Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Güvenli Networkler Secure Networks™

YayınlayanCagatay Koca Değiştirilmiş 9 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "Güvenli Networkler Secure Networks™"— Sunum transkripti:

1 Güvenli Networkler Secure Networks™
Sizlerin kurumunuzun iletişim ortamını (enterprise networking) oluşturmada verdiğiniz kararlar oldukça önemlidir. Kararlarınız - İşmodelinizi (business model) desteklemeli ve uyumlu olmalıdır - Operasyonunuzu iyileştirmeli ve geliştirmelidir - Ve ölçülebilir sonuçlar ile yatırımın geri dönmesini sağlamalıdır (measurable ROI-Return of Invesment) Fakat günümüzde bunların yanında, kurumunuzun Güvenlik ihtiyaçları ve Politikaların da (security policies and requirements) adreslemeli ve çözüm sağlamalıdır. Güvenlik problemleri sebebiyle işletmelerde/kurumlarda işlerin aksadığına çok sık şahit olmaktayız. Enterasys Networks, yaklaşık 10 yıldan beri güvenliği sürekli ön planda tutarak ürünlerini tasarlamaktadır. Ve Enterasys Networks güvenliğin yeni bir problem olmadığını , fakat öneminin hergecen gün artan bir problem olduğunu ve çözüm olarak network cihazlarında ek özellikler ve kapasiteler olması gerektiğinin düşünmektedir.

2 AJANDA Enterasys Networks Günümüz ve 21.YY networkleri
Enterasys Secure Networks™ Kavramı ve Mimarisi Enterasys Secure Networks™ Çözümü Soru - Cevap

3 We Build The World’s Most Secure Enterprise Networks
Enterasys Networks Kuruluş: (Cabletron Systems) Teknoloji Firması 640 Patent Teknoloji Lideri Ürün ailesi EN akıllı networkler İletişim (Networking) Alanında Derin Tecrübe Güvenlik Alanında Tecrübe 2300 Çalışanı We Build The World’s Most Secure Enterprise Networks Enterasys, Cabletron Systems firmasının devamı durumundadır. Enterasys , tamamıyla Kurumsal müşterilerin ihtiyaçlarına yönelik çözümler üretmektedir.. 2000 yılında Enterays, Cabletron firmasından spun out oldu. Enterasys network ve güvenlik teknolojilerinin at başı gitmesi gerektiğini söyleyen ve bu yönde ürün portföyünü geliştiren ilk firmadır. Enterasys, bugün itibari ile 640 adet patent sahibidir, bunlar arasında multi-protocol routing, IGMP snooping sayılabilir. Enterasys, tamamıyla güvenli iletişime (secure communication) odaklanmıştır.

4 Enterasys Innovation & Technology Leadership
Secure Networks™ Technology 1st Generation 2nd Generation 3rd Generation 1990 Launched first multivendor, distributed management platform (SPECTRUM) 1995 Developed first solution using directory-enabled networking and policy-based management (SecureFast™) 1999 Launched Dragon intrusion detection software for enhanced enterprise wide security 2001 First standards-based policy networking solution (UPN) Co-authored 802.1X user authentication standard Introduced host- and network-based intrusion defense system 2002 Secure Guest Access policy solution Centrally- administered Acceptable Use Policy solution 2003 New generation of policy- capable switches (Matrix N-Series DFE) NetSight ASM brings automated security management to switched infrastructure Dragon offers adaptive pattern matching to enhance intrusion detection 2004 Intrusion Response Quarantine Policy Distribution Layer Policy Allocation/ Multi-User Authentication Matrix X terabit-speed, secure core router Flexible, stackable switching family extends Secure Networks™ to edge cost effectively 2005 RoamAbout Wireless Switch Seamless Secure Networks across wired and wireless environments Integrated Intrusion Detection and Prevention across the enterprise Spectrum—a multivendor, fully distributed management platform İlk directory-enabled networking ve policy-based management solution—SecureFast™. İlk ‘intelligence into the hardware’ yaklaşımıyla ürünlerini tasarlayan ve Layer 3/4 classification özelliklerini de routerlara taşıyan firmadır. Cihazlardaki bu akıllılık Secure Networks çözümünün kolayca tüm ürün portföyüne uygulanmasını sağlamıştır. 2002 yılından beri de ‘Acceptable Use Policy’ çözümüyle entegre tamamıyla standards-based policy networklerin oluşturulamsına konsantre olmuştur. Aynı zamanda ilk ‘Secure Guest Access Solution’ çözümünü de oluşturan ve sektöre sunan firmadır. İlk ‘Dynamic intrusion response’ çözümünü oluşturan ve sektöre sunan firmadır. Secure Terabit Networking - Secure core router—the Matrix X—, cihazını üretip sunan ilk firmadır. Secure Wireless çözümünü sektöre sunmuş ve politika bazlı networkleri wireless ortama taşımıştır. Enterasys Sentinel Trusted Access Manager and Gateway ürünü, proactive güvenlik çözümü sayesinde networke bağlanan tüm cihaz ve kullanıcıların doğrulandıktan sonra (authenticates) sonra ağa ulaşmalarını sağlamaktadır.

5 Security Intelligence
TEKNOLOJİ : Günümüz ve 21. YY Networkleri Continuity Kesintisiz ve Her zaman Önceden Belirlenmiş kurallar çercevesinde İletişim Context Servisler, İş Süreçleri ve kişiler arasındaki iletişim (communication flows) olarak algılanmalıdır. Control Sistemin karalaştırılmış politikalar çerçevesinde işletilmesi. Compliance Digital Bilginin, kurum ve dışı düzenleyiciler tarafından (HIPAA-Sağlık, BASEL-2 Finans) öngörüldüğü şekilde güvenliğinin ve iletişiminin sağlanacağını garantilemek (Right People have access to right things) Consolidation Tüm iletişim ihtiyaçlarını karşılayabilecek tek bir güvenli yapı Data - Voice / VoIP -Video Security Intelligence Continuity Context Control Compliance Consolidation 21st Century Networking Geçmişte, networkler bilginin bir yerden başka biryere aktarımını sağlayacak ortamlar olarak algılanırdı. Satınalma kriterleri de 3 temele dayanırdı: Connectivity— Network cihazların ve kişilerin birbileri ile iletişimi sağlayan fiziksel ortamlardır. Capacity— Kapasite ne kadar büyük olur ise farklı teknoloji ve uygulamaları aynı ortamda kullanmak daha kolay olacaktır. Cost—Fiyat Günümüzde ise, kullanıcılar bunlara ek olarak iş yapmalarını kolaylaştıracak özellikler istiyorlar. Bu ek özellikler networklerin daha akıllı olmasını gerektiriyor. Bu özellikleri “5C” adı altında toplayabiliriz : Continuity— Network sadece normal şartlarda değil, aynı zamanda bir saldırı durumunda dahi iletişim belirlenmiş kurallar çercevesinde olmalı Context— Networkümüz, paketleri sadece biryerden biryere iletmemeli, aynı zamanda networkte kimlerin olduğunun, nerede olduklarının ve ne tip bir iletişim içinde olduklarının farkında olmalıdır. Networkümüz, paketlerin sadece içeriği ile (content) ilgilenmemeli aynı zamanda kontextinin de farkında olmalıdır. Networkümüzde verdiğimiz servisler İş sürecleri ile ilişkilendirilmeli gidip gelen paketler gibi algılanmamalıdır. Control— Network yöneticisi ve üst düzey yönetiler için en önemli konudur. Tehlikelere etkin cevap verebilmek için, nerede ve ne olduğunun kesin olarak bilinmesi gerekir. Bu amaçla da networkte yer alan en küçük birime kadar kontrol gerekmektedir. Compliance— Digital Bilginin kurum ve dışı düzenleyiciler (regülasyon kurumları: HIPAA, BASEL-2 Finans) tarafından öngörüldüğü şekilde güvenliğinin ve iletişiminin sağlanması gerekir. Doğru kişilerin doğru bilgelere ulaşımı sağlanmalıdır. Consolidation— Sahip olduğumuz iletişim ağı, yeni teknolojilerin ve servislerin (VoIP, RFID, Video Services ...) de networke dahil edilmesini sağlamalıdır. Networke dahil edilen bu teknolojiler politikalarımızı etkilememeli ve ağımızda yeni güvenlik açıklarına sebep olmamalıdır. Enterasys video, telefon, yazıcı gibi servislere ek bir yazılım gerektirmeden çözümler sunabilmektedir. Sonuc olarak, önceden “3C” satın alma kriterlerimizi oluştururken, artık “Güvenlik” temel parametremiz olmuş durumda. 21. YY networkleri aynı zamanda 5C’yi ve 3C’yi de adreslemelidir. Cost Capacity Traditional Networking Focus Connectivity

6 2 1 3 4 5 Value Elements 21.YY Networkleri CONSOLIDATION COMPLIANCE
CONTEXT 1 CONTINUITY 3 CONTROL 4 COMPLIANCE 5 CONSOLIDATION Value End-to-End Bandwidth Assurance On-Demand Response Capability Flow-Based Forwarding and Granular Edge Control Authenticated Role-Based Policy Management Total Network Visibility Elements Continuity: Mevcut ve geçmiş networklerde, data paketleri güvenilir, emin, sağlam şekilde taşındığı sürece, iletişim yeterli görülürdü. Networkten daha fazlası beklenmezdi. Fakat, hack ve attack yöntemlerinin gelişmesi ile uygulamalar, işletim sistemleri ve bilgisayarların yanında networkün kendisi doğrudan hedef alanına girdi. ENterasys Networks’ün Secure Networks yaklaşımında,, iletişimin sürekliliğini sağlamak amacıyla, kötü niyetli aktivitelere karşı networkün kendini koruyacağı (self-protection) ve tepki verebileceği elemanlar eklenir. Context: İş ortamında, istediğimiz ve istemediğimiz iletişim (geyik), aynı protokolü ve aynı paket formatını kullanarak iş yaptığımız networkümüzde (intranet) bir şekilde beraber yer alır. Secure Networks, önce paketin ‘CONTEXT’ ine bakar ve ondan sonra karar verir. Yani, Secure Networks karar vermeden önce, paketin göndericisi kim, paket nereden gönderilmeye başlandı, nereye gidecek, ‘flow’da kaç adet paket var gibi bilgilere bakıp ondan sonra ne yapacağına karar verir. Secure Networks, kişiler arasındaki iletişim ‘flow’larının sağlıklı iletilmesi ile ilgilenir. Networkteki faydalı ve faydasız veya zaralı olabilicek trafiği tesbit eder ve iş verimliliğini arttırmaya yönelik olarak kararlar alabilecek yetenekte olmalıdır. Control: Secure Network sadece iletişim trafiğini iletmez, aynı zamanda flowları ayırır ve kontrol eder. Secure Networks, gereksiz ve zararlı trafiği kesip veya sınırlayarak iş ile ilgili flowların sağlıklı bir şekilde iletimini sağlar. İş prosesleri, roller, lokasyon ve insanlar Secure Network tarafından birbirine ilişkilendirilir. Bu ilişkilendirme tamamıyla arz-talep dengesine göre kurulur ve değişen iş ihtiyaclarına göre yeniden oluşturulur. Kısaca, kavanoza önce büyük taşları, arkasından küçük ve en son da kumları koyabilme yetisine sahip olma. Compliance: IT sistemlerinin (IPphone, IP Camera, Data ...) yaygın bir şekilde kullanılması ve güvenlik tehditlerindeki hızlı gelişme beraberinde ‘digital bilginin’ mahremiyetinin sağlanmasının da zorunlu hale getirmekedir. Tüm işletmelerdeki bilgiler kanunlar ile devlet güvencesi altındadır. Ve devlet degitalleşmiş bilginin de güvenliğini istemektedir. ‘Digitalleşmiş Bilginin’ güvenliğinin sağlanması da bir zorunluluktur. Secure Networks beraberinde, tüm IT Sistemi oluşturan elemanlarına dokunarak her noktaya yayılan güvenliği de getirmektedir. İletişimin olduğu heryerde network vardır ve güvenlik heryerde olmak zorundadır. Consolidation: Günümüz networkleri, çok farklı özelliklere sahip iletişim tipleri ve flowları (real-time, non-real-time, çok gizli veya genel amaçlı ..) desteklemek ve anlamak zorundadır. Bunu geçleşebilmesi , için Network Mimarisinin akıllı ve olayların farkında güvenli networkler olması gerekmekte. Ve ancak bu altyapı gerçekleştirildikten sonra, bir işletmede birçok uygulamanın, değişik profillerde kullanıcıların ve sistemlerin tek, yaygın ve güvenilir yapı üzerinde hepbebaber çalıştırılması (consalide) edilmesi mümkün olur.

7 Güvenli Networklerin Özellikleri
Bugün itibari ile uygulanabilir olmalıdır Görünürlülük - Kişiler - Güvenlik - Network Kimlik & Kontext Zekazı - Kim, Ne, Ne zaman, Nerede, Neden Politikalar Kolayca Uygulanabilmeli - Kullanıcı, Cihaz, Bölüm, Protokol, Uygulama Merkezi, En küçük Birim Kotrolu - Güvenlik politikaları en küçük birime kadar uygulabilmeli Uyumluluk - Standartlar desteklenmeli Güvenli bir networke sahip olabilmek için, networkünüz aşağıdaki özelliklere sahip olmalıdır : Toplam Görünürlülük (Total visibility) Sadece güvenlik olayları veya anormallikleri tesbit etmek veya görmek yeterli değildir. Aynı zamanda networkümüzü oluşturan tüm cihazlar ve networkte yer alan tüm kullanıcılar, kim ve nereden networke dahil oldukları ve ne yaptıkları da bilinmelidir. Kimlik ve Kontext Zekası— Kim, Ne, Nerede, Nezaman, Niye gibi sorularımıza cevap vermelidir. Networkümüz kim ve neyin networkte olduğunu algılayabilmelidir, IP phone ile Yzıcıyı veya Kullanıcı Bilgisayarını ayırt edebilmelidir. Networkümüz kişinin işletme ile ilişkisini algılayabilmelidir. Politikalar kolayca Uygulanmalı – Günümüzde networkler genişalana yayılmaktadır. Bu nedenle de politikalar en uzak birime bile kolayca ve gerçek zamalı olarak uygulanabilmelidir.. Merkezi ve En küçük Birime kadar Kontrol - Örneğin bir saldırı durumunda oluşturduğunuz polika tüm cihazlarınıya tek merkezden dağıtılabilmelidir. Uyumluluk(interoperability) IT yapımızda değişik marka ürünler olacaktır ve bunların beraberce sorunsuz çalışması gerekmektedir. Bu durmda herhangi bir güvenlik açığı oluşmamalıdır. Bir Hareket, Sistem Seviyesi Yönetim Network Yönetim Sistemi ve netwokümüzü oluşturan cihazların kullanımı kolay olamı ve bir mouse hareketiyle bir çok task yapılabilmelidir. . Dinamik Cevap verme Ve Önleme (Dynamic response and protection) Bir saldırı durumunda el ile cihazlara müdahale etmek, problemi anlamaya çalışmak çok fazla vakit almakta. Bir saldırı durumunda, sisteminiz sandırının ne olduğunu, nerede olduğunu ve çözüm yollarını sunmalıdır. En önemlisi bu gün itibari ile denenmiş ve uygulanabilir olmalıdır. Kolay Yönetilebilirlik - Sistem seviyesinde yönetim Dinamik Cevap Verme ve Önleme - Otamatik Karar Verme Mekanizması (Belirle, Önle) - Entire network infrastructure - Complements existing security measures

8 Secure Networks™ Secure Networks™, Enterasys Networks’ün, “networking” ve”security” kavramlarına kendine özgü ve şu anda benzeri olmayan (unique) yaklaşımının ve teknolojisinin adıdır. Secure Networks™ , “Flow-based Anahtarlama Mimarisi (Switching Architecture)” ile “Güvenlik ve Yönetim Yazılımları”nı tek bir çatı altında toplayarak, tüm network yapısının (network infrastructure) kontrolünün merkezi ve otomatik olarak gerçekleştirilebilmesini sağlamayı hedeflemektedir

9 Secure Networks™ Elemanları
Enetarsys Secure Networks yaklaşımı ile networkümüzü oluşturan tüm birleşenler merkezi ve otomatik kontrol amaçlı olarak tek çatı altında birleştirilir : Dragon Threat Defense İleri Seviye Güvenlik Uygulamaları NetSight Enterprise Management Merkezi Yönetim & Kontrol security-enabled switching, wireless ve routing mimarisi güvenlik yönetim yazılımı İleri seviye güvenlik uygulamaları Security- Enabled Infrastructure Matrix, SecureStack, RoamAbout Üç temel parçadan oluşur : security-enabled switching, wireless ve routing mimarisi : Cihazlar sadece bitleri taşımıyorlar aynı zamanda kontrol ederek güvenlik fonksiyonlarını tüm networke taşıyorlar. Merkezi Yönetim ve Kotrol Platformu : NetSight enterprise management suite. Advanced security applications. Bu ürünlerin bazıları Enterasys ve bazıları da diğer üreticilerden gelir. IDS, IPS, firewall, anti-virus ve AAA Radius. Enterasys acısından bu ürünler iki temel gruba toplanmaktadır : reactive and proactive. Dragon Threat Defense çözümü reactivetir. Bunlar IDS, IPS, post-IDS lerdir. Network-based anormallikleri tesbit edip tedbir almanız için sizi uyarırlar. Enterasys Sentinel trusted access products : Networke bağlanacak end-systemin networke bağlanmadan önce güvenirliliği kotrol edilir ancak ondan sonra networke bağlanmasına musade edilir. Centralized Command and Control Security-Enabled Infrastructure distribution core data center wireless edge Advanced Security Applications

10 Secure DNA: Enterasys Ürün Ailesi
Uçtan Uca Ürün Ailesi LAN EDGE LAN CORE NETWORK MANAGEMENT Dragon Server NetSight Atlas Policy Manager Inventory Manager Security Manager Console NIDS X-Pedition Matrix N-Series & E-Series Matrix N-Series & E-Series REMOTE & BRANCH LOCATIONS Standalone Matrix E-Series V-Series Matrix N-Series & E-Series LAN DATA CENTER X-Pedition end-to-end ürün ailesi : Ürünlere güvenlik özellikleri dahil edilmiş (embedded security intelligence) bu sayeye uçtan uca Secure Network oluşturulabilmektedir. Ürünlerin DNAsında (built-in) yer alan özellikler: rate limiting, bandwidth provisioning, multilayer classification, 802.1X authentication, stateful inspection firewall, ve daha fazlası Matrix switches, RoamAbout wireless, XSR security routers, etc. NetSight Atlas management platformu, merkezi ve en küçük birime kadar kotrol sayesinde toplan görünürlülüğü (total visibility) sağlamaktadır. Standalone Matrix E-Series V-Series VPN Stackable Matrix V-Series Matrix N-Series & E-Series WAN Branch XSR Stackable Matrix V-Series RoamAbout Wireless Regional XSR RoamAbout Wireless NIDS Servers

11 Secure Networks™ Mimarisi
Politikaları Oluştur ve Uygula kullanıcılar için cihazlar için Centralized Command and Control Security Enabled Infrastructure distribution core data center wireless edge Advanced Security Application Proactive Önleme saldırı ve uyumsuzlukları Erişim Kotrolu networkteki kullanıcı ve cihazların Secure Networks Mimarisinin yetenekleri nelerdir? Politikalar veya davranışlar oluşturulup tüm networke uygulanabilir. Kullanıcıların ve cihazların networke erişimi denetlenebilir( access control) Çok hızlı bir şekilde networkte oluşan saldırı veya anormallik ve yeri tesbit edilebilir: detect and locate any security intrusions Oluşan olaylara çok hızlı cevap verilip iyileştirme yaılabilir: respond and remediate to any event. Proactive önleme Cevap ver & İyileştir güvenlik açıklarını belirle Tesbit & Lokalize Güvenlik saldırıları ve anormallikleri

12 …and the Leader in Securing The Network
Secure Campus LAN “Enterasys is clearly the market leader. Its network quarantine engine is well ahead of most competitors, and it has done an excellent job with integration of network security functions.” - Forrester Research, Securing the Campus Network (Sep 2004) And here you see where Forrester Research chose Enterasys as the clear market leader in switch-based security ahead of Cisco, Foundry, Nortel and others. The point here is that Enterasys does have a unique vision and approach when it comes to network security…and the industry is embracing it. Of course, if you look briefly at our past technology innovations, it shouldn’t be too much of a surprise that Enterasys is recognized for its leadership. Secure Campus Lan

13 Saldırıya Açık Network Yapısı – Network Security
Firewall IDS VPN Anti-Virus/Personal Firewall CODE RED SO BIG .F NIMBDA BLASTER SLAMMER Branch/Remote Office VPN INTERNET CORE SOHO/ Mobile Office Here’s the vulnerability we typically see with present day infrastructures. This is really the “before” picture…. before our customers deploy our Secure Networks. The traditional approach to securing the infrastructure has been to apply perimeter security in as many places as possible, mostly in response to a specific threat. Personal firewall and antivirus technology is a good measure to protect the edge, but it is optional, meaning that any end user can turn it off—causing an impact on the network and other users even if their firewall and antivirus software is running. Firewalls are good when there is a clear demarcation point between a threat and an asset (e.g., between the Internet and the enterprise). But they cannot address threats that are internal, pervasive or mobile. IDS is another good technology for detecting anomalies in the network. (Enterasys has one of the leading IDS on the market with Dragon.) However, an IDS generally sits in the core, and can’t determine the exact origination of a threat, nor can it actually do anything about the problem. VPNs have been categorized as security technologies, but in reality they’re just protecting a session across the infrastructure, and are really just a logical interface. There is still a gaping hole because the network itself is not an active participant in the overall security architecture. These technologies on their own are not granular or pervasive enough to address the entire problem. Firewall DMZ Data Center Kişisel Firewall Antivirus

14 Enterasys Secure Networks
Firewall IDS VPN Anti-Virus/Personal Firewall CODE RED SO BIG .F NIMBDA BLASTER SLAMMER Branch/Remote Office VPN INTERNET CORE SOHO/ Mobile Office With Enterasys’ Secure Networks, all components of the infrastructure work together to create a powerful, hardened infrastructure that not only protects the enterprise from surprise threats, but does so with such precision and responsiveness that it won’t interfere with the day-to-day operations of the business. Key to a Secure Network is the centralized command and control that lets you apply granular policies for usage based on users, applications and your own business priorities. You can even limit the amount of bandwidth used during certain times of day. With just a single click these policies are distributed globally. And should a security crisis occur as in the case of the Blaster worm, IT can quickly block vulnerable ports in a matter of minutes or seconds, as you can see here. (Run animation.) Because of the intelligence of the Secure Network, security is identity driven, meaning an authorized user can access the appropriate resources anywhere in the network. The same goes for those users with limited privileges. For example, if a guest on your network—with basic Internet privileges—moves to another conference room, he or she will still be able to access the Internet, nothing less, nothing more. If a virus or hacker does get through, Secure Networks coordinate the event detection of Dragon intrusion defense capabilities to not only identify the threat, but quickly isolate it and alert IT of the offending source. Detailed forensics actually give you the legal proof to pursue and prosecute guilty parties. This is Secure Network in action against a particular threat, but let’s delve deeper into why our approach is better against the wide array of security threats—and business challenges facing the enterprise network. Firewall DMZ Data Center Kişisel Firewall Antivirus

15 Secure Networks™ Secure Networks Çözümü

16 Secure Networks™ Çözümü
Acceptable Use Policy : Geçerli Kullanıcı Politikası Network ve IT servislerinin nasıl kullanılacağının belirleyen Güvenlik Modeli (Access Control) Secure Application Provisioning : Güvenli Servisler Kullanıcı ve Kullanıcı gruplarına güvenli servisler sağlanmalı. Secure Guest Access : Misafir Kullanıcı Politikası Temel servislerin misafir kullanıcılara güvenli şekilde verilmeli. Dynamic Intrusion Response : Dinamik Saldırı Tesbit ve Cevap Otomatik olarak saldırı karşısında çözüm ve cevap üretme Trusted End-System : Güvenilir son Nokta (kullanıcı, cihaz ..) Kullanıcı ve cihazların networke dahil edilmeden önce güvenirlilik kontrolünden geçirilmesi

17 Secure Networks™ Çözümü
Additional Security Solutions Secure Guest Access Dynamic Intrusion Response Acceptable Use Policy Secure Application Provisioning Single Sign-On Trusted End System

18 Secure Networks™ Çözümü
İş rollerini modelleyerek Network yöneticisine politikaları uygulama güçü vererek İş Servislerine (Uygulamalar, Protokoller, Network kullanımı, ..) erişim şekil ve yöntemlerini izleyip ve/veya değiştirerek Politika Bazlı Network’lerin (Policy Enabled Networking) oluşturulabilmesine imkan sağlamaktadır. Business Users Business Policy Rules İş süreçlerinin irdelenip kişiler bazına indirgenerek kişilerin iş süreçleri ve organizasyon içinde rollerinin belirlenmesi, Secure Networks™ teknolojisinin de mimarisine rehberlik etmektedir. Kullanıcılar, belirlenen politikalar çerçevesinde IT servislerine ve kaynaklara güvenli ve etkili şekilde erişebilmektedirler. Gereksiz uygulamalar ve gereksiz kaynak kullanımları ‘İş Süreçleri ve Mimarisi’ (Business Architecture) modellemesi sırasında tanımlanarak, çok daha verimli ve sağlıklı bir ortam oluşturulmaktadır. Business Services

19 Netsight Policy Manager Mimarisi
Bilişim Dilinin, İş Dünyasında ifadesi = İş Dilinin, Bilişim Dünyasında İfadesi Administrator Enterprise Access Enterprise User Guest Access Roles Application Provisioning Authenticated Supplemental Privileges Threat Management Secure Guest Access Services Rule 1 Rule 2 Rule 3 Rule 1 Rule 2 Rule 3 Rule 1 Rule 2 Rule 3 Rule 1 Rule 2 Rule 3 Bu şekil bize Policy Manager’ın neyi nasıl yaptığını ve organizasyon içindeki kuralların nasıl uygulandığını göstermektedir. En altta sınıflama kuralları (classification rules) yeralmaktadır. Örneğin : Discard ICMP Protocol type ICMP Discard TCP Dst Limit TCP Src 6346 (MyNApster) High Priority TCP Privilege Ortada servisler yer almaktadır. Servis içinde birden fazla sınıflama kuralı mantıksal olarak yeralmaktadır. En üstte de Role yer almaktadır.İşletme içindeki fonksiyonlara karşılık gelmektedir. Classification Rules

20 NetSight Atlas Policy Manager
Define Roles and Services

21 Acceptable Use Policy Enterasys Networks Acceptable Use Policy (AUP) çözümü, network ve ilişkili IT Servisleri’nin işletme içerisindeki organizasyonlar tarafından nasıl kullanılması gerektiğini tarif edet kural ve politikalar kümesidir. Bu küme Netsight Policy Manager’da tanımlanır model oluşturulur. Modellemede şirketin güvenlik politikaları baz alınır Acceptable Use Policy (AUP) RFC (2196)’da tanımlanmaktadır

22 Acceptable Use Policy Network sürekli kotrol (Control) altında tutulmalı ve kesintisiz iletişim (Continuity) sağlanmalı Güvenlik Kaygıları Karşılık “5Cs” Elemanları İşiniz/İşletmeniz son zamanlarda virüs veya wormlardan etkilendi mi? Networkünüz, güvenlik ve kullanım konusunda siz gibi davranıyor ve kararlar verebiliyor mu? Control Sürdürülebilir ve sürekli role-based policy yönetimi Networkünüz, kritik iletişim (mission-critical communications) ile kritik olmayan iletişimi (non-mission-critical traffic) ayırt edebiliyor mu ? Continuity End-to-end bandwidth garantisi (QoS) 5Cs: Herhangi bir problem durumunda bile İletişimde süreklilik (continuity) sağlanırken, network üzerinde kontrol de elden bırakılmamalıdır. Continuity QoS uygula Control Gereksiz iletişimi sınırla vaya yasakla

23 Acceptable Use Policy – Nasıl Çalışır
3. Güvenlik politikaları, istenmeyen trafik, protokol ve bilinen tehditler filtrelenerek networke girmeleri engellenir 4. Politikalar aynı zamanda belirli trafik tipleri ve flowlara hız sınırları (rate limit) koyabilir 1. Güvenlik Politikaları merkezi olarak NetSight Atlas Policy Manager™ ile oluşturulur 2. Politikalar son kullanıcı ve sunucu bağlantı noktalarına dağıtılır ve ilgili portlara uygulanır LAN EDGE LAN CORE NETWORK MANAGEMENT REMOTE/BRANCH LOCATIONS WAN Core Router NIDS Servers (some with HIDS) LAN DISTRIBUTION

24 1. Acceptable Use Policy ROL’ü Tanımla
Step 1: Create Enterprise Access role as defined by Acceptable Use Policy NetSight Atlas Policy Manager ROL’ü Tanımla 1. Create AUP Role - Central administration of entire enterprise security policy. One “click” and a security policy is enforced across the whole enterprise Network Infrastructure User Client System Matrix Access Device Business Service

25 2. Acceptable Use Policy Kullanıcı/Erişim Portuna Rolu Uygula
Step 2: Deploy to enterprise access ports NetSight Atlas Policy Manager Enterprise Access Module 1 Ports 2-46 Module 2 Ports 1-72 Network Infrastructure User Client System Access Device Business Service 2. Enforce – Güvenlik Politikası doğrudan portlara uygulanır. Gereksiz uygulama, trafik ve bilinen saldırıların networke girmesi engellenir. Kullanıcı/Erişim Portuna Rolu Uygula

26 Acceptable Use Policy Overlay
LAN CORE NETWORK MANAGEMENT WAN NIDS Core Router Servers (some with HIDS) Erişim Anahtarları Chassis Based Matrix N-Series Stand Alone Matrix E1-Series Matrix C2 Matrix B2 Wireless RoamAbout Dağıtım Anahtarları Chassis Based Matrix N-Series Network Management NetSight Atlas Policy Manager Erişim Anahtarları Chassis Based Matrix N-Series Stand Alone Matrix E1-Series Matrix C2 Matrix B2 Wireless RoamAbout AUP tüm networke başından sonuna uygulanır

27 Secure Application Provisioning
Secure Application Provisioning, networkte kullanılan servis ve uygulamalara güvenlik ve Quality of Service (QoS) politikalarını dinamik olarak uygular. Secure Application Provisioning, kullanıcıların farklı Quality of Service ihtiyaçlarının karşılanmasını sağlar Örnek: A kullanıcısı SAP R/3 yüksek öncelikle B kullanıcısı düşük veya hiç ulaşamama haklarına sahip olabilir Kullanıcıların ihtiyaçları ve servislere ulaşım öncelikleri iş politikaları ve iş süreçlerindeki fonksiyonları ile tanımlanır

28 Secure Application Provisioning
Güvenlik Kaygıları Karşılık “5Cs” Elemanları Networkünüz farklı kullanıcı gruplarının servisleri kullanımını ayırıştırıp farklılaştırabilmekte mi? Consolidation Toplam network visibility Networkünüz, kritik iletişim (mission- critical communications) ile kritik olmayan iletişimi (non-mission-critical traffic) ayırt edebiliyor mu ? Continuity End-to-end bandwidth garantisi (QoS) Sektörünüzün tüm dinamiklerini ve sınırlamalarını biliyor musunuz? Compliance On-demand response kapasitesi 5Cs: İleri düzey uygulamaları ve servisleri networkte kullanırken, işletmede iletişimin sürekliliğini sağlamalı ve data dışında ses, video conferans gibi uygulamalarıda çalıştırmalısın Consolidation Farklı iletişim tipleri desteklenmeli Uygulama, kullanıcı ve sistemlerin güvenli bir yapı üzerinde konsalidasyonu sağlanmalı Continuity İletişimde süreklilik sağlanmalı Compliance Digital bilginin güvenliği sağlanmalı

29 Secure Application Provisioning
Sürekli ve on-demand politikalar merkezi olarak yönetilir Acceptable Use Policy Servislere farklı seviyelerde ulaşım Uygulamalara farlı (L2/3/4) QoS Güvenli kaynak kullanımı Service Level Agreements (SLA) Kritik iş fonksiyonları (mission critical business functions) belirlenir ve ilgili servisler önceliklendirilir Yeni iş servisleri ve uygulamaların kolayca adaptosyanı sağlanır

30 Secure Application Provisioning
Engineer Network Infrastructure User Client System Access Device RADIUS Server Client Authentication: - EAP - Web-Based - MAC-Based RADIUS Client to Server Authentication Kullanıcı Bazlı Doğrulama (Authentication) İletişim Kontrolu ve Role göre politika uygulanır Kullanıcının üstlendiği ROLE göre Sınıflama Kuralları (Classification rules) kullanıcı trafiğine uygulanır SAP R/3 HTTP SNMP Video Voice High Priority Low Priority Rate Limited Highest Priority & Rate Limited Filtered Access Allow/Deny & Filter-ID Attribute with Role Assignment The user accesses a client end-system and attempts to connect to network resources. The client end-system links to network access device. The access device determines which authentication type to use (802.1X, Web-Based, or MAC-Based) based upon the presence of EAP frames and/or pre-configured authentication instructions. The access device requests credentials from client end-system based upon authentication type. The access device uses built-in RADIUS Client to communicate with network attached RADIUS Server and send the user’s credentials. The RADIUS Server receives credentials from RADIUS Client (access device) and compares with native database or associated Directory Service. The access device receives the accept or deny message from the RADIUS Server. If the user is denied access, then the access device filters all traffic from the client end-system. If the user is accepted, then the access device reviews the Filter-ID Return Attribute and program the corresponding policy Rules which are associated to the Role identified in the attribute. The RADIUS Server sends the RADIUS Client (access device) an accept or deny message based upon the validation of the user credentials. If the user credentials are valid, and the server is sending an “accept” message, a Filter-ID RADIUS Return Attribute can be used to identify the organizational Role to which the user belongs. The user (if authenticated) may now begin to use network resources based upon the application provisioning Rules applied to the access device port during the policy assignment process. The access device forwards specific application traffic, provide priority to specific application traffic, and filter specific application traffic based upon the policy settings for the user.

31 Secure Guest Access Secure Guest Access misafir kullanıcıların musade edilen IT kaynaklarına belirlenen politikalar dahilinde network üzerinden erişimlerini sağlayabilme yetisi Problem : Network güvenliği göz ardı edilerek misafir kullanıcılar bir VLAN’a atanmakta. Aynı VLAN içerisinde yer alan kullanıcıların da birbiri için tehdit olabileceği gerçeği göz ardı edilmekte. Bu nedenle, cihazlar VLAN ataması yanında misafir kullanıcıların protokol-based olarak networke dahil olmalarını sağlayabilmelidir

32 Secure Guest Access Güvenlik Kaygıları Karşılık “5Cs” Elemanları
Networkünüz, networkünüzü kullanan tüm kullanıcıların iş süreçlerindeki rollerini (yönetici, muhasebeci, araştırmacı..) anlayabilmekte midir? Context Flow-based forwarding ve en küçük son noktaya kadar kontrol Risk yüzünden bazı kullanıcıların netwörkünüzü kullanmasını yasaklıyor musunuz? Consolidation Toplam network visibility 5Cs: Consolidation iç ve misafir kullanıcılara networkte yeralmalı. Kullanıcıların ROLElerine göre kaynaklara erişimi sağlanmalı.(context) Context Kişiler arasında iletişim her durumda sağlanmalı Consolidation Farklı iletişim tipleri desteklenmeli Uygulamaların, kullanıcıların ve sistemin ortak bir yapı üzerinde beraber çalışması sağlanmalı Secure Network İhtiyacı: Identity & context intelligence ve kullanıcılara yeterli seviyede iletişim ortamı sağlama

33 Mevcut Misafir Kullanıcı Networkleri
Kimlik Dorulaması yapılamayan kullanıcılar “Misafirt” VLAN’ına atanır Birden fazla Misafir VLANı gerekebilir (Konferans Salonları, Eğitim Salonları..) Merkezi Olmaya Yönetim “Misafir” VLANları tüm anahtarlarda tanımlanmalı Misafir kullanıcıların birbilerine saldırıları engellenememektedir. Switch Guest VLAN Guest “A” Guest “B”

34 Enterasys Secure Guest Networking
“Misafir Erişim” ROLE’u kimlik doğrulaması yapılamayan kişiye atanır Filitreler (classification rule) ile misafirlerin birbirinin trafiğini görmesi ve birbirilerine tehdit oluşturmaları engellenir Merkezi Yönetim Guest “A” Guest “B” Policy-Enabled Switch The Enterasys Secure Networks concept takes authentication and authorization to another level. Secure Networks assigns roles on-demand to users based on their authentication credentials (or lack thereof). These roles are, in turn, associated with “services” – collections of traffic classification rules. Services can be created to contain traffic or deny traffic. What this means to a network administrator is a truly scalable solution. In contrast to competitive offerings’ which require VLANs which is, after all, a network topology consideration (a somewhat cumbersome one), the Enterasys Secure Networks addresses the issue of guest access by applying traffic classification rules within the context of policy. Specifically, the administration of policy is not limited to VLAN assignment. This reduces, by an order of magnitude, the network configuration complexity required while allowing the organization to exercise strict control over the type (protocol-based rules) and amount (bandwidth allocation, QoS) of guest traffic permitted on the corporate LAN.

35 Dynamic Intrusion Response
Dynamic Intrusion Response (DIR) Enterasys donanım ve yazılımlarını kullanarak saldırı ve güvenlik problemlerini tesbit ve gereken karşı hareketi yapabilme yeteneği Dynamic Intrusion Response, network cihazları ve mimarisi içine gömülmüş güvenlik teknolojilerini kullanarak problemleri tesbit edip dinamik olarak networkü yeniden yapılandırır .

36 Dynamic Intrusion Response
Güvenlik Kaygıları Karşılık “5Cs” Elemanları İşiniz/İşletmeniz son zamanlarda virüs veya wormlardan etkilendi mi? IT problemi oluşmaması için proaktive yöntemler geliştirmiş olmanıza rağmen hala networkünüzü birşeylerin etkileyebileceğini düşünüyor musunuz ? Control Authenticated role-based policy management Networkünüz bir saldırıyı veya problemi çözerken, problem sırasında da doğru iletişimi sağlayabilir mu? Network servislerinde bir problem oluşması durumunda, servisleri mümkün olduğunca kısa sürede devreye alabiliyor ve kontrol edebiliyor musunuz Continuity End-to-end bandwidth garantisi 5Cs: İletişimde süreklilik sağlanmalı (continuity), aynı zamnda network üzerindeki kontrolden de ödün verilmemeli (control) Control Problem durumunda, kritik iletişim devam edebilmeli Kötü Niyetli iletişim kesilebilmeli Continuity Güvenirlilik sağlanmalı Networke self-protection ve reactive elementler eklenerek porblem oluştuğunda dahi iletişim devam edebilmeli

37 DIR Çözümü Birleşenleri
Akıllı Network Cihazları Enterasys Matrix C2, B2, E-Series ve N-Series switchler Security policy Yönetimin NetSight Atlas™ Policy Manager Intrusion detection ve event management Dragon™ Network Sensor ve Enterprise Management Server (EMS) Event kaynak Tesbiti ve Cevap Yönetimi - NetSight Atlas™ Console with Automated Security Manager (ASM) There are four major components of the Dynamic Intrusion Response solution. The security policy administration component is the Enterasys NetSight Atlas Policy Manager application. This is where the quarantine and other policy roles and parameters are configured and distributed to the network infrastructure. The intrusion and threat detection, as well as the event correlation component, is the Enterasys Dragon IDS and EMS software security appliances. This is where security events are detected and corresponding event information is constructed and sent to the NetSight Atlas Console and Automatic Response Manager application. The event source location and response administration component is the Enterasys NetSight Atlas Console with Automated Security Manager application. This is where the events are reviewed, and the location service begins to find the exact source of the security event. This is also where the IT administrator pre-configures the action to be taken based upon event type; and where the action is delivered. The security policy enforcement component is the Enterasys network infrastructure products. This is where the appropriate action is enforced based upon the original security event.

38 Dynamic Intrusion Response
NetSight Atlas™ Policy Manager Quarantine Policy Tanımlama – Merkezi olarak karantina politikaları oluşturulup networke dağıtılır Business Service Network Infrastructure Location and Enforcement – Güvenlik İhlalilin başladığı fiziksel port tesbit edilir ve önceden tanımlanmış tepki/cevap fiziksel porta iletilir. Matrix™ Access Device User Client System Intrusion Detection – Networke girmeye çalışan bir güvenlik ihlal olayı tesbit edilir. Response – Güvenlik ihlali ile ilgili tepki (response) kaynağa uygulanır. (Disable port, enforce Quarantine policy, rate limit, etc.). Dragon™ Intrusion Detection NetSight Atlas™ Console With Automated Security Manager Event Notification – Güvenlik İhlali Automated Security Manager’a bildirilir. ASMda önceden tanımlanmış aksiyonlar bulunmaktadır.

39 Trusted End-System Network ve bağlanan sistemler arasında “güvenli ilişki” olması esasına dayanır Son kullanıcınnoktasında bir anormallik oluşması durumunda, son kullanıcı otomatik olarak karantina altına alınır Merkezi olarak kontrolü ve yönetimi yapılır NetSight Atlas Policy Manager RADIUS Server Network Infrastructure Enterasys Matrix Switch End System User Assessment Server (RADIUS Proxy) MAC / IP NetSight Atlas Automated Security Mgr

40 BUNLARI YAPABİLMEK İÇİN
BİLMEK ZORUNDA OLDUKLARINIZ : - İletişim ağınızda yer alan tüm cihazları - Tüm kullanıcı tiplerinizi - Bilgilerinizin olduğu yerleri - Update politikalarınızı YAPMAK ZORUNDA OLDUĞUNUZ : Güvenlik konusunda tüm kullanıcılarınızı eğitmek zorundasınız

41 SORULAR ANKARA ve İSTANBUL’daki LABlarımızda SECURE NETWORK™
ÇÖZÜMÜMÜZÜ TEST EDEBİLİRSİNİZ

42 TEŞEKKÜR EDERİZ

"Güvenli Networkler Secure Networks™" indir ppt

Benzer bir sunumlar

Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği

Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.

IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
Windows Intune ile Modern Cihaz Yönetimi

Windows Intune ile Modern Cihaz Yönetimi
BBY 302 Bilgi Teknolojisi ve Yönetimi

BBY 302 Bilgi Teknolojisi ve Yönetimi
Kurumsal ve Kamu Sektörü için WiNetwork Çözümleri

Kurumsal ve Kamu Sektörü için WiNetwork Çözümleri
TEMEL AĞ TANIMLARI.

TEMEL AĞ TANIMLARI.
Çevik Kurumlar Oluşturabilmek İçin Bulutta İş Uygulamaları Kutlay E. Şimşek Genel Müdür İstanbul, 12 Şubat 2013.

Çevik Kurumlar Oluşturabilmek İçin Bulutta İş Uygulamaları Kutlay E. Şimşek Genel Müdür İstanbul, 12 Şubat 2013.
AU WiFi-Net Projesi Genel Bakış

AU WiFi-Net Projesi Genel Bakış
Bilgisayar Ağlarına Giriş

Bilgisayar Ağlarına Giriş
HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.

HUB En basit network cihazıdır.Kendisine bağlı olan bilgisayarlara paylaşılan bir yol sunar. Hub‘a bağlı tüm cihazlar aynı yolu kullanırlar. Hub kendisine.
AĞ GÜVENLİĞİ.

AĞ GÜVENLİĞİ.
Sağlık Özel Ağı -SBNet-.

Sağlık Özel Ağı -SBNet-.
(FIREWALLS) GÜVENLİK DUVARI GİRİŞ

(FIREWALLS) GÜVENLİK DUVARI GİRİŞ
Bölüm 1 Ağlar ve Verİ İletİşİmİ

Bölüm 1 Ağlar ve Verİ İletİşİmİ
Bilgisayar ve internet güvenliği için yardımcı programlar

Bilgisayar ve internet güvenliği için yardımcı programlar
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.

SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
We are Clavister! SİMET BİLGİSAYAR LTD.ŞTİ.

We are Clavister! SİMET BİLGİSAYAR LTD.ŞTİ.
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları

Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
BİLGİSAYAR AĞLARI.

BİLGİSAYAR AĞLARI.
İnternet Teknolojisi Temel Kavramlar

İnternet Teknolojisi Temel Kavramlar

Benzer bir sunumlar

Google Reklamları