Převezměte kontrolu nad bezpečností sítě s ProCurve
Tomáš Kubica Solution Architect
© 2007 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Co přináší ProCurve Networking Čím se lišíme od ostatních? Návratnost investic
Poměr cena/výkon
Snadnost použití
Správa, sjednocené řešení
Bezpečnost
Bezpečná řešení od spolehlivého partnera
Spolehlivost
Vysoká dostupnost a doživotní záruka
Otevřenost, flexibilita
Otevřenost díky průmyslovým standardům
ProCurve Proactive Defense
Inteligentní kraj sítě Adaptive Edge Architecture •
Každý jednotlivý port nebo bezdrátový přístupový bod dokáže aplikovat politiky podle identity (NAC) či reagovat na podezřelé události • • • • •
• •
4
Izolace uživatelů (VLAN) Garance běhu aplikací (QoS) Ochrana před přetížením (Rate-limit) Filtrace datových toků (ACL) Detekce virového chování (Virus Throttling) Podklady pro analýzu provozu (sFlow) Mirroring do IPS
•
Distribuovaný princip pro škálovatelnost a cenovou efektivitu
•
Zabudované funkce
Servers
Intelligent EDGE
Wireless Clients
with Virtual per Port Distributed Processors
Interconnect Fabric (IF) Clients
Clients
High performance forwarding fabric
Internet/ Intranet
Wireless Clients
Command from the Center
ProCurve ProActive Defense Proaktivní přístup • Adaptive Network Edge • Precizní kontrola přístupu • Centrálně řízené nastavení pravidel pro přístup přímo na krajních prvcích
Integrované řízení Firemní požadavky
Monitoring Reporty
Obrana • Bezpečná infrastruktura • Zabudovaná kontrola síťové imunity • Reakce na události prováděná plně inteligentními krajními prvky sítě Authenticated Access
Trusted Access
Politiky
Statistiky Události
Uncontrolled Access Intelligent EDGE
Interconnect COMMAND FROM THE Fabric CENTER High performance forwarding fabric
Vynucování pravidel a obrana na kraji sítě Port nebo přístupový bod, do kterého je uživatel připojen je ideálním místem pro jeho ověření, vynucování pravidel a detekci podezřelého chování Distribuovaný princip pro optimální výkon a funkce v místě připojení Řízení z centrálního místa s reálnou aplikací bezpečnosti na kraji – Adaptive Edge Architecture
Servers
Intelligent EDGE Internet
Clients Clients
COMMAND FROM THE CENTER
Wireless Clients Per-Port Distributed Processors
Analogie bezpečnosti v letecké přepravě
Ověření identity
Test způsobilosti pro přepravu
Řízení přístupu a prioritizace (např. pro první třídu) GATE 37
Sledování chování
Pilot Co-Pilot
Reakce při podezřelých událostech
ProCurve ProActive Defense pro sítě
GATE 37 Pilot Co-Pilot
Přihlášení Test integrity uživatele do připojeného sítě klienta
Dynamická aplikace VLAN, ACL, kvality služby a omezení propustnosti
Sledování chování a detekce anomálií
Automatická reakce na základě vytvořených politik
ProCurve Access Control Solution 2.0 Kompletní snadno spravovatelné řešení pro řízení přístupu do sítě pro ochranu firemní sítě i vzdálených poboček
ProCurve Manager Plus (PCM+) 2.2 s Identity Driven Manager (IDM) 2.2
• Přístup podle role, skupiny uživatele • Test integrity klienta (softwarová výbava, hot-fixy OS, antiviru apod.) včetně přípravy pro Microsoft NAP
ProCurve Network Access Controller 800
• Jednoduchá instalace a správa z jednotné grafické konzole ProCurve NAC Endpoint Integrity
• Reportování přístupů a neúspěšných pokusů • Zabudovaný RADIUS server • Řešení, které padne od malých až k velkým firmám
Agent License
Test integrity ProCurve NAC 800 Testování klientů, například na • Test aktuálnosti bezpečnostního software (antivir, anti-spyware, firewall apod.) • Test aktuálnosti OS (hot-fixy OS, service packy, Office) • Bezpečnostní nastavení (makra v Office, nastavení prohlížeče, aktualizace) • Zakazáné či vynucené programy či služby (kontrola podle registrů, běžících služeb) • Kontrola P2P aplikací (např. ICQ, DC++ apod.)
Network Immunity Solution Network Based Anomaly Detection
• Přímá součást PCM+ • Integrace s IDM a PMM • Politiky podle lokality • Zabudovaná detekce anomálií (NBAD) • Sledování útočníka • Zakreslení událostí do mapy topologie • Zneškodnění hrozby • Reportování
Akce z Be čn pe
• Karanténa • Omezení propustnosti • Zákaz MAC adresy • Vypnutí krajního portu • Kopie podezřelých dat do IPS • Emailové zprávy • Notifikace
tn os íu ti los dá
Me In trik fu form y, s sF nkc ace tati sk Lo í p w řep ze z y, č a V ín ab ita iru ačů ud če ov sT an hr ýc ot h t li ng
Obrana kraje vnitřní sítě, tam kde se připojují uživatelé
ProCurve PCM v2.2 Plus a NI Manager
• Pasivní detektor (akce přes NI) • UTM
Podezřelý provoz
Bezpečnostní analyzátory třetích stran
• ProCurve Manager • Network Immunity Manager NBAD/sFlow detekce útoků IDS/IPS/UTM alerts
sFlow samples Virus Throttling alert Reakce přímo na krajním portu
Nakažený klient
Příklad nasazení Network Immunity pro detekci anomálií a podezřelých stavů s reakcí přímo na krajním portu sítě
• ProCurve Manager • Network Immunity Manager NBAD/sFlow detekce útoků SNMP trap
IDS/IPS/UTM alerts
Reakce přímo na krajním portu
UTM inline TAP
Příklad nasazení UTM systém chrání vyčleněný server, ne však interní komunikaci klientů. UTM detekuje útočníka a předává informaci do Network Immunity, které reaguje přímo na krajním portu, kde je útočník připojen.
Nakažený klient
• ProCurve Manager • Network Immunity Manager NBAD/sFlow detekce útoků IDS/IPS/UTM alerts
Automatická rekonfigurace sítě pro přeposílání podezřelých dat Reakce přímo na krajním portu
SNMP trap sFlow samples Virus Throttling alert
Kopie podezřelých dat Nakažený klient
Příklad nasazení Network Immunity detekuje anomálie a podezřelé stavy a automaticky rekonfiguruje síť pro přeposlání kopie útočníkových dat do IDS/IPS/UTM. Ten potom předává výsledky analýzy do Network Immunity a to reaguje přímo na krajním portu sítě.
• ProCurve Manager • Network Immunity Manager NBAD/sFlow detekce útoků IDS/IPS/UTM alerts
sFlow samples Virus Throttling alert
UTM inline TAP
Komplexní řešení Část sítě zahrnuje čistě detekci útoků v Network Immunity (například studenti), část sítě využívá přesměrování do UTM (učitelé) a současně se vyhodnocují bezpečnostní hlášení z UTM chránící server.
Nakažený klient
Výhody ProCurve Network Immunity • Kontrola imunity sítě přímo na krajních portech analýzou dat ze zabudovaných funkcí přepínačů • Reakce na bezpečnostní událostí přímo na krajním portu sítě • Vytvoření IPS z celé sítě • Žádná uzká hrdla, data nemusí proudit přes pomalé a drahé analyzátory • Možnost využití stávajících analyzátorů třetích stran – ty pak pracují pouze s podezřelými daty, nikoli s běžným provozem • Cenová efektivita a škálovatelnost
9Bezpečná infrastruktura 9Řízení přístupu 9Imunita sítě 9Sledování provozu 9Reportování a audity
Převezměte kontrolu nad bezpečností sítě