NGFW + IPS + anti-APT + BYOD = Sophos UTM 9.2 Balogh Viktor – TMSI Kft.
[email protected] CISM, Sophos UTM Architect, FireEye Certified Engineer antidotum 2014
Sophos UTM 9.1 tulajdonságai röviden • NGFW • Application Control • IPS • WAF • Web • Email • WiFi • RED (remote Ethernet)
2
következő (új) generációs tűzfal alkalmazás ellenőrzés behatolás detektálás web alkalmazás tűzfal web forgalom ellenőrzése email forgalom ellenőrzése vezeték nélküli hálózat biztonság távoli ethernet eszköz
alkalmazás ellenőrzés • Átjáró szintű alkalmazás ellenőrzés • Két féle működési mód: • Monitor – naplózzuk, majd riportokat készítünk, hogy ki milyen alkalmazásokat használ • Engedélyezés vagy tiltás – a riportok elemezve definiálható, hogy kinek milyen alkalmazás szükséges a munkájához, majd a nem kívánatosak tiltása • QoS – maximálni lehet az alkalmazások által használt sávszélességet • Az ellenőrzőtt alkalmazások listája: http://www.sophos.com/en-us/threatcenter/threat-analyses/controlled-applications.aspx
3
behatolás detektálás • Szignatúra alapú támadás figyelés • Különböző típusú kategóriák • Anti-DoS • Anti-Portscan
4
web alkalmazás tűzfal (WAF) • Belső web szerverek védelme • • • •
5
Cross site scripting (XSS) SQL injection Cookie signing Form hardening
web forgalom ellenőrzése • HTTPS forgalom ellenőrzése • Működési módok • Proxy, transzparens és teljesen transzparens • Hitelesítés • AD SSO, Agent, Basic • Anti-vírus ellenőrzés • File és MIME típus szerinti szűrés http://www.iana.org/assignments/mediatypes/media-types.xhtml • URL és URL reputáció alapú szűrés http://www.trustedsource.org • Web oldal kategória szerinti szűrés
6
email forgalom ellenőrzése • • • • •
7
Spam szűrés Anti-virus ellenőrzés File és MIME típus szerinti szűrés Felhasználó által kezelhető karantén Titkosítás • S/MIME • OpenPGP
vezeték nélküli hálózat biztonság • Több féle AP • Több SSID és hálózat szegmentálás • Mesh hálózat • Wireless Bridge • Wireless Repeater
• Hotspot 3 mód • Használati elfogadás • Napi jelszó • Használati igazolás (Voucher)
8
távoli ethernet eszköz • RED infrastruktúra alapjai
• Működési módok • Standard, split
9
új hálózat biztonsági tulajdonságok a közel jövőben CY 2013 Q1
Q2
CY 2014 Q3
Q4
Q1
9.2
9.2x
Q2
Q3
10.0
UTM 9.2 főbb újdonságai
UTM 9.2x
Hálózati biztonság
• UTM és a mobil eszközök integrációja.
• APT (C&C) • Sophos SXL AV • 2 faktoros hitelesítés
Mail • SPX/DLP
WAF • 2 faktoros hitelesítés
BYOD
Q4
BYOD és az UTM • Sophos Mobile Control-ról röviden • UTM és a Mobil eszközök integrációja • Wireless/VPN konfiguráció a Sophos Mobile Control segítségével • Hálózati hozzáférés vezérlése a Mobil eszköz megfelelőségének függvényében
11
email titkosítás és DLP SPX titkosítás • Az előre beállított feltételek alapján a levelet és a csatolmányt egy titkosított PDF csatolmányként lehet kiküldeni Címzett
Jelszó generálás
DLP – Adatszivárgás és szabály alapú email titkosítás
Régió és ország
Adattípus kiválasztása, pénzügyi, személyes, HIPAA
Szabály létrehozés: nem lehet kiküldeni, titkosítani, egy megadott személy értesítése, stb..
Sophos az APT-ről
Sophos az APT-ről : James Lyne videója
Az APT-ről röviden (I.) Az advanced persistent threat (rövidítve APT, magyarul fejlett állandó fenyegetés) egy olyan hálózati támadás, amelyben egy jogosulatlan felhasználó hálózati hozzáférést szerez és hosszú időn keresztül észrevétlen marad.
14
Az APT-ről röviden (II.) Egy APT támadás célja inkább az adatlopás, mint a károkozás a hálózat vagy a szervezet számára. Az APT támadások a nagy-értékű információval, adatokkal rendelkező vállalati szektorokat veszik célba. Ilyen például a nemzetvédelem, a gyártás és a pénzügyi iparág. Természetesen a támadások nem csak az előbb említett szektorokat érinthetik, hiszen mindenkinek más és más információ vagy adat lehet fontos és nagy értékkel bíró.
15
Az APT-ről röviden (III.) Egy APT támadó gyakran használ célzott adathalász támadást (spear-phishing, amely egy közösségi átverési típus), hogy hozzáférést szerezzen egy hálózathoz legitim módon. FONTOS: szignatúra alapú védelemmel nem lehet blokkolni az ilyen típusú támadásokat. Azaz a szignatúra alapú védelem szükséges, de NEM elegendő!
16
APT támadás fázisai
17
Kérdések? Balogh Viktor – TMSI Kft. CISM, Sophos UTM Architect, FireEye Certified Engineer antidotum 2014
[email protected]