Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí Simac Technik ČR, a.s. Praha, 5.5. 2011
Jan Kolář, Solution Architect
[email protected]
1
Hranice sítě se posunují Dříve - Pracovalo se v práci, poté padla - VPN připojení do firmy bylo luxusem - Stanice se připojovaly pouze do firemní sítě, kde byly chráněny
Nyní - Práci si nosíme domů, nebo pracujeme pouze z domova - Pro používání některých aplikací je VPN nutnost - Stanice se připojují kamkoli, kde je dostupný Internet
2
S mobilními uživateli přibývají nové starosti • • • • • •
Různé typy přístupu Různé typy mobilních zařízení Kapacita linky do Internetu Různá nastavení Kontrola obsahu web provozu Bezpečnost uložených dat
3
Jak to chceme vyřesit • Umožnit uživatelům bezpečný přístup s jakýmkoli zařízení, kdykoliv a odkudkoliv • Stejnou bezpečnostní politiku ve vnitřní síti i mimo ni • Stejnou bezpečnostní politiku nezávisle na způsobu připojení (LAN, Wifi, VPN) • Minimalizovat nároky na administraci řešení
4
Jaké jsou možnosti? 1. 2. 3. 4.
Zakázat přístup do jiných než korporátních sítí Vynucovat neustálé VPN připojení do firmy Využití služby v Cloudu – SaaS Hybridní řešení
5
Cisco Secure Mobility řešení Korporátní síť
Internet Web server Web Security Appliance
Zkontrolovaný URL dotaz
Internet
Always-on VPN tunel
Router
ASA
URL Dotaz
- Sestavení VPN a ověření identity uživatele, předání informací WSA - Uživatel se pokusí přistoupit na web server v Internetu
- Provoz je přesměrován z ASA na vnitřní router - URL dotaz je přesměrován na Web Security Appliance (WSA). Provoz je zkontrolován oproti uživatelské politice - Zkontrolovaný URL dotaz je přeposlán na web server do Internetu
Mobilní uživatel
Možné architektury zapojení Internet
All VPN Traffic
Always-on VPN tunnel
Anyconnect VPN User
Non HTTP/S Traffic
WCCP Device
ASA Inbound Internet Traffic
L2 Redirect of Web Traffic
Outbound Internet Traffic
Web Security Appliance
WCCP Router je připojený k WSA na L2 a přeposílá na ni web provoz Ostatní provoz je směrován na defaultní bránu dle směrovací tabulky WSA přeposílá odchozí web provoz na internetovou bránu a příchozí provoz na ASA (pomocí statických záznamů) 7
Komponenty řešení 1. Cisco Ironport Web Security Appliance (WSA) 2. Cisco Adaptive Security Appliance (ASA) 3. Cisco AnyConnect Secure Mobility Client
8
AnyConnect 3.0 - Funkce • • • • • •
IPSec a SSL VPN klient Nové uživatelské rozhraní Podpora IKEv2 Web Security se ScanSafe Network Access Manager Posture
http://www.cisco.com/en/US/ products/ps6742/ products_device_support_t ables_list.html
9
AnyConnect 3.0 - Security • Podpora – Windows, Linux, Mac OSX – Windows Mobile 5,6 & 6.1 – iPhone, iPad
• Šifrování – SSL with DTLS – IPSEC with IKEv2
• Funkce pro Secure Mobility – Optimal Gateway Selection – AlwaysON VPN – Trusted Network Detection
10
AnbyConnect 3.0 - Network Access Manager • Správce L2 spojení (Wired i Wireless) • Firemní i uživatelské sítě • Ověřování uživatelů i stanic – 802.1X – 802.1AE (MACsec) – Mnoho typů EAP
• Možnost pouze jednoho spojení v daný okamžik • Možnost funkce Auto-connect • Spuštění skriptu po sestavení spojení
11
AnyConnect nasazení – Profile editory • Profile editory jsou intergované do ASDM, nebo jako samostatné aplikace
VPN
Web Security
NAM
12
Cisco Ironport Web Security Appliance Web proxy cache
Bezpečnostní funkce - Reputační filtrování - Antimalware kontrola - Kontrola Web aplikací - Filtrování obsahu - HTTPS inspekce - Ověřování uživatelů - Reporting a tracking
13
Cisco Adaptive Security Appliance Výkonný firewall Kontrola přístupu Inspekce protokolů Ochrana proti síťovým útokům VPN koncentrátor (SSL, IPSec) Phone Proxy
14
SaaS platforma - ScanSafe
15
ScanCenter – správa a reporting Centrální správa politik Centrální reporting 75 reportovacích atributů
HTTP, HTTPS, FTP over HTTP Odchozí fitrování Pravidelné zasílání reportů Detailní dohledávání transakcí
16
AnyConnect Web Security se ScanSafe • Ochrana proti Malware • Vynucuje bezpečnostní politiky • Chrání uživatele i když není připojen přes VPN • URL dotaz obsahuje ověřovací údaje • Dotaz odešle do ScanSafe Cloud • Odpověd zkontroluje a vrátí zpět klientovi
17
AnyConnect hybridní řešení
Internet Traffic
VPN – Internal Traffic (optional) AnyConnect Secure Mobility
Podle čeho řešení vybírat? • Počet mobilních uživatelů • Jaké aplikace ve firemní síti musí být přístupné mobilním klientům? • Co chci řešit – Web cache, Antimalware, vynucování politik, únik informací • Vadí mi reporty a jejich data mimo vlastní infrastrukturu? • Využití zapojení již využívaných technologií • Licence
19
Dotazy?
20
