Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Güvenli Networkler Secure Networks™

Benzer bir sunumlar


... konulu sunumlar: "Güvenli Networkler Secure Networks™"— Sunum transkripti:

1 Güvenli Networkler Secure Networks™

2 2 AJANDA Enterasys Networks Günümüz ve 21.YY networkleri Enterasys Secure Networks™ Kavramı ve Mimarisi Enterasys Secure Networks™ Çözümü Soru - Cevap

3 3 Enterasys Networks Kuruluş: 1983 (Cabletron Systems) Teknoloji Firması —640 Patent —Teknoloji Lideri Ürün ailesi  EN akıllı networkler —İletişim (Networking) Alanında Derin Tecrübe —Güvenlik Alanında Tecrübe 2300 Çalışanı We Build The World’s Most Secure Enterprise Networks

4 Intrusion Response Quarantine Policy Distribution Layer Policy Allocation/ Multi-User Authentication Matrix X terabit- speed, secure core router Flexible, stackable switching family extends Secure Networks™ to edge cost effectively 2 nd Generation Secure Networks™ Technology 3 rd Generation1 st Generation 2005 RoamAbout Wireless Switch Seamless Secure Networks across wired and wireless environments Integrated Intrusion Detection and Prevention across the enterprise Enterasys Innovation & Technology Leadership 1995 Developed first solution using directory-enabled networking and policy-based management (SecureFast™) 1999 Launched Dragon intrusion detection software for enhanced enterprise wide security 2001 First standards- based policy networking solution (UPN) Co-authored 802.1X user authentication standard Introduced host- and network-based intrusion defense system 2002 Secure Guest Access policy solution Centrally- administered Acceptable Use Policy solution 2003 New generation of policy- capable switches (Matrix N- Series DFE) NetSight ASM brings automated security management to switched infrastructure Dragon offers adaptive pattern matching to enhance intrusion detection 1990 Launched first multivendor, distributed management platform (SPECTRUM)

5 5 TEKNOLOJİ : Günümüz ve 21. YY Networkleri 21 st Century Networking Traditional Networking Focus Capacity Connectivity ContinuityContextControl Compliance Consolidation Cost Security Intelligence Continuity Kesintisiz ve Her zaman Önceden Belirlenmiş kurallar çercevesinde İletişim Context Servisler, İş Süreçleri ve kişiler arasındaki iletişim (communication flows) olarak algılanmalıdır. Control Sistemin karalaştırılmış politikalar çerçevesinde işletilmesi. Compliance Digital Bilginin, kurum ve dışı düzenleyiciler tarafından (HIPAA- Sağlık, BASEL-2 Finans) öngörüldüğü şekilde güvenliğinin ve iletişiminin sağlanacağını garantilemek (Right People have access to right things) Consolidation Tüm iletişim ihtiyaçlarını karşılayabilecek tek bir güvenli yapı —Data - Voice / VoIP -Video

6 6 21.YY Networkleri Value End-to-End Bandwidth Assurance On-Demand Response Capability Flow-Based Forwarding and Granular Edge Control Authenticated Role- Based Policy Management Total Network Visibility Elements CONTEXT CONTINUITY CONTROL COMPLIANCE CONSOLIDATION

7 7 Güvenli Networklerin Özellikleri Bugün itibari ile uygulanabilir olmalıdır - Kişiler - Güvenlik - Network Görünürlülük - Kim, Ne, Ne zaman, Nerede, Neden - - Kullanıcı, Cihaz, Bölüm, Protokol, Uygulama - Güvenlik politikaları en küçük birime kadar uygulabilmeli - Sistem seviyesinde yönetim - Otamatik Karar Verme Mekanizması (Belirle, Önle) - Entire network infrastructure - Complements existing security measures Kimlik & Kontext Zekazı Politikalar Kolayca Uygulanabilmeli Merkezi, En küçük Birim Kotrolu Uyumluluk Kolay Yönetilebilirlik Dinamik Cevap Verme ve Önleme - Standartlar desteklenmeli

8 8 Secure Networks™, Enterasys Networks’ün, “networking” ve”security” kavramlarına kendine özgü ve şu anda benzeri olmayan (unique) yaklaşımının ve teknolojisinin adıdır. Secure Networks™, “Flow-based Anahtarlama Mimarisi (Switching Architecture)” ile “Güvenlik ve Yönetim Yazılımları”nı tek bir çatı altında toplayarak, tüm network yapısının (network infrastructure) kontrolünün merkezi ve otomatik olarak gerçekleştirilebilmesini sağlamayı hedeflemektedir Secure Networks™

9 9 Enetarsys Secure Networks yaklaşımı ile networkümüzü oluşturan tüm birleşenler merkezi ve otomatik kontrol amaçlı olarak tek çatı altında birleştirilir : Secure Networks™ Elemanları security-enabled switching, wireless ve routing mimarisi güvenlik yönetim yazılımı İleri seviye güvenlik uygulamaları NetSight Enterprise Management Merkezi Yönetim & Kontrol Dragon Threat Defense İleri Seviye Güvenlik Uygulamaları Security- Enabled Infrastructure Matrix, SecureStack, RoamAbout Centralized Command and Control Security-Enabled Infrastructure distribution core data center wireless edge Advanced Security Applications

10 10 Secure DNA: Enterasys Ürün Ailesi Uçtan Uca Ürün Ailesi LAN EDGELAN CORENETWORK MANAGEMENT REMOTE & BRANCH LOCATIONS LAN DATA CENTER Matrix N-Series & E-Series Standalone Matrix E-Series V-Series WAN Stackable Matrix V-Series RoamAbout Wireless X-Pedition Matrix N-Series & E-Series X-Pedition Matrix N-Series & E-Series Regional XSR Matrix N-Series & E-Series Standalone Matrix E-Series V-Series Stackable Matrix V-Series RoamAbout Wireless Dragon Server NetSight Atlas Policy Manager Inventory Manager Security Manager Console VPN NIDS Branch XSR Servers

11 11 Secure Networks™ Mimarisi Erişim Kotrolu networkteki kullanıcı ve cihazların Politikaları Oluştur ve Uygula kullanıcılar için cihazlar için Tesbit & Lokalize Güvenlik saldırıları ve anormallikleri Centralized Command and Control Security Enabled Infrastructure distribution core data center wireless edge Advanced Security Application Proactive Önleme saldırı ve uyumsuzlukları Cevap ver & İyileştir güvenlik açıklarını belirle

12 12 “Enterasys is clearly the market leader. Its network quarantine engine is well ahead of most competitors, and it has done an excellent job with integration of network security functions.” - Forrester Research, Securing the Campus Network (Sep 2004) …and the Leader in Securing The Network Secure Campus Lan Secure Campus LAN

13 13 Saldırıya Açık Network Yapısı – Network Security Branch/Remote Office CORE INTERNET Data Center VPN DMZ SOHO/ Mobile Office Anti-Virus/Personal Firewall VPN Firewall IDS CODE RED SO BIG.F NIMBDA BLASTER SLAMMER Kişisel Firewall Antivirus Firewall

14 14 Enterasys Secure Networks Branch/Remote Office CORE INTERNET Data Center VPN DMZ SOHO/ Mobile Office Anti-Virus/Personal Firewall VPN Firewall IDS CODE RED SO BIG.F NIMBDA BLASTER SLAMMER Kişisel Firewall Antivirus Firewall

15 15 Secure Networks Çözümü Secure Networks™

16 16 Acceptable Use Policy: Geçerli Kullanıcı Politikası —Network ve IT servislerinin nasıl kullanılacağının belirleyen Güvenlik Modeli (Access Control) Secure Application Provisioning : Güvenli Servisler —Kullanıcı ve Kullanıcı gruplarına güvenli servisler sağlanmalı. Secure Guest Access : Misafir Kullanıcı Politikası —Temel servislerin misafir kullanıcılara güvenli şekilde verilmeli. Dynamic Intrusion Response : Dinamik Saldırı Tesbit ve Cevap —Otomatik olarak saldırı karşısında çözüm ve cevap üretme Trusted End-System : Güvenilir son Nokta (kullanıcı, cihaz..) —Kullanıcı ve cihazların networke dahil edilmeden önce güvenirlilik kontrolünden geçirilmesi Secure Networks™ Çözümü

17 17 Acceptable Use Policy Dynamic Intrusion Response Secure Guest Access Secure Application Provisioning Single Sign-On Additional Security Solutions Secure Networks™ Çözümü Trusted End System

18 18 Secure Networks™ : — İş rollerini modelleyerek — Network yöneticisine politikaları uygulama güçü vererek — İş Servislerine (Uygulamalar, Protokoller, Network kullanımı,..) erişim şekil ve yöntemlerini izleyip ve/veya değiştirerek Politika Bazlı Network’lerin (Policy Enabled Networking) oluşturulabilmesine imkan sağlamaktadır. Business Policy Rules Business Services Business Users Secure Networks™ Çözümü

19 19 Netsight Policy Manager Mimarisi Bilişim Dilinin, İş Dünyasında ifadesi = İş Dilinin, Bilişim Dünyasında İfadesi Classification Rules Services Roles Rule 1Rule 2Rule 3Rule 1Rule 2Rule 3Rule 1Rule 2Rule 3Rule 1Rule 2Rule 3 Application Provisioning Authenticated Supplemental Privileges Threat Management Secure Guest Access Enterprise Access Enterprise User Guest Access Administrator

20 20 NetSight Atlas Policy Manager

21 21 Enterasys Networks Acceptable Use Policy (AUP) çözümü, network ve ilişkili IT Servisleri’nin işletme içerisindeki organizasyonlar tarafından nasıl kullanılması gerektiğini tarif edet kural ve politikalar kümesidir. Bu küme Netsight Policy Manager’da tanımlanır model oluşturulur. Modellemede şirketin güvenlik politikaları baz alınır Acceptable Use Policy (AUP) RFC (2196)’da tanımlanmaktadır Acceptable Use Policy

22 22 Güvenlik KaygılarıKarşılık “5Cs” Elemanları İşiniz/İşletmeniz son zamanlarda virüs veya wormlardan etkilendi mi? Networkünüz, güvenlik ve kullanım konusunda siz gibi davranıyor ve kararlar verebiliyor mu? Control —Sürdürülebilir ve sürekli role-based policy yönetimi Networkünüz, kritik iletişim (mission-critical communications) ile kritik olmayan iletişimi (non-mission-critical traffic) ayırt edebiliyor mu ? Continuity —End-to-end bandwidth garantisi (QoS) Acceptable Use Policy Network sürekli kotrol (Control) altında tutulmalı ve kesintisiz iletişim (Continuity) sağlanmalı

23 23 Acceptable Use Policy – Nasıl Çalışır 1. Güvenlik Politikaları merkezi olarak NetSight Atlas Policy Manager™ ile oluşturulur 2. Politikalar son kullanıcı ve sunucu bağlantı noktalarına dağıtılır ve ilgili portlara uygulanır 3. Güvenlik politikaları, istenmeyen trafik, protokol ve bilinen tehditler filtrelenerek networke girmeleri engellenir 4. Politikalar aynı zamanda belirli trafik tipleri ve flowlara hız sınırları (rate limit) koyabilir LAN EDGE LAN CORE NETWORK MANAGEMENT REMOTE/BRANCH LOCATIONS WAN Core Router NIDS Servers (some with HIDS) LAN DISTRIBUTION

24 24 Acceptable Use Policy Step 1: Create Enterprise Access role as defined by Acceptable Use Policy Business Service Network Infrastructure Matrix Access DeviceClient SystemUser Create AUP Role - Central administration of entire enterprise security policy. One “click” and a security policy is enforced across the whole enterprise NetSight Atlas Policy Manager 1. ROL’ü Tanımla

25 25 Acceptable Use Policy Step 2: Deploy to enterprise access ports Business Service Network Infrastructure Access DeviceClient SystemUser Enforce – Güvenlik Politikası doğrudan portlara uygulanır. Gereksiz uygulama, trafik ve bilinen saldırıların networke girmesi engellenir. NetSight Atlas Policy Manager 2. Enterprise Access Module 1 Ports 2-46 Module 2 Ports 1-72 Kullanıcı/Erişim Portuna Rolu Uygula

26 26 LAN CORE NETWORK MANAGEMENT WAN Core Router NIDS Servers (some with HIDS) Erişim Anahtarları Chassis Based Matrix N-Series Stand Alone Matrix E1-Series Matrix C2 Matrix B2 Wireless RoamAbout Dağıtım Anahtarları Chassis Based Matrix N-Series Erişim Anahtarları Chassis Based Matrix N-Series Stand Alone Matrix E1-Series Matrix C2 Matrix B2 Wireless RoamAbout AUP tüm networke başından sonuna uygulanır Network Management NetSight Atlas Policy Manager Acceptable Use Policy Overlay

27 27 Secure Application Provisioning Secure Application Provisioning, networkte kullanılan servis ve uygulamalara güvenlik ve Quality of Service (QoS) politikalarını dinamik olarak uygular. Secure Application Provisioning, kullanıcıların farklı Quality of Service ihtiyaçlarının karşılanmasını sağlar —Örnek: A kullanıcısı SAP R/3 yüksek öncelikle B kullanıcısı düşük veya hiç ulaşamama haklarına sahip olabilir Kullanıcıların ihtiyaçları ve servislere ulaşım öncelikleri iş politikaları ve iş süreçlerindeki fonksiyonları ile tanımlanır

28 28 Secure Application Provisioning Güvenlik KaygılarıKarşılık “5Cs” Elemanları Networkünüz farklı kullanıcı gruplarının servisleri kullanımını ayırıştırıp farklılaştırabilmekte mi? Consolidation —Toplam network visibility Networkünüz, kritik iletişim (mission- critical communications) ile kritik olmayan iletişimi (non-mission-critical traffic) ayırt edebiliyor mu ? Continuity — End-to-end bandwidth garantisi (QoS) Sektörünüzün tüm dinamiklerini ve sınırlamalarını biliyor musunuz? Compliance —On-demand response kapasitesi

29 29 Sürekli ve on-demand politikalar merkezi olarak yönetilir — Acceptable Use Policy — Servislere farklı seviyelerde ulaşım — Uygulamalara farlı (L2/3/4) QoS — Güvenli kaynak kullanımı Service Level Agreements (SLA) Kritik iş fonksiyonları (mission critical business functions) belirlenir ve ilgili servisler önceliklendirilir Yeni iş servisleri ve uygulamaların kolayca adaptosyanı sağlanır Secure Application Provisioning

30 30 Secure Application Provisioning Kullanıcı Bazlı Doğrulama (Authentication) İletişim Kontrolu ve Role göre politika uygulanır Kullanıcının üstlendiği ROLE göre Sınıflama Kuralları (Classification rules) kullanıcı trafiğine uygulanır Client Authentication: - EAP - Web-Based - MAC-Based RADIUS Client to Server Authentication Access Allow/Deny & Filter-ID Attribute with Role Assignment RADIUS Server Engineer Network Infrastructure Access DeviceClient SystemUser SAP R/3 HTTP SNMP Video Voice High Priority Low Priority Rate Limited Highest Priority & Rate Limited Filtered

31 31 Secure Guest Access Secure Guest Access misafir kullanıcıların musade edilen IT kaynaklarına belirlenen politikalar dahilinde network üzerinden erişimlerini sağlayabilme yetisi Problem : Network güvenliği göz ardı edilerek misafir kullanıcılar bir VLAN’a atanmakta. Aynı VLAN içerisinde yer alan kullanıcıların da birbiri için tehdit olabileceği gerçeği göz ardı edilmekte. Bu nedenle, cihazlar VLAN ataması yanında misafir kullanıcıların protokol-based olarak networke dahil olmalarını sağlayabilmelidir

32 32 Secure Guest Access Güvenlik KaygılarıKarşılık “5Cs” Elemanları Networkünüz, networkünüzü kullanan tüm kullanıcıların iş süreçlerindeki rollerini (yönetici, muhasebeci, araştırmacı..) anlayabilmekte midir? Context —Flow-based forwarding ve en küçük son noktaya kadar kontrol Risk yüzünden bazı kullanıcıların netwörkünüzü kullanmasını yasaklıyor musunuz? Consolidation —Toplam network visibility

33 33 Mevcut Misafir Kullanıcı Networkleri Kimlik Dorulaması yapılamayan kullanıcılar “Misafirt” VLAN’ına atanır —Birden fazla Misafir VLANı gerekebilir (Konferans Salonları, Eğitim Salonları..) Merkezi Olmaya Yönetim —“Misafir” VLANları tüm anahtarlarda tanımlanmalı Misafir kullanıcıların birbilerine saldırıları engellenememektedir. Switch Guest VLAN Guest “A” Guest “B”

34 34 Enterasys Secure Guest Networking “Misafir Erişim” ROLE’u kimlik doğrulaması yapılamayan kişiye atanır Filitreler (classification rule) ile misafirlerin birbirinin trafiğini görmesi ve birbirilerine tehdit oluşturmaları engellenir Merkezi Yönetim Guest “A” Guest “B” Policy-Enabled Switch

35 35 Dynamic Intrusion Response (DIR) Enterasys donanım ve yazılımlarını kullanarak saldırı ve güvenlik problemlerini tesbit ve gereken karşı hareketi yapabilme yeteneği Dynamic Intrusion Response, network cihazları ve mimarisi içine gömülmüş güvenlik teknolojilerini kullanarak problemleri tesbit edip dinamik olarak networkü yeniden yapılandırır. Dynamic Intrusion Response

36 36 Dynamic Intrusion Response Güvenlik KaygılarıKarşılık “5Cs” Elemanları İşiniz/İşletmeniz son zamanlarda virüs veya wormlardan etkilendi mi? IT problemi oluşmaması için proaktive yöntemler geliştirmiş olmanıza rağmen hala networkünüzü birşeylerin etkileyebileceğini düşünüyor musunuz ? Control —Authenticated role-based policy management Networkünüz bir saldırıyı veya problemi çözerken, problem sırasında da doğru iletişimi sağlayabilir mu? Network servislerinde bir problem oluşması durumunda, servisleri mümkün olduğunca kısa sürede devreye alabiliyor ve kontrol edebiliyor musunuz Continuity —End-to-end bandwidth garantisi

37 37 DIR Çözümü Birleşenleri Akıllı Network Cihazları —Enterasys Matrix C2, B2, E-Series ve N-Series switchler Security policy Yönetimin —NetSight Atlas™ Policy Manager Intrusion detection ve event management —Dragon™ Network Sensor ve Enterprise Management Server (EMS) Event kaynak Tesbiti ve Cevap Yönetimi - NetSight Atlas™ Console with Automated Security Manager (ASM)

38 38 Dynamic Intrusion Response Business Service Network Infrastructure Matrix™ Access Device Client System User Response – Güvenlik ihlali ile ilgili tepki (response) kaynağa uygulanır. (Disable port, enforce Quarantine policy, rate limit, etc.). NetSight Atlas™ Policy Manager Quarantine Policy Tanımlama – Merkezi olarak karantina politikaları oluşturulup networke dağıtılır Dragon™ Intrusion Detection Intrusion Detection – Networke girmeye çalışan bir güvenlik ihlal olayı tesbit edilir. NetSight Atlas™ Console With Automated Security Manager Event Notification – Güvenlik İhlali Automated Security Manager’a bildirilir. ASMda önceden tanımlanmış aksiyonlar bulunmaktadır. Location and Enforcement – Güvenlik İhlalilin başladığı fiziksel port tesbit edilir ve önceden tanımlanmış tepki/cevap fiziksel porta iletilir.

39 39 —Network ve bağlanan sistemler arasında “güvenli ilişki” olması esasına dayanır —Son kullanıcınnoktasında bir anormallik oluşması durumunda, son kullanıcı otomatik olarak karantina altına alınır —Merkezi olarak kontrolü ve yönetimi yapılır Trusted End-System NetSight Atlas Policy Manager RADIUS Server Network Infrastructure Enterasys Matrix Switch End System User Assessment Server (RADIUS Proxy) MAC / IP NetSight Atlas Automated Security Mgr

40 40 BUNLARI YAPABİLMEK İÇİN BİLMEK ZORUNDA OLDUKLARINIZ : - İletişim ağınızda yer alan tüm cihazları - Tüm kullanıcı tiplerinizi - Bilgilerinizin olduğu yerleri - Update politikalarınızı YAPMAK ZORUNDA OLDUĞUNUZ : Güvenlik konusunda tüm kullanıcılarınızı eğitmek zorundasınız

41 41 SORULAR ANKARA ve İSTANBUL’daki LABlarımızda SECURE NETWORK™ ÇÖZÜMÜMÜZÜ TEST EDEBİLİRSİNİZ

42 42 TEŞEKKÜR EDERİZ


"Güvenli Networkler Secure Networks™" indir ppt

Benzer bir sunumlar


Google Reklamları