Bezpieczna mobilno

rozwizania WatchGuard
Technologies
Marcin Klamra
CCNS SA

17 padziernika 2012, BIN GigaCon Wrocaw

Agenda

Mobilno

BYOD

Jak czsto Polacy uywaj prywatnego sprztu do celw

subowych?
(rdo: opracowanie wasne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)

BYOD

Gwny powd wykorzystania prywatnego sprztu w pracy.

(rdo: opracowanie wasne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)

BYOD

Jakie zdaniem pracownikw stwarzaj oni zagroenie

poprzez stosowanie prywatnych urzdze do celw
subowych?
(rdo: opracowanie wasne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)

BYOD

Czy naruszysz/naruszye zakaz uywania urzdze

prywatnych jeli polityka firmy zabrania tego?
(rdo: opracowanie wasne na podstawie COMPUTERWORLD nr 21/972 28/08/2012)

BYOD
Uywanie platform
mobilnych to wiele
zagroe:

Problemy zero-day w iOS.

Wysyp Malware w Google
Play.
Botnety dla Symbiana.
Hakowanie RIM w
Blackberry.

BYOS
Pracownicy chc korzysta ze znanych
im usug:

Dropbox
Gmail
Google Docs
Facebook
Twitter
Skype
Gadu-Gadu

BYOS

Wikszo
administratorw
Visibility tools
takie jak
wie co si
dzieje pomaga
w ich s
plication
Control

BYOS

Polityki bezpieczestwa bazujce na

tosamoci:

BYOS

Szczegowy monitoring
(Visibility means Security)

BYOS
Wykrywanie nieautoryzowanych sieci
wifi:

Nieustanne skanowanie eteru.

Wyszukiwanie obcych sieci.
Powiadamianie administratora.
802.11 a.
802.11 b.
802.11 g.
802.11 n.

BYOS

IP over DNS:

Prba zestawiania tunelu VPN (OpenVPN)

na porcie 53.
Proxy filtrujce.
Tunelowanie ruchu IP w zapytaniach DNS.
Przykadowe rozwizanie: NSTX.
Stworzone w celu korzystania z patnych
sieci bezprzewodowych na lotniskach itp.
Monitorowanie: Visibility means Security.

BYOS

IP over DNS:

BYOS

IP over ICMP:

Tunelowanie ruchu w komunikatach ICMP

(echo-request, echo-replay).
Przykadowe rozwizanie ICMPTX.
Stworzone w celu korzystania z patnych
sieci bezprzewodowych na lotniskach itp.
Ping Tunnel tuneluje TCP w ICMP.
Monitorowanie: Visibility means Security.
IP over anything?!

BYOS

IP over ICMP:

Bezpieczny zdalny
dostp

Trends Driving Adoption

of SSL VPN
Rozproszona
sie

WatchGuard SSL

The challenge

Wygoda i produktywno

Dostp z dowolnych urzdze kiedykolwiek i gdziekolwiek:

Dostp z wykorzystaniem dedykowanego klienta i bez niego.

Wsparcie dla typowych tuneli i pracy w trybie kiosk.

Redukcja kosztw

Wszystko w jednym urzdzeniu.

EaseofUse

WatchGuard solution

Oszczdno czasu i minimalizacja iloci

bdw

Niezawodna autentykacja

Integracja istniejcych systemw autentykacji.

Dwustopniowa autentykacja z wykorzystaniem hase jednorazowych
wysyanych na telefon komrkowy.

Raportowanie i wygodny dostp

SSL gr

rdo: Info-Tech Research Group. Vendor Landscape: Secure Socket

Layer Virtual Private Network (SSL VPN). Sierpie 2011.

Rozwizania
sprztowe

Czym jest XTM

eXtensible Protection

Filtracja HTTPS, bezpieczestwo VoIP, TCP/UDP

proxy, Application Control, kontrola dostpu na bazie
tosamoci, globalne raportowanie, 8 proxy filtrujcych,
ochrona przed spamem, ochrona antywirusowa, IPS,
VPN.

eXtensible
Management

CLI, WebUI, GUI, zarzdzanie wieloma

urzdzeniami z wykorzystaniem rl, clustering ,HA/AA
oraz HA/Active N, analiza wydajnoci.

eXtensible Networking
Capabilities

Firewall warstwy 2 (przezroczysty), wsparcie dla ruchu

multicast, przekierowanie HTTP, QoS, traffic shaping, VLAN,
dynamiczny routing, MultiWAN, dostp zdalny z
wykorzystaniem IPSec, SSL i PPTP, Policy Based Routing,
Server Load Balancing

Urzdzenia XTM 25/25-W, XTM 26/26-W

Przepustowo firewalla 110 - 350Mbps

Przepustowo VPN 35 - 55 Mbps

Ilo jednoczesnych sesji od 10000 do 30000

Obsuga od 10 do 30 statycznych tuneli VPN IPSec

Obsuga od 5 do 40 tuneli mobilnych IPSec

Obsuga od 1 do 25 tuneli mobilnych SSL

Separacja piciu sieci fizycznych (tzw. EXTERNAL, TRUSTED i OPTIONAL)

Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP

Zarzdzanie ruchem i QoS

Wersja z interfacem bezprzewodowym 802.11n

Opcjonalne oprogramowanie XTM Pro (Multi-WAN, SSL VPN)

29

Urzdzenia XTM 33/33-W, XTM 330

Przepustowo firewalla 850

Przepustowo VPN od 100 Mbps do 150 Mbps

Ilo jednoczesnych sesji 40000

Obsuga 50 statycznych tuneli VPN IPSec

Obsuga od 5 do 55 tuneli mobilnych IPSec

Obsuga 55 tuneli mobilnych SSL

Separacja od 5 do 7 sieci fizycznych

Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP

Multi-WAN, Server Load Balancing

Traffic Shaping i Quality of Service

Fire Cluster (XTM 330) redundantny tryb pracy dwch urzdze

30

Urzdzenia XTM 515, XTM 525, XTM 535, XTM 545

Przepustowo firewalla od 2 Gbps do 4,5 Gbps

Przepustowo VPN od 250 Mbps do 750 Mbps

Ilo jednoczesnych sesji od 40000 do 350000

Obsuga od 65 do 600 statycznych tuneli VPN IPSec

Obsuga od 75 do 1000 tuneli mobilnych IPSec

Obsuga od 65 do 600 tuneli mobilnych SSL

Separacja do 7 sieci fizycznych

Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP

Multi-WAN, Server Load Balancing

Traffic Shaping i Quality of Service

Fire Cluster redundantny tryb pracy dwch urzdze

31

Urzdzenia XTM 810, XTM 820, XTM 830

Przepustowo firewalla od 3 Gbps do 5 Gbps

Przepustowo VPN od 1 Gbps do 1,7 Gbps

Ilo jednoczesnych sesji od 500000 do 1000000

Obsuga od 1000 do 6000 statycznych tuneli VPN IPSec

Obsuga od 600 do 8000 tuneli mobilnych IPSec

Obsuga od 1000 do 6000 tuneli mobilnych SSL

Separacja do 10 sieci fizycznych

Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP

Multi-WAN, Server Load Balancing

Traffic Shaping i Quality of Service

Fire Cluster redundantny tryb pracy dwch urzdze

32

Urzdzenie XTM 1050

Przepustowo firewalla 10 Gbps

Przepustowo VPN 1,6 Gbps

Ilo jednoczesnych sesji od 1250000

Obsuga 7000 statycznych tuneli VPN IPSec

Obsuga 15000 tuneli mobilnych IPSec

Obsuga 15000 tuneli mobilnych SSL

Separacja do 16 sieci fizycznych

Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP

Multi-WAN, Server Load Balancing

Traffic Shaping i Quality of Service

Fire Cluster redundantny tryb pracy dwch urzdze

33

Urzdzenie XTM 2050

Przepustowo firewalla 20 Gbps

Przepustowo VPN 1,6 Gbps

Ilo jednoczesnych sesji od 2500000

Obsuga 10000 statycznych tuneli VPN IPSec

Obsuga 20000 tuneli mobilnych IPSec

Obsuga 20000 tuneli mobilnych SSL

Separacja do 18 sieci fizycznych

Proxy: HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP

Multi-WAN, Server Load Balancing

Traffic Shaping i Quality of Service

Fire Cluster redundantny tryb pracy dwch urzdze

34

SSL VPN Gateway

Urzdzenie SSL VPN jest atwym w uyciu, kompletnym, oferujcym wiele
funkcjonalnoci, charakteryzujcym si nisk cen rozwizaniem
przeznaczonym dla maych i rednich organizacji.
Urzdzenie all-in-one

Mnogo sposobw
autentykacji
Rne metody dostpu
Ochrona maszyn klienta i
infrastruktury

Bardzo szybkie i atwe wdroenie.

Zawiera wszystkie elementy. Nie ma koniecznoci dokupowania
dodatkowego oprogramowania.
Prostota nawet autentykacja moe by lokalna.

Moliwo integracji z istniejcym systemem autentykacji.

Generowanie hase programowo i poprzez SMS dla dwustopniowej
autentykacji.

Elastyczno dostpu: z wykorzystaniem dedykowanego klienta

programowego oraz bezporednio przez przegldark.
Wsparcie dla systemw Linux, Mac OS, Windows (take Vista i 7).

Sprawdzian systemu operacyjnego, poprawek, ochrony antywirusowej.

Czyszczenie maszyny klienta przy zakoczeniu sesji,
cznie z czyszczeniem pamici cache.
Dokadna kontrola praw dostpu.

Urzdzenia SSL 100, SSL 560

Obsuga odpowiednio do 100 i do 500 jednoczesnych kanaw

transmisyjnych

Usuga autentykacji.

Portal z zasobami.

Portal administracyjny.

Logowanie i raportowanie.

Dedykowane oprogramowanie dostpne dla systemw Linux, Windows i Mac

OS.
Moliwo dopasowania wygldu portalu z zasobami, tak aby wyglda
spjnie z witrynami firmy.
Urzdzenie wyposaone jest w dysk twardy 80GB pozwalajcy na
przechowywanie zasobw bezporednio na urzdzeniu.
36

Czym jest XCS

DLP

Filtrowanie ruchu poczty oraz www. Kontrola

zacznikw, czytanie dokumentw w locie, wyszukiwanie
zabronionych zwrotw i wzorcw, sowniki, znakowanie
dokumentw, kontrola przesyanych treci.

Rnorodno akcji

Blokowanie ruchu, przesyanie kopii ruchu do osoby

odpowiedzialnej, kwarantanna, szyfrowanie ruchu w
locie, usuwanie fragmentw przesyanych treci,
przekierowanie transmisji.

Ochrona ruchu www

oraz poczty

Ochrona antywirusowa, antymalware (do wyboru dwa

programy antywirusowe), ochrona bazujca na reputacji
(Reputation Enabled Defense), ochrona antyspamowa, DLP
dla ruchu poczty oraz www.

Urzdzenia XCS 170, 370, 570

Ochrona poczty i www.

Od 250 do 1000 uytkownikw.

Od 12000 do 48000 wiadomoci na godzin.

WebMail.

Filtrowanie zawartoci.

Analiza kontekstowa.

Data Loss Prevention.

Replikacja kolejek pocztowych.

Klastrowanie urzdze.

Centralne zarzdzanie.

Urzdzenia XCS 770, 970, 1170

Ochrona poczty i www.

Od 4000 do 10000 uytkownikw.

Od 75000 do 150000 wiadomoci na godzin.

WebMail.

Filtrowanie zawartoci.

Analiza kontekstowa.

Data Loss Prevention.

Replikacja kolejek pocztowych.

Klastrowanie urzdze.

Centralne zarzdzanie.

Rozwizania
wirtualne

Wirtualizacja to oszczdnoci

Problemy z przejciem na wirtualizacj

Problemy z przejciem na wirtualizacj

Rozwizanie problemw

Rozwizanie problemw

XTMv
Wersja
Small Office
Medium Office
Large Office
Datacenter

Rdzenie CPU
1
2
8
brak ogranicze

Pami (GB)

Ograniczenia

Przepustowo 200 Mbps

50 tuneli VPN
30000 pocze

Przepustowo 2,5 Gbps

600 tuneli VPN
350000 pocze

Przepustowo 5 Gbps
6000 tuneli VPN
1000000 pocze

brak ogranicze

Przepustowo b. o.
10000 tuneli VPN
2500000 pocze

XCSv
Wersja

Rdzenie
CPU

Pami
(GB)

Interfejsy
sieciowe

Sesje
SMTP

Ilo
uytkownik
w

Small
Office

75

100

Medium
Office

250

500

Large
Office

500

2000

Datacenter

500

5000

O firmie WatchGuard

O firmie WatchGuard

Zaoona w 1996 roku.

Pionier sprztowych rozwiza bezpieczestwa.
Siedziba w Seattle, ponad 400 pracownikw.
Ponad 600 000 urzdze dostarczonych klientom na caym
wiecie.

Warto rozwiza XTM lider rynku

Q1 2012 ($)

10

12

Usugi

Usugi podstawowe
Wdraanie rozwiza firmy
WatchGuard

Pomagamy przy projektowaniu i doborze

zabezpiecze sieci
Asystujemy podczas procesu konfiguracji
urzdze
Weryfikujemy poprawno konfiguracji
klienta

Autoryzowane szkolenia

Posiadamy tytu WatchGuard Certified

Training Partner
Prowadzimy szkolenia certyfikujce WCP
52

Wynajem bezpieczestwa

Tani dostp do najnowszych technologii

Wsparcie techniczne specjalistw w zakresie
bezpieczestwa

Miesiczna opata wynajmu

Dwuletnia lub trzyletnia umowa

Przeduenie umowy na preferencyjnych warunkach

Moliwo wykupienia urzdzenia po upyniciu okresu

umowy na atrakcyjnych warunkach
Moliwo rozbudowy funkcjonalnoci urzdzenia
w kadym momencie
53

Programy Trade-Up, Trade-In

Wymiana starszego urzdzenia firmy WatchGuard na rozwizanie klasy

XTM firmy WatchGuard na preferencyjnych warunkach Trade-Up.
Wymiana podobnego*) urzdzenia innego producenta na rozwizanie
klasy XTM firmy WatchGuard na preferencyjnych warunkach Trade-In.
*) Urzdzenie jest podobne, gdy jego podstawow funkcjonalno stanowi jedna z
poniszych:
zapora sieciowa (firewall), terminator tuneli VPN, filtr treci stron WWW, filtr
antyspamowy,
skaner antywirusowy, itp.

54

Pytania?

Dzikuj za
uwag!
security@CCNS.pl