McAfee Next generation firewall termékismertető

Átírás

1 McAfee Next generation firewall termékismertető Áttekintés A McAfee next generation firewall termékcsaládja nagyvállalati ügyfelek, nagy teljesítményű, intelligens védelmét oldja meg. A termék valósidőben frissíti adatbázisát, így képes pillanatok alatt reagálni az új kártevőkre, így a McAfee felhő alapú tudásbázisával együtt az egyik legjobb védelmi megoldás a piacon. A tűzfal természetesen az elvárásoknak megfelelően next generation típusú, képes lefedni adatközponti, telephelyi igényeket is. 1. ábra: A McAfee next generation tűzfal logikai moduljai A termékcsalád jellemzői: - intelligens védelem nagyvállalatoknak

2 - az üzletileg értékes adatok védelmére kifejlesztve - hálózati szinten óvja a vállalati végpontokat, támadásoktól, kártevőktől - könnyen integrálható már meglévő IT rendszerekbe - könnyen skálázható, ahogy a vállalati igények változnak - csökkenő költségek biztonsági és hálózati oldalon Egyedi előnyök: - intelligens biztonsági megoldás - alkalmazás szintű védelem - evasion típusú támadások elleni védelem - egységes szoftver platform - hibatűrő rendszer kialakítható - központi menedzsment felület - beépített IPS és SSL VPN modul A McAfee Next Generation Firewall (McAfee NGFW) teljes körű védelmet nyújt, hiszen részletes és hangolható alkalmazás szintű védelmet ad, beépített IPS modullal rendelkezik, elérhető a VPN modul is, valamint egy deep packet inspection tűzfal modul (képes a hálózati forgalmat összeállítani, normalizálni, és elemezni is). E mellett hatékony, bővíthető, skálázható a rendszer, mely biztonságot nyújt a legtöbb támadási típus ellen. Adatvesztés elleni védelem A nagyvállalatoknak az adatvesztések ellen is jó megoldással kell rendelkezniük, hiszen sok esetben a szellemi tőke a vállaltok legnagyobb értéke, melynek a védelme a legfontosabb. Az alkalmazás szinten is futó tűzfal modul képes erre a védelemre, hiszen elemzi a munkaállomások, laptopok szerverek forgalmát, erre a forgalom monitorozásra pedig részletes szabályok ültethetők, így készíthető szabály zónára, IP tartományra, felhasználókra, kritikus dokumentumra, alkalmazásra, kommunikációs csatornára is.

3 2. ábra: A McAfee NGFW három modult tartalmaz és három platformon elérhető Rugalmasság mindenekelőtt Az egységes szoftver platform képes lekövetni a vállalti igények változását, könnyen módosítható a Layer-2 tűzfal szerepköre tűzfalról VPN gateway-re, vagy IPS-re. Az egységes platform mindezt optimalizálva nyújtja a sebesség majdnem teljesen független a bekapcsolt modulok számától. A termékcsalád ráadásul elérhető fizikai appliance-ként, szoftveres megoldásként, vagy akár virtuális szerverként is. Üzletileg kritikus alkalmazások Az adatok védelme a legfontosabb, a McAfee NGFW erre három skálázható, nagy rendelkezésre állású opciót is nyújt: - Aktív-aktív cluster akár 16 eszköz is egyetlen cluster-be rendezhető, így bővíthető az eszközpark, növelhető a sebesség és a rendelkezésre állás - Transparent session failover a McAfee NGFW több módszert is támogat, mellyel elérhető, hogy tűzfal eszköz kiesés esetén a felhasználó semmit ne vegyen észre ebből és automatikusan átkerüljön egy másik tűzfal platformra - McAfee Multi-Link Nagy rendelkezésre állású megoldás, hogy az esetlegesen kieső internet kapcsolat se okozhasson gondot, ilyenkor automatikusan átáll a rendszer a tartalék vonalra Egyedi védelem Minden egyes nappal fejlődnek a támadók, egyre újabb sérülékenységek kerülnek napvilágra, alkalmazások avulnak el, újabb támadási felületek jelennek meg. Ha ezek egyike is célba ér, akkor a támadó képes a belső hálózatban lévő adatokat ellopni, eladni, nyilvánosságra hozni, melyek akár a vállalat végét is jelenthetik, hiszen sérül a hírnév. Ilyen újdonság az AET (advanced evasion techniques), mely képes jó néhány védelmi megoldást kijátszani. Ez a módszer a kívánt kártevőt szétbontja hálózati rétegek, protokollok között, aktívan használja a masking és az obfuscation technikát, hogy még nehezebb legyen felismerni. Ahogy a célzott végpontra kerül, már képes újból a teljes csomagot összeállítni, és máris aktív kártevő található a védett

4 zónában (ezeket ráadásul elég nehéz észlelni a későbbiekben is, hetek is eltelhetnek az észlelésig). A McAfee NGFW többszintű védelmet nyújt, mely azonosítja a hálózati réteget, a protokollt, az alkalmazást, és még a felhasználót is, hogy finom hangolható legyen a szabálykészlet. Teljes csomagot monitoroz (deep packet inspection), képes akár a normalizálásra, vagy a stream alapú vizsgálatra is. Ezen vizsgálatok is segítik az AET elleni küzdelmet, az anomáliák kiszűrésének a lehetőségét. A forgalom csak azután kerül továbbításra, ha mindegyik modul megvizsgálta a teljes forgalmat, és nem detektált kártetőt (a McAfee NGFW eddig több, mint 800 millió AET-t képes észlelni). 3. ábra: HTTPS forgalom analízis A tudás hatalom A szigetszerű védelmi megoldások nem képesek a fontos információk, támadási vektorok megosztására, így sokkal kevésbé hatékonyak. A McAfee Security Connected filozófiája mögött sok millió végpont, több tucat termékcsalád, és a McAfee belső mérnöki csapata áll, ezzel könnyebben, gyorsabban megoszthatóak a kinyert információk, akár valósidőben is védekezhetünk az új támadási vektorok ellen. A Security Connected képes McAfee megoldásokkal integrációra, de akár 3rd party termékekkel is összeköthető: - epo Orchestrator a McAfee NGFW képes lekérdezni a végponti menedzsment megoldást, így plusz információk kaphatók a végpontokról, felhasználókról, így könnyebben szűrhetőek az anomáliák, egyszerűsíthetők a folyamatok, szabályok. - Enterprise Security Manager a SIEM megoldás folyamatosan tárolja a logokat, riasztásokat küld, ellenőrzi a compliance állapotot, valósidejű biztonsági állapot értéket ad ki, és az integrációnak köszönhetően lecsökken a válaszidő. - McAfee Advanced Threat Defense képes akár sandboxing technológiával is az új, zero-day támadások elleni védelemre. A sandboxing mellett statikus és dinamikus kódellenőrzésre is képes. Az integrációnak köszönhetően az NGFW által nem osztályozható file-ok továbbküldhetőek elemzésre az ATD eszköznek.

5 - McAfee Global Threat Intelligence a McAfee felhő alapú tudásbázisa a reputation adatbázisok folyamatos karbantartásával segíti a védekezést, mely szintén valósidőben frissül. 4. ábra: Integrációs lehetőségek Teljes körű menedzsment egyetlen konzolról A McAfee NGFW eszközök akár egyetlen felületről is menedzselhetők, legyen szó akár több száz tűzfal modulról is. A McAfee Security Management Center (SMC) egyetlen felületről nyújtja ezt, hiszen innen az eszközök, a modulok, az alkalmazások, a szabályok, a logolás és a riportok is testre szabhatóak. Az egyedi grafikus felület egyszerűen kezelhető, teljes képet ad a hálózatról, ezáltal csökkenti a szükséges erőforrások számát.

6 5. ábra: Az SMC konzol alá bármely NGFW termék beköthető License konstrukciók A McAfee NGFW rugalmasan ajánlható, hiszen az egyes modulok, akár egyesével, akár csomagban is elérhető. Ilyen opciók lehetnek: - firewall modul - VPN feature pack - IPS - Web Filtering - antivirus - antispam McAfee NGFW specifikáció Támogatott platformok Appliance Szoftver Virtuális appliance Modulok Több hardver eszköz elérhető, különböző teljesítménnyel és hálózati kártya opciókkal x86 alapú szerverekhez VMware ESX, Oracle VM, és KVM támogatás Tűzfal, IPS, VPN gateway Firewall/VPN modul Általános Stateful és stateless állapotvizsgálat

7 Azonosítás Magas rendelkezésre állás Belső adatbázis, LDAP, Microsoft Active Directory, RADIUS, TACACS+ - Active-active cluster - Active-standby cluster - Stateful failover - VRRP - Server load balancing - Link aggregation (802.3ad) - Link failure detection IP cím hozzárendelés - Statikus (IPv4 és IPv6 - DHCP - PPPoA - PPPoE Címfordítás - Statikus NAT (IPv4, IPv6) - Source NAT - Port address translation - Destination NAT Routing - Statikus (IPv4 és IPv6) - Szabály alapú route - Statikus multicast routing Dinamikus routing - IGMP proxy - RIPv2 - RIPng - OSPFv2 - OSPFv3 - BGP - PIM-SM IPv6 - Dual stack IPv4/IPv6 - ICMPv6

8 - DNSv6 CIS redirection - HTTP, FTP, SMTP protokollok továbbítása a content inspection server (CIS) felé IPS, layer 2 firewall modul Általános - Stateless packet filtering (Dix/IEEE) - Stateful packet filtering (IP protokoll) - Logical Interface matching ( VLAN, fizikai interface) - VLAN re-tagging - MAC address filtering Access control - IPv4 and IPv6 - Tunneled IP - IP-in-IP - IPv6 encapsulation - GRE Magas rendelkezésre állás - Layer 2 firewall clustering (active-passive) - IDS clustering (active-active/active-passive) - IPS serial clustering (active-active) - Fail-open interface support (IPS mode) - Dynamic inspection overload handling (IPS mode) IPSec VPN Protokollok - IKEv1 - IKEv2 - IPsec (IPv4, IPv6) Titkosítás - AES AES AES-GCM AES-GCM Blowfish - DES

9 - 3DES1 Message digest - AES-XCBC-MAC - MD5 - SHA-1 - SHA SHA Diffie-Hellmann - DH group 1, 2, 5, 14, 19, 20, 21 Azonosítás - RSA - DSS - ECDSA signatures with X.509 certificates - pre-shared keys - XAUTH - EAP Site-to-Site VPN - Szabály alapú VPN - Route-based VPN (GRE, IP-IP, SIT) - Hub and spoke - Full mesh - Partial mesh - McAfee Multi-Link - McAfee Multi-Link (load sharing, active/standby, link aggregation) Kliens VPN - VPN kliens Microsoft Windows-on SSL VPN - Automatic configuration update - Automatic failover (McAfee Multi-Link) - Client security check - Secure domain logon Kliens elérés - Android Mac OS X 10.7

10 - Windows Vista SP2 (vagy újabb) Portál elérés - OWA - Intranet elérés Antispam Támogatott protokoll - SMTP Engine - Score alapú algoritmus Szűrési módszerek - Testreszabható mail envelope/header/content - Local anti-spoofing, relay - Honeypot filtering - SPF/MX record - DNS-based blacklist Minden modulban elérhető funkciók Encapsulation - Ethernet q VLAN - PPPoA - PPPoE Access control - Interface zones - Idő - TLS information - Domain name - User information - Network applications - Client application - Agent QoS - Policy based traffic shaping - Guaranteed/maximum bandwidth prioritization - Differentiated services code point (DSCP) matching/marking - Policy-based concurrent session limiting

11 - Policy-based TCP MSS rewrite Inspection Anti Botnet - Decryption-based detection - Message length sequence analysis Dinamikus context analízis - Protokoll - File - Alkalmazás McAfee Advanced Threat Defense McAfee Global Threat Intelligence McAfee antimalware engine - Sandboxing - statikus analízis (PE file, Adobe file, MS Office Suite file, Archives, Java, Android Application Package) Osztályozás a felhő alapú reputation adatbázisból Támogatott protokollok: - FTP - HTTP - HTTPS - POP3 - IMAP - SMTP Normalizáció Ethernet, H.323, GRE, IPv4, IPv6, ICMP, IP-in-IP, IPv6 encapsulation, UDP, TCP, DNS, FTP, HTTP, HTTPS, IMAP, IMAPS, MGCP, Modbus/TCP, MSRPC, NetBios Datagram, OPC Classic, OPC UA, Oracle SQL Net,POP3, POP3S, RSH, RSTP, SIP, SMTP, SSH, SunRPC, NBT, SCCP, SMB, SMB2, SIP, TCP Proxy, TFTP Fingerprinting - TCP - UDP AET (Advanced evasion techniques) - Multilayer traffic normalization - Vulnerability-based fingerprints - Fully upgradable software-based inspection engine - Evasion and anomaly logging

12 DoS/DDoS - SYN/UDP flood detection - Concurrent connection limiting, interface-based log compression - Protection against slow HTTP request methods Blokkolási képességek - Direct blocking - Connection reset - Blacklisting (local and distributed) - HTML response - HTTP redirect URL Filtering Támogatott protokollok Engine - HTTP - HTTPS Kategória alapú adatbázis, lokális whitelist, blacklist opcióval Adatbázis - Több, mint 280 millió domain (több milliárd aloldallal) - 43 nyelv támogatása - 82 kategória