Kontrola a řízení přístupu k Internetu

Vaše jistota na trhu IT

Kontrola a řízení přístupu k Internetu. Chraňte své "dobré" zaměstnance před děláním "špatných" věcí na Internetu . Dušan Krása, ICZ a.s. 08/06/2007, Pardubice

www.i.cz


Magický WEB Web Browser Has Become the Universal Client

But Brings Business Risks! Security Network Abuse Webmail Viruses Spyware Phishing Encrypted Attacks Malicious Mobile Code Instant Messaging

P2P media sharing Audio/Video Streaming Spyware Skype

Inappropriate Use Web surfing Instant Messenger P2P file sharing Hidden SSL Sessions

Odpovědí je monitorovat a ne jen blokovat www.i.cz


Uživatelská komunikace Aplikace

Uživatel

Access P2P Viruses IM/Skype SSL Cost Content

Internal or External

Compliance Bus. Apps Spyware

Internal or External

Co potřebuje Administrátor pro kontrolu, monitorovaní a řízení provozu www.i.cz


Hlavní výhody proxy CONTROL PROTECT • Prevent spyware, malware & viruses • Stop DoS attacks • IE vulnerabilities, IM threats

+

• Fine-grained policy for applications, protocols, content & users (allow, deny, transform, etc) • Granular, flexible logging • Authentication integration

+

ACCELERATE • Multiprotocol Accelerated Caching Hierarchy (MACH) • BW Shaping, Compression, Protocol Optimization • Byte, Object & Predictive Caching

Full Protocol Termination = Total Visibility & Context (HTTP, SSL, IM, Streaming, P2P, SOCKS, FTP, CIFS, MAPI, Telnet, DNS)

Ultimate Control Point for Web Communications www.i.cz


Blue Coat řešení ►Blue Coat Proxy SG ►Blue Coat Proxy AV ►Blue Coat Webfilter ►Blue Coat Reporter

Performance

Security

www.i.cz


Jak zabezpečit WWW komunikaci Intranet Web Server Internal Network

www.i.cz

Public Web Server

Public Internet


Proxy – Blue Coat SG ► Software proxy ● ● ● ●

Obtížnější správa ( operační systém, aplikace ) Nižší škálovatelnost řešení Omezené možnosti autentizačních metod Nekomplexní řešení: web applications e.g. Streaming, P2P, Instant Messaging, další

► Blue Coat Proxy Appliances ● ● ● ●

Jednoduchá správa: centrální management , centrální update Vysoká škálovatelnost řešení. Podpora široké palety autentizačních metod ( IWA , SSO , LDAP, Radius ). Kontrola a podpora nejčastějších protokolů: HTTP, HTTPS, FTP, SOCKS, Telnet, DNS, Real Streaming, Microsoft, Streaming, QuickTime and Instant messenger (AOL, MS, Yahoo, SameTime) and Peer-to-peer.

www.i.cz


Jak zabezpečit WWW komunikaci Intranet Web Server

Public Web Server

p

Internal Network

o

Public Internet

n AAA: User logs onto network n and is authenticated via NTLM, AD (Single-Sign-on), MS Kerberos, LDAP, Radius, Forms, local password, RSA.

Processing Engine: o Policy All user web application requests are subjected to granular security policy

Filtering: Requests p Content for content are controlled using content filtering based on granular policy

www.i.cz

.


Kontrola obsahu ► Blue Coat WebFilter ● Vysoká míra přesnosti databáze ● Podpora dynamic – rating ( garance odpovědi do 200 ms )

► Kategorizační engine součastí SGOS ● Internet Watch Foundation ● Blue Coat WebFilter ● Ostatní dodavatelé ( SurfControl , Websense , … )

► Blue Coat SG kontrola obsahu ● ● ● ●

Omezeni upload souborů Kontrola/přepisování/mazání hlaviček Kontrola MIME types & file extensions Potlačení/náhrada aktivního obsahu ( javascript , ActiveX )

Blue Coat WebFilter on Blue Coat SG combines high-quality URL filtering and comprehensive web content controls for unmatched performance and security. www.i.cz



Public Web Server

p

Internal Network

o

n

Public Internet

q

AAA: User logs onto network n and . Web Virus scanning: is authenticated via q Potentially harmful content NTLM, AD (Single-Sign-on), MS Kerberos, LDAP, Radius, Forms, local password, RSA



www.i.cz

entering network from web is scanned by ProxyAV


Antivirus - Blue Coat Web AV ► Purpose-built Web threat scanning appliance ● Výběr z několika antivirových engine s podporou automatického update ● Integrace se zařízením Blue Coat SG s vysokou mírou škálovatelnost , výkonnosti

► Scans HTTP, HTTPS & FTP protokoly ● “Scan Once and Serve Many” výhoda scanování cache ● Heuristic fingerprint on non-cacheable web objects for performance gain ● Detekce virů , trojské logiky , SpyWare , AdWare ….

Blue Coat AV 510 Series 10/100 Base-T

www.i.cz

Blue Coat AV 810 Series 10/100/1000 Base-T Dual



Public Web Server

p

Internal Network

o

r

Public Internet

q

n

AAA: User logs onto network n and . Web Virus scanning: is authenticated via q Potentially harmful content NTLM, AD (Single-Sign-on),


MS Kerberos, LDAP, Radius, Forms, local password, RSA



www.i.cz

r

Spyware: Gateway Spyware prevention and reporting.


Spyware ochrana ►

Stops spyware installations

►

Blocks spyware websites

►

Scans for spyware signatures

Internet

ProxySG

►

Reports suspect systems

Internal Network

www.i.cz

ProxyAV



Public Web Server

p o

Internal Network

n

r

Public Internet

q

s






www.i.cz

r


s IM Traffic Control: IM traffic is subjected to policies and is logged


IM kontrola pomocí Blue Coat ProxySG

► Granularita kontroly IM ● Kontrola na základě skupiny nebo uživatele ( ICQ číslo ) ● Kontrola na základě vlastností protokolu (IM only, chat, attachments, video, etc.), internal or external IM, time of day, etc. ● IM options include deny connection, strip attachment, log chat (including attachment) ● Key word actions include send alert to IT or manager, log, strip, send warning message to user

► Česká republika ● Nejznámější a nejpoužívanější protokol je ICQ ● 12/2006 - 1 500 000 unikátních uživatelů ( Atlas ICQ 590 000 unikátních uživatelů )

www.i.cz



Public Web Server

p o

Internal Network

n

rt

Public Internet

q

s






www.i.cz

r



t

SSL Security: Traffic decryption, scanning and certificate validation


Kontrola HTTP/SSL ASP

External Apps

Blue Coat SG

• • • • •

Správa uživatelských SSL komunikace Kontrola validity certifikátů ( server , uživatel ) Terminace SSL komunikace pomocí proxy Kontrola obsahu SSL ( URL , Virus ) Akcelerace SSL Accelerates overall SSL performance up to 10X

Corporate Network

Internal Users

Blue Coat SG Restores IT Visibility and Control and Makes SSL Safe Again www.i.cz



p o

Internal Network

n

u

rt

Public Internet

q

s






www.i.cz

r

Public Web Server



t u

SSL Security: Traffic decryption, scanning and certificate validation Quality of Service Compression, Bandwidth management, Caching, and Streaming Caching and Splitting.


Blue Coat Reporter

www.i.cz


Blue Coat SG Appliance ENTERPRISE POLICY MANAGEMENT

Technology Partners Blue Coat AV

Services

On-Proxy URL Filtering

Web Anti-Virus

AntiSpyware

IM, Streaming Skype & P2P Control

Policy

Policy Processing Engine

Proxy

Authentication, Authorization, Logging

Custom OS

Reverse Proxy

SGOS™ Æ Object-based OS with Caching

Architectural Foundation for Web Security www.i.cz


Modelové řady

SG8100 Series

Corporate Headquarters

SG810 Series AV810 Series SG510 Series Remote Offices

Connected Users WAN Throughput

www.i.cz

AV510 Series SG200 Series

Up to 250 users

100 – 2000 users

1000 – 50,000+ users

Up to 15Mbps

15Mbps – 80Mbps

80Mbps – 300+ Mbps

Performance


Blue Coat ochrana citlivých dat

Internet

Blue Coat SG

PREVENT

Internal Network

www.i.cz

Blue Coat AV

► Blokování odchozí komunikace spyware ► Prosazení metod kontroly komunikace IM, P2P, Streaming ► Integrace se systémy ochrany data ● #1 – je společnost Vontu ● Monitorování / blokování a práce s citlivými daty ● Kontrola komunikačních protokolů HTTP, HTTPS, FTP


Ochrana web serverů ► Ochrana Web serverů ● Kontrola přístupu k www serveru ● Ochrana proti nahrání škodlivého kódu v souborech ( vir , spyware , .. )

Users

Internet

► Akcelerace obsahu Web serveru ● ● ● ● ●

Ochrana ve špičkách ADN Anti DoS Prevention Validace HTTP komunikace Ovládání dynamického and statického obsahu HW akcelerace SSL komunikace

Blue Coat SG Blue Coat AV

► Efektivní správa ● škálovatelná, výkonná appliance ● Cost-effectively scales Web servers

Data Center Web Servers

www.i.cz


Nejčastější problémy a dotazy ► Antivirová ochrana, SpyWare ochrana ► Tunelování provozu ► Blokování nevhodného obsahu ● Pornografie, hacking, online hry ● EXE, DLL, CAB soubory ● Multimediální soubory ( mp3 , MPG , AVI , FLV , … )

► Web Free Mail ● Obchází standardní systém elektronické pošty ● Obcházení kontroly Antivir , Antispam , kontrola obsahu ( přípony souborů, MIME ) ● Problém - odeslat soubor ( dokumenty, obrázky, videa ) ● Perlička z praxe provozu proxy

www.i.cz


Perlička z praxe

www.i.cz


Perlička z praxe

www.i.cz


Perlička z praxe

www.i.cz


Perlička z praxe ►WHOIS RIPE.NET ► ► ► ► ►

inetnum: netname: descr: country: admin-c:

193.179.32.0 - 193.179.39.255 ICZ-CENTRAL ICZ a.s. CZ PN7-RIPE

►NSLOOKUP ► ► ► ► ►

C:\Documents and Settings\Administrator>nslookup 193.179.36.134 Server: pitwall.localdomain Address: 192.168.1.1 Název: brana.i.cz Address: 193.179.36.134

www.i.cz


K9 Web Protection ►URL filtering na domácím PC ● 03/2007 - 219,901 uživatelů ● 06/2007 - 277,463 uživatelů nárůst o + 26%

►Zdarma ke stažení ● http://www.k9webprotection.com

277,463

www.i.cz


Otázky a odpovědi

Dušan Krása [email protected] +420 244 100 111 ICZ a.s. Divize sítě www.i.cz www.i.cz

www.i.cz


Děkuji za vaši pozornost

Dušan Krása [email protected] +420 244 100 111 ICZ a.s. Divize sítě www.i.cz

www.i.cz

Kontrola a řízení přístupu k Internetu

Recommend Documents