simulace v LABu
Design konfigurace
Návrh financování
Finanční leasing
Operativní leasing
Realizace a poprodejní partnerská podpora
Realizace (PS) / Podpora implementacím partnerům
Implementační plán
Projektová koordinace s partnerem
Technická podpora implementace / Konfigurace
Projektová dokumentace
Testovací provoz a akceptační testy (PS)
Servisní podpora implementace
Finální fáze (PS)
Partnerské SLA
Technická podpora
Monitoring / Dohled ve spolupráci s partnery
Marketingová podpora
Vzorový report
Popis řešení UTM Cyberoam
Otázky na zákazníka
Testovací hardware
Prezentace / pre-sales podpora ve Vašich barvách
Reference
Finanční služby
Výrobní průmysl
Vládní instituce
Vzdělávání
Farmaceutický průmysl
Telecom & ISP
Reference
Hotely
Maloobchody/ Služby
Ostatní
IT & média
Certifikace
ICSA Certified Firewall
IPv6 Ready
Member of Internet Watch Foundation
UTM Level 5: Cyberoam holds a unique & complete UTM certification
Firewall
ICSA Certified High-Availability
VPNC Certified for Basic VPN & AES Interoperability
Premium
VPN
Anti-Virus
Premium
Anti-Spyware
Premium
EAL4+ - 12.září 2013 Anti-Spam
URL Filtering
IPS/IDP
Děkuji za Vaši pozornost Alternetivo s.r.o. Žirovnická 2389 106 00 Praha 10
Kontakty: jméno
Recepce: +420 221 771 881 Fax: +420 221 771 882 O2: +420 724 610 000 T-mobile: +420 739 960 120 Vodafone: +420 773 881 800 e-mail:
[email protected]
