Connect and Secure - Netzwerk UND Sicherheit aus einer Hand
Transcription
Connect and Secure - Netzwerk UND Sicherheit aus einer Hand
Connect and Secure - Netzwerk UND Sicherheit aus einer Hand Jürgen Hofmann (Senior Systems Engineer) © Copyright Fortinet Inc. All rights reserved. Marktführer und Innovator für Netzerk Sicherheit $770M Globale Präsenz und Kundenbasis • Kunden: 218,000+ • Installierte Appliances: 1.8+ Million • Niederlassungen: 80+ weltweit Vorsprung durch zahlreiche Innovationen • FortiGuard: marktführende Bedrohungs-Forschung • FortiOS: hochintegriertes Network + Security OS • FortiASIC: spezifische ASIC-basierende Architektur • Marktführende Technologie: 194 Patente, 156 angemeldet Revenue $13M 2003 2014 ~$1B Cash Gegründet 2000, 1. Produktlieferung 2002, IPO 2009 Zentrale: Sunnyvale, California Mitarbeiter: 2800+ weltweit Kontinuierliches Wachstum, Gewinn von Marktanteilen Sehr positive finanzielle Entwicklung, profitabel $16M 2003 2014 2 Rasante Entwicklung setzt Maßstäbe Kontinuierliche Innovationen der Plattformen neue ASICs, OS Versionen, Integrationen und integrierte Funktionen Ständige Erweiterung des Produktportfolios Zahlreiche Auszeichnungen für Innovation und Technologieführerschaft 2000 2002 2003 2004 2005 2006 2009 2010 2012 2013 2014 2015 Fortinet Founded Began Global Sales FortiManager Named WW UTM Leader FortiOS 3.0 FortiWiFi FortiOS 4.0 FortiAP FortiOS 5.0 & SoC2 1st 40GbE Port Security Appliance New HQ Internal Network Firewall (INFW) FortiOS 2.0 FortiGate & FortiOS 1.0 2.0 FG-5000 (ATCA) 3.0 4.0 5.0 1st FortiASIC IPO Network Processor 1M Units Shipped FortiASIC NP6 1Tbps Firewall NP6 NP 1st FortiASIC 1st FortiASIC System On A Chip Content Processor FortiSandbox AWS Utility Support SoC CP 1st 100GbE Port Security Appliance 3 Lösungen für alle Unternehmensgrößen und Branchen 35% 40% 9 der Top 10 7 der Top 10 Global 100 Global 100 Großbanken 7 der Top 10 9 der Top 10 Entry Level High-end 25% Mid-range Global 100 Computer Services Global 100 Luftfahrt & Verteidigung Umsätze nach Produktsegment Q4 2014 4 FortiGate - NGFW/UTM-Security Appliance Serie Performance & Scalability FortiGuard FortiOS FortiGate 30 – 90 (Access) Entry Level FortiGate 100 – 800 (Edge NGFW) Mid-Range FortiGate 1000 – 5000 (Edge NGFW or Core DC) FortiGate VM (Data Center) High-End Virtual Machine 5 Herausforderung: Komplexität Punktuelle Lösungen über Jahre heterogen und reaktiv implementiert Verschiedenste Plattformen je nach Anwendungsszenario Zahlreiche Management Konsolen Inkonsistente Regelwerke und Netzwerk-Infrastruktur Unterschiedliche Upgrade Zyklen Langsame und unvollständige Reaktion auf Angriffe und bedrohungen Zuviele Resources für Wartung erforderlich Geringe Anwenderfreundlichkeit, Beschwerden Management SaaS Gateway Web Filtering VPN WAN Acceleration Application Control Firewall IPS Advanced Threat Protection Antivirus WiFi Controller 6 Fortinet Vorteil: GLOBALE Platform Nur EINE Management Konsole Management Einheitliche Plattform für Szenarien aller Größenordnungen Nutzung des Benötigten - wo es benötigt wird Firewall VPN Konsistente, koordinierte Regelwerke Konsolidierte Infrastruktur Application Control IPS Web Filtering Anti-malware WAN Acceleration Data Leakage Protection WiFi Controller Advanced Threat Protection SaaS Gateway Schneller, robuster - geringeres Risiko Geringerer Admin Aufwand, einfachere Wartung Entlastung der IT Resourcen für strategische Projekte Weniger Anwender Beschwerden 7 Herausforderung: Sicherheit Hochentwickelte Angriffe verursachen heutzutage massive Schäden Intelligente Security-Lösungen erforderlich Viele Security-Hersteller outsourcen wichtige Bestandteile oder haben sie erst gar nicht AngriffsZeitachss 2000 2003 2005 2007 2011 Heute größerer Schaden Hackers FIREWALL Layer 1-2 Intrusions Worms VPN IPS Viruses Spyware Botnets Spam Malicious URLs Malicious Apps Advanced Persistent Threats Anti Malware AntiSpam Web Filter App Control Advanced Threat Protection Content & Application (Layer 3-7) Wachsende Performacne-Anforderungen Unternehmen versuchen eigene Lösungen zusammenzustellen 8 Fortinet Vorteil: SICHER Pro Minute 72,000 Spam emails intercepted 210,000 Network Intrusion Attempts resisted 68,000 Malware programs neutralized 310,000 Malicious Website accesses blocked 67,000 Botnet C&C attempts thwarted 34 Millionen Website categorization requests Pro Woche 53 Millionen New & updated spam rules Datenbank 100 Intrusion prevention rules 150 Terabytes of threat samples 920,000 New & updated AV definitions 17,000 Intrusion Prevention rules 1 Millionen New URL ratings 5,800 Application Control rules 8,000 Hours of threat research globally 250 Millionen Rated websites in 78 categories 151 Zero-day threats discovered Based on Q4 2014 data Image: threatmap.FortiGuard.com 9 FortiOS 5.2 Überblick 10 FortiOS 5.2 Funktionalitäten Firewall VPN IPS Web Filter AV Email Filter App. Control L2/L3 & Routing WAN Opt. DLP Traffic Shaping Identity & Access Virtual Systems IPv6 NETWORKING SECURITY High Availability Server LB Log & Report MANAGEMENT Monitoring Endpoint Control Token Server WiFi/Switch Controller Vuln. Scanning EXTENSION 11 H/W Beschleunigung Herkömmliche Security Gateway Appliances Firewall FortiGate mit FortiASIC Instruction download Initial session setup CPU offload 12 NEXT GENERATION SECURITY NEXT GENERATION FIREWALL » umfangreichstes Featureset » beste Performance » bestes TCO “Real World” Protocol Mix (Perimeter) “Real World” Protocol Mix (Core) 2,000 4,000 6,000 8,000 10,000 Barracuda F800 4,700 10,000 Check Point 12600 5,200 10,000 Cyberoam CR2500iNG 6,200 950 Dell SonicWALL NSA 4500 780 10,000 Fortinet FortiGate-800c 9,000 3,000 Juniper SRX550 1,500 3,700 NETASQ NG1000-A NETGEAR ProSecure UTM9S 1,200 460 121 4,500 Palo Alto Networks PA-5020 3,700 3,000 Sophos UTM 425 3,000 8,700 Stonesoft FW-1301 WatchGuard XTM 1050 10,000 3,800 2,600 1,800 13 Funktionsvergleich 14 FortiOS 5.2 Funktionen 15 Überblick IPS IPS Signaturen • Über 7,000+ Signaturen • Integrierte FortiGuard IPS Enzyklopädie Zero-day Bedrohungsschutz & Forschung • Anpassbare Signaturen • Sicherheitseinstufungsbasierte Signaturen • Signatur Filter • User Quarantäne, Paket Logging DOS Schutz • Rate based – setzt Schwellwerte für bestimmte Typen von DOS Attacken Anbindungsmöglichkeiten • Sniffer Mode • Bypass Interface & FortiBridge 16 2012 NSS Security Value Map Geringe Latenz, aussergewöhnliche Erfassung und gutes Preis/Perfomance Verhältnis Überblick Applikationskontrolle Applikations-Kontrollsensor • Über 3,300+ Signaturen, 19 Kategorien • User Informationen über FortiBar or HTTP “replacement message” • Granulare Kontrolle für polpuläre Apps • Applikationskontrolle mit Traffic Shaping • SPDY Protokoll Support • SSH Überprüfung • Anpassbare Signaturen Sehr flexibel und fein granulierbare Policy Kontrolle Erweitert die Sicherheit Tiefer Einblick in den NetzwerkVerkehr FortiGuard Application library 17 Applikationssensor Applikationskontrolle Einfach zu nutzen • Verknüpft Aktionen mit verschiedenen Kategorien » Allow, Block, Monitor, reset, traffic shaping • Kreieren von Ausnahme Applikationen die den Kategorien übergeordnet sind Flexibilität Jede Security Policy kann mit eigenen Profilen versehen werden um bestimmten Usern, Geräten und/oder IPs einen eignenen Applikationssensor anzuhängen. 18 Überblick Antivirus AntiMalware • • • • Proxy und Flow basierendes AV Dateiname & Datei Typ Filterung Heuristic AV Engine Datei Analyse mit Cloud-basierter oder lokaler Sandbox • AV Databases Optionen • Datei Quarantäne Anti-Botnet • Applikations Kontrollkategorien • Botnet IP Blacklist Datenbank AV Configuration Schützt das interne Netzwerk vor Viren, Maleware und anderen Schadstoffen 19 Überblick Web Filter URL Filterung • • • • • URL, Webinhalte & MIME Filterung Zeitkontingent basierter Zugang Transparenter Safe Search Lokale & Kategoriebezogene Bewertung Übergeordnete User Option Proxy Avoidance Prevention • • • • Proxy Service Site blocking Sprachübersetzung & Inhaltsblocking Bewertung von Seiten über IP Adresse Applikationskontrolle – Proxy avoidance category • IPS Proxy Verhaltensüberprüfung 20 Web Filtering Block Page … Explicit Proxy WAN Optimierung Erlaubt Usern die Fortigate als Webproxy zu nutzen, um über einen sicheren und eingeschränkten Internetzugang zu surfen. Features: • Proxy HTTP/HTTPS & FTP Verbindungen vom Webbrowser • Proxy auto-config (PAC) • Unterstützt SOCKS Verbindungen • Virtualisierbar per VDOM • Proxy Chaining mit forward server load balancing Unterstützung • User Authentifizierung • Transparent Explicit Proxy Option mit Quell-IP Reflektion 21 Überblick Wireless Integierter Wireless Controller • Basierend auf dem CAPWAP RFC Standard • Untertützt bis zu 1024 APs pro FortiGate • QoS Support Wireless Security • Wireless IDS • WPA/WPA2-Personal and WPA/WPA2Enterprise (802.11i), Captive portal Mode • Rogue AP Monitoring and Unterdrückung Wireless Planung und Betrieb • FortiPlanner • Automatisches Radio Resource Provisioning • Fast Roaming • Wireless Mesh & Bridging • AP Lastverteilung 22 AP Profile Sichert den Wireless LAN Zugriff über den integrierten Wireless Controller Implementierte PCI Anforderungen Gast Zugriff User Identifizierung Temporärer User Zugriff Erlaubt nicht IT Angestellten einen Gastzugang über eine Webportal anzulegen » Spezielle Admin-ID für den Gästemanagement-Zugriff • Generiert ein temporäres Passwort und ein Gültigkeitszeitraum • Verteilt die Zugangsdaten über E-Mail, SMS oder Ausdruck • Funktion zum Anlegen mehrere User gleichzeitig 23 Geräte Identifizierung Überblick Geräte Identifizierung • Geräte & OS Fingerprint • Geräte Klassizifierung & Management • Kontextbezogene Geräte Information Geräte basierdende Policy • Policies für Geräte/Gerätegruppen Device Group List 24 Identifiziert Gertätetypen für eine bessere Sichtbarkeit Ermöglicht Policies auf Basis von Geräten oder Gerätetypen Erlaubt Unternehmen BYOD Probleme sicher zu handhaben Überblick User Identifizierung Authentifizierungs Service 2 Faktor Authentifizierung • Lokale User Datenbank • Remote Auth. Service – LDAP, Radius & TACACS+ • Externe 2FA Unterstützung • Integrierter Tokenserver mit Hardware Token und SMS & Soft Tokens Single Sign-on • Windows AD, Novell eDirectory Integration • SSO mit POP3/POP3S, Access Auth. & FortiClient • Citrix & Terminal Server Agent PKI and Zertifikate • • • • 25 X.509 Zertifikate, SCEP Unterstützung Certificate signing request (CSR) Auto-Renewal von Zertifikaten vor Ablauf OCSP Unterstützung User Monitor Sicherer Zugriff in das interne Netz mit User Identifizierung Mobile Token PIN eingeben… 26 OTP wird angezeigt… End-to-End Security Lösungen 27 Vielen Dank! 28