Connect and Secure - Netzwerk UND Sicherheit aus einer Hand

Connect and Secure - Netzwerk UND Sicherheit aus einer Hand

Connect and Secure - Netzwerk UND Sicherheit
aus einer Hand
Jürgen Hofmann (Senior Systems Engineer)
© Copyright Fortinet Inc. All rights reserved.
Marktführer und Innovator für Netzerk Sicherheit
$770M
Globale Präsenz und Kundenbasis
• Kunden: 218,000+
• Installierte Appliances: 1.8+ Million
• Niederlassungen: 80+ weltweit
Vorsprung durch zahlreiche Innovationen
• FortiGuard: marktführende Bedrohungs-Forschung
• FortiOS: hochintegriertes Network + Security OS
• FortiASIC: spezifische ASIC-basierende Architektur
• Marktführende Technologie: 194 Patente, 156 angemeldet
Revenue
$13M
2003
2014
~$1B
Cash
Gegründet 2000, 1. Produktlieferung 2002, IPO 2009
Zentrale: Sunnyvale, California
Mitarbeiter: 2800+ weltweit
Kontinuierliches Wachstum, Gewinn von Marktanteilen
Sehr positive finanzielle Entwicklung, profitabel
$16M
2003
2014
2
Rasante Entwicklung setzt Maßstäbe
Kontinuierliche Innovationen der Plattformen
neue ASICs, OS Versionen, Integrationen und integrierte Funktionen
Ständige Erweiterung des Produktportfolios
Zahlreiche Auszeichnungen für Innovation und Technologieführerschaft
2000
2002
2003
2004
2005
2006
2009
2010
2012
2013
2014
2015
Fortinet
Founded
Began
Global Sales
FortiManager
Named
WW UTM
Leader
FortiOS 3.0
FortiWiFi
FortiOS 4.0
FortiAP
FortiOS 5.0
& SoC2
1st 40GbE
Port Security
Appliance
New HQ
Internal
Network
Firewall
(INFW)
FortiOS 2.0
FortiGate &
FortiOS 1.0
2.0
FG-5000
(ATCA)
3.0
4.0
5.0
1st FortiASIC
IPO
Network
Processor
1M Units
Shipped
FortiASIC NP6 1Tbps Firewall
NP6
NP
1st FortiASIC
1st FortiASIC
System
On A Chip
Content
Processor
FortiSandbox
AWS Utility
Support
SoC
CP
1st 100GbE
Port Security
Appliance
3
Lösungen für alle Unternehmensgrößen und Branchen
35%
40%
9 der Top 10
7 der Top 10
Global 100
Global 100
Großbanken
7 der Top 10
9 der Top 10
Entry Level
High-end
25%
Mid-range
Global 100
Computer
Services
Global 100
Luftfahrt &
Verteidigung
Umsätze nach Produktsegment
Q4 2014
4
FortiGate - NGFW/UTM-Security Appliance Serie
Performance & Scalability
FortiGuard
FortiOS
FortiGate 30 – 90
(Access)
Entry Level
FortiGate 100 – 800
(Edge NGFW)
Mid-Range
FortiGate 1000 – 5000
(Edge NGFW or Core DC)
FortiGate VM
(Data Center)
High-End
Virtual Machine
5
Herausforderung: Komplexität
Punktuelle Lösungen über
Jahre heterogen und reaktiv
implementiert
Verschiedenste Plattformen
je nach Anwendungsszenario
Zahlreiche Management
Konsolen
Inkonsistente Regelwerke und
Netzwerk-Infrastruktur
Unterschiedliche Upgrade
Zyklen
Langsame und unvollständige
Reaktion auf Angriffe und
bedrohungen
Zuviele Resources für Wartung
erforderlich
Geringe Anwenderfreundlichkeit, Beschwerden
Management
SaaS
Gateway
Web
Filtering
VPN
WAN
Acceleration
Application
Control
Firewall
IPS
Advanced
Threat
Protection
Antivirus
WiFi Controller
6
Fortinet Vorteil: GLOBALE Platform
Nur EINE Management Konsole
Management
Einheitliche Plattform für Szenarien aller
Größenordnungen
Nutzung des Benötigten - wo es benötigt wird
Firewall
VPN
Konsistente, koordinierte Regelwerke
Konsolidierte Infrastruktur
Application Control
IPS
Web Filtering
Anti-malware
WAN Acceleration
Data Leakage Protection
WiFi Controller
Advanced Threat Protection
SaaS Gateway
Schneller, robuster - geringeres Risiko
Geringerer Admin Aufwand, einfachere
Wartung
Entlastung der IT Resourcen für
strategische Projekte
Weniger Anwender Beschwerden
7
Herausforderung: Sicherheit
Hochentwickelte Angriffe verursachen heutzutage massive Schäden
Intelligente Security-Lösungen erforderlich
Viele Security-Hersteller outsourcen wichtige Bestandteile
oder haben sie erst gar nicht
AngriffsZeitachss
2000
2003
2005
2007
2011
Heute
größerer Schaden
Hackers
FIREWALL
Layer 1-2
Intrusions
Worms
VPN
IPS
Viruses
Spyware
Botnets
Spam
Malicious
URLs
Malicious
Apps
Advanced
Persistent
Threats
Anti
Malware
AntiSpam
Web
Filter
App
Control
Advanced
Threat Protection
Content & Application (Layer 3-7)
Wachsende Performacne-Anforderungen
Unternehmen versuchen eigene Lösungen zusammenzustellen
8
Fortinet Vorteil: SICHER
Pro Minute
72,000
Spam emails intercepted
210,000
Network Intrusion Attempts resisted
68,000
Malware programs neutralized
310,000
Malicious Website accesses blocked
67,000
Botnet C&C attempts thwarted
34 Millionen
Website categorization requests
Pro Woche
53 Millionen
New & updated spam rules
Datenbank
100
Intrusion prevention rules
150
Terabytes of threat samples
920,000
New & updated AV definitions
17,000
Intrusion Prevention rules
1 Millionen
New URL ratings
5,800
Application Control rules
8,000
Hours of threat research globally
250 Millionen
Rated websites in 78 categories
151
Zero-day threats discovered
Based on Q4 2014 data
Image: threatmap.FortiGuard.com
9
FortiOS 5.2 Überblick
10
FortiOS 5.2 Funktionalitäten
Firewall
VPN
IPS
Web
Filter
AV
Email
Filter
App.
Control
L2/L3 &
Routing
WAN
Opt.
DLP
Traffic
Shaping
Identity &
Access
Virtual
Systems
IPv6
NETWORKING
SECURITY
High
Availability
Server
LB
Log &
Report
MANAGEMENT
Monitoring
Endpoint
Control
Token
Server
WiFi/Switch
Controller
Vuln.
Scanning
EXTENSION
11
H/W Beschleunigung
Herkömmliche Security Gateway
Appliances
Firewall
FortiGate mit FortiASIC
Instruction
download
Initial session
setup
CPU offload
12
NEXT GENERATION SECURITY
NEXT GENERATION FIREWALL
» umfangreichstes Featureset
» beste Performance
» bestes TCO
“Real World” Protocol Mix (Perimeter)
“Real World” Protocol Mix (Core)
2,000
4,000
6,000
8,000
10,000
Barracuda F800
4,700
10,000
Check Point 12600
5,200
10,000
Cyberoam CR2500iNG
6,200
950
Dell SonicWALL NSA 4500
780
10,000
Fortinet FortiGate-800c
9,000
3,000
Juniper SRX550
1,500
3,700
NETASQ NG1000-A
NETGEAR ProSecure UTM9S
1,200
460
121
4,500
Palo Alto Networks PA-5020
3,700
3,000
Sophos UTM 425
3,000
8,700
Stonesoft FW-1301
WatchGuard XTM 1050
10,000
3,800
2,600
1,800
13
Funktionsvergleich
14
FortiOS 5.2 Funktionen
15
Überblick
IPS
IPS Signaturen
• Über 7,000+ Signaturen
• Integrierte FortiGuard IPS Enzyklopädie
Zero-day Bedrohungsschutz & Forschung
• Anpassbare Signaturen
• Sicherheitseinstufungsbasierte Signaturen
• Signatur Filter
• User Quarantäne, Paket Logging
DOS Schutz
• Rate based – setzt Schwellwerte für
bestimmte Typen von DOS Attacken
Anbindungsmöglichkeiten
• Sniffer Mode
• Bypass Interface & FortiBridge
16
2012 NSS Security Value Map
Geringe Latenz,
aussergewöhnliche Erfassung
und gutes Preis/Perfomance
Verhältnis
Überblick
Applikationskontrolle
Applikations-Kontrollsensor
• Über 3,300+ Signaturen, 19 Kategorien
• User Informationen über FortiBar or HTTP
“replacement message”
• Granulare Kontrolle für polpuläre Apps
• Applikationskontrolle mit Traffic Shaping
• SPDY Protokoll Support
• SSH Überprüfung
• Anpassbare Signaturen
Sehr flexibel und fein
granulierbare Policy Kontrolle
Erweitert die Sicherheit
Tiefer Einblick in den NetzwerkVerkehr
FortiGuard Application library
17
Applikationssensor
Applikationskontrolle
Einfach zu nutzen
• Verknüpft Aktionen mit
verschiedenen Kategorien
» Allow, Block, Monitor, reset, traffic
shaping
• Kreieren von Ausnahme
Applikationen die den
Kategorien übergeordnet sind
Flexibilität
Jede Security Policy kann mit
eigenen Profilen versehen
werden um bestimmten Usern,
Geräten und/oder IPs einen
eignenen Applikationssensor
anzuhängen.
18
Überblick
Antivirus
AntiMalware
•
•
•
•
Proxy und Flow basierendes AV
Dateiname & Datei Typ Filterung
Heuristic AV Engine
Datei Analyse mit Cloud-basierter oder
lokaler Sandbox
• AV Databases Optionen
• Datei Quarantäne
Anti-Botnet
• Applikations Kontrollkategorien
• Botnet IP Blacklist Datenbank
AV Configuration
Schützt das interne Netzwerk vor
Viren, Maleware und anderen
Schadstoffen
19
Überblick
Web Filter
URL Filterung
•
•
•
•
•
URL, Webinhalte & MIME Filterung
Zeitkontingent basierter Zugang
Transparenter Safe Search
Lokale & Kategoriebezogene Bewertung
Übergeordnete User Option
Proxy Avoidance Prevention
•
•
•
•
Proxy Service Site blocking
Sprachübersetzung & Inhaltsblocking
Bewertung von Seiten über IP Adresse
Applikationskontrolle – Proxy avoidance
category
• IPS Proxy Verhaltensüberprüfung
20
Web Filtering Block Page
…
Explicit Proxy
WAN Optimierung
Erlaubt Usern die Fortigate als Webproxy zu nutzen, um über
einen sicheren und eingeschränkten Internetzugang zu surfen.
Features:
• Proxy HTTP/HTTPS & FTP Verbindungen
vom Webbrowser
• Proxy auto-config (PAC)
• Unterstützt SOCKS Verbindungen
• Virtualisierbar per VDOM
• Proxy Chaining mit forward server load
balancing Unterstützung
• User Authentifizierung
• Transparent Explicit Proxy Option mit
Quell-IP Reflektion
21
Überblick
Wireless
Integierter Wireless Controller
• Basierend auf dem CAPWAP RFC
Standard
• Untertützt bis zu 1024 APs pro FortiGate
• QoS Support
Wireless Security
• Wireless IDS
• WPA/WPA2-Personal and WPA/WPA2Enterprise (802.11i), Captive portal Mode
• Rogue AP Monitoring and Unterdrückung
Wireless Planung und Betrieb
• FortiPlanner
• Automatisches Radio Resource
Provisioning
• Fast Roaming
• Wireless Mesh & Bridging
• AP Lastverteilung
22
AP Profile
Sichert den Wireless LAN Zugriff
über den integrierten Wireless
Controller
Implementierte PCI Anforderungen
Gast Zugriff
User Identifizierung
Temporärer User Zugriff
Erlaubt nicht IT Angestellten einen
Gastzugang über eine Webportal
anzulegen
» Spezielle Admin-ID für den
Gästemanagement-Zugriff
• Generiert ein temporäres Passwort und
ein Gültigkeitszeitraum
• Verteilt die Zugangsdaten über E-Mail,
SMS oder Ausdruck
• Funktion zum Anlegen mehrere User
gleichzeitig
23
Geräte Identifizierung
Überblick
Geräte Identifizierung
• Geräte & OS Fingerprint
• Geräte Klassizifierung & Management
• Kontextbezogene Geräte Information
Geräte basierdende Policy
• Policies für Geräte/Gerätegruppen
Device Group
List
24
Identifiziert Gertätetypen für eine
bessere Sichtbarkeit
Ermöglicht Policies auf Basis
von Geräten oder Gerätetypen
Erlaubt Unternehmen BYOD
Probleme sicher zu handhaben
Überblick
User Identifizierung
Authentifizierungs Service
2 Faktor Authentifizierung
• Lokale User Datenbank
• Remote Auth. Service – LDAP, Radius &
TACACS+
• Externe 2FA Unterstützung
• Integrierter Tokenserver mit Hardware
Token und SMS & Soft Tokens
Single Sign-on
• Windows AD, Novell eDirectory Integration
• SSO mit POP3/POP3S, Access Auth. &
FortiClient
• Citrix & Terminal Server Agent
PKI and Zertifikate
•
•
•
•
25
X.509 Zertifikate, SCEP Unterstützung
Certificate signing request (CSR)
Auto-Renewal von Zertifikaten vor Ablauf
OCSP Unterstützung
User Monitor
Sicherer Zugriff in das interne
Netz mit User Identifizierung
Mobile Token
PIN
eingeben…
26
OTP wird
angezeigt…
End-to-End Security Lösungen
27
Vielen Dank!
28