BEZPEČNOST (BEZ)DRÁTU Martin Macek,
[email protected]
O nás
KDO? • • • •
Společnost zaměřená na bezpečnost počítačových sítí Certifikovaní odborníci Společnost založena roku 2009 Jsme LIR, vlastníme AS a prefixy IPv4 i IPv6
CO? • • • • •
Implementace bezpečnostní prvků (firewally, switche, bezdráty) Správa síťové infrastruktury, monitoring MSSP služby (datové centrum) Troubleshooting, analýzy Poradenství, konzultace
JAK? •
Individuálním přístupem k zákazníkovi hledáme optimální řešení jeho požadavků
Kdo NEJSME
Nejsme ISP
• Nějaké ISP budete potřebovat pro využití našich služeb Nespravujeme koncové stanice • …ale i tak jsou v bezpečí
Občas se střetáváme s realitou • Často jsme žádáni o správu desktopů … :[ • Čemu nerozumíme to neděláme • Na práci mimo náš záběr doporučujeme naše partnery
Historie
Start „Network People“ motto
MSSP provider
• Služby pro ISP • Řešení na míru
• VM, FG, VPN, FML • Cloudové služby
2009
2010
Managed Security • • • •
Služby datacentra (IaaS) Zaměření na Fortinet Vývoj FAAS technologie Profi bezpečnostní služby
2011
Používané technologie
Portfolio služeb
Professional/Managed Services • Bezpečnost sítí: Návrh, Instalace, Provoz, Monitoring, Rozvoj Datacenter Services
• Implicitní ochrana součástí všech služeb • Virtual Private Servers • Možné šifrování dat • Virtualní firewally • Virtuální sítě, VPN • Ochrana mailové komunikace • Server housing • Webhosting
Datové centrum
Služby datového centra: Praha, Coolhousing + GTS (dohled 24x7)
Konektivita: NIX + zahraničí 1Gbps, redundantní FortiGate: firewall cluster, single boxy FortiMail: virtuální appliance, redundantní na úrovni VMware
FortiAnalyzer: logování, zákaznické reporty Disková pole: prostor pro virtuální servery, privátní úložiště
Typické požadavky zákazníků
Propojení poboček
Zamezení úniku dat z firmy
Filtrování obsahu webu Antivir ochrana sítě Nevyžádaná pošta
Virtuální servery
Řízení přístupu dle skupin v AD
Omezené investice Potřeba připojení mobilních zařízení
Práce z domova
Monitoring provozu sítě
Nedostatek IT specialistů Ochrana vlastní DMZ
Uživatelské VPN
MSSP
Výhody
• Minimální počáteční investice • Rychlá realizace • Pružná změna nastavení služby dle potřeb zákazníka • Rovnoměrné rozložení nákladů • Dostupnost služby z celého internetu Nevýhody
• Závislost na internetové konektivitě • Technické vybavení je majetkem poskytovatele služby
Obecné schéma připojení zákazníka k MSSP službě
Pobočky jsou na službu připojeny pomocí VPN mezi routerem zákazníka a datovým centrem. Klíčovým faktorem pro kvalitu MSSP služby je spolehlivé internetové připojení zákazníka.
Pravá ruka je těžká, cítíte se uvolněně
Případová studie - školství Zadání zákazníka Výchozí stav Omezené investice internet 10/10 Mbit Filtrování obsahu webu přístup na internet bez omezení Vazba bezpečnosti na Windows doménu bezdrátová síť mikrotik Nevyžádaná pošta pošta bez antispamu či na veřejných Nedostatek IT specialistů serverech Potřeba připojení mobilních zařízení nedostatek IT specialistů Práce z domova webové projekty školy u různých poskytovatelů hostingů nemožnost vzdáleného přístupu do LAN ŘEŠENÍ: 90+ uživatelů LAN MSSP služba včetně routeru Navýšení konektivity na 20/20 Mbit Definice politik přístupu Kantor /Student Webfilter (pornografie, P2P sítě, omezení Facebooku…) Antivir, IPS Zavedení antispamu FortiMail Vzdálený přístup do školní sítě (SSL VPN portál) Zřízení bezdrátové sítě Aruba Sjednocení správy domén a webových projektů
Případová studie – firemní zákazník Zadání zákazníka Výchozí stav Propojení poboček internet 50/50 Mbit bez zálohy Redundance klíčových prvků LAN přístup na internet bez omezení Revize infrastruktury LAN bezdrátová síť bez centrální správy a Filtrování obsahu webu omezení, pouze několik AP Vazba bezpečnosti na Windows doménu pošta bez antispamu Nevyžádaná pošta software firewall Potřeba připojení mobilních zařízení IT oddělení řeší operativu, nemá Vzdálený přístup dodavatelů k LAN specializaci nemožnost vzdáleného přístupu do LAN ŘEŠENÍ: 350 uživatelů LAN Provedena analýza infrastruktury a bezpečnosti Navýšení konektivity na 100/100 Mbit, zřízení záložní konektivity Segmentace LAN dle analýzy Pořízení firewall clusteru, core switchů Redundance všech klíčových míst v LAN Migrace pravidel ze SW firewallu do FortiGate Zavedení antispamu FortiMail Vzdálený přístup do sítě pro dodavatele, obchodníky (SSL VPN portál) Centrálně spravovaná bezdrátová síť v rámci celé společnosti
FortiGate
FortiGate UTM
FortiGate UTM – aplikační kontrola
FortiGate VPN
Závěr
Děkuji Vám za pozornost
