NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2 Balogh Viktor TMSI Kft. viktor.balogh@tmsi.hu CISM, Sophos UTM Architect, FireEye Certified Engineer antidotum 2014
Sophos UTM 9.1 tulajdonságai röviden NGFW Application Control IPS WAF Web Email WiFi RED (remote Ethernet) következő (új) generációs tűzfal alkalmazás ellenőrzés behatolás detektálás web alkalmazás tűzfal web forgalom ellenőrzése email forgalom ellenőrzése vezeték nélküli hálózat biztonság távoli ethernet eszköz 2
alkalmazás ellenőrzés Átjáró szintű alkalmazás ellenőrzés Két féle működési mód: Monitor naplózzuk, majd riportokat készítünk, hogy ki milyen alkalmazásokat használ Engedélyezés vagy tiltás a riportok elemezve definiálható, hogy kinek milyen alkalmazás szükséges a munkájához, majd a nem kívánatosak tiltása QoS maximálni lehet az alkalmazások által használt sávszélességet Az ellenőrzőtt alkalmazások listája: http://www.sophos.com/en-us/threatcenter/threat-analyses/controlled-applications.aspx 3
behatolás detektálás Szignatúra alapú támadás figyelés Különböző típusú kategóriák Anti-DoS Anti-Portscan 4
web alkalmazás tűzfal (WAF) Belső web szerverek védelme Cross site scripting (XSS) SQL injection Cookie signing Form hardening 5
web forgalom ellenőrzése HTTPS forgalom ellenőrzése Működési módok Proxy, transzparens és teljesen transzparens Hitelesítés AD SSO, Agent, Basic Anti-vírus ellenőrzés File és MIME típus szerinti szűrés http://www.iana.org/assignments/mediatypes/media-types.xhtml URL és URL reputáció alapú szűrés http://www.trustedsource.org Web oldal kategória szerinti szűrés 6
email forgalom ellenőrzése Spam szűrés Anti-virus ellenőrzés File és MIME típus szerinti szűrés Felhasználó által kezelhető karantén Titkosítás S/MIME OpenPGP 7
vezeték nélküli hálózat biztonság Több féle AP Több SSID és hálózat szegmentálás Mesh hálózat Wireless Bridge Wireless Repeater Hotspot 3 mód Használati elfogadás Napi jelszó Használati igazolás (Voucher) 8
távoli ethernet eszköz RED infrastruktúra alapjai Működési módok Standard, split 9
új hálózat biztonsági tulajdonságok a közel jövőben CY 2013 CY 2014 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 9.2 9.2x 10.0 UTM 9.2 főbb újdonságai Hálózati biztonság APT (C&C) Sophos SXL AV 2 faktoros hitelesítés Mail SPX/DLP WAF 2 faktoros hitelesítés UTM 9.2x BYOD UTM és a mobil eszközök integrációja.
BYOD és az UTM Sophos Mobile Control-ról röviden UTM és a Mobil eszközök integrációja Wireless/VPN konfiguráció a Sophos Mobile Control segítségével Hálózati hozzáférés vezérlése a Mobil eszköz megfelelőségének függvényében 11
SPX titkosítás email titkosítás és DLP Az előre beállított feltételek alapján a levelet és a csatolmányt egy titkosított PDF csatolmányként lehet kiküldeni Jelszó generálás Címzett DLP Adatszivárgás és szabály alapú email titkosítás Régió és ország Adattípus kiválasztása, pénzügyi, személyes, HIPAA Szabály létrehozés: nem lehet kiküldeni, titkosítani, egy megadott személy értesítése, stb..
Sophos az APT-ről Sophos az APT-ről : James Lyne videója
Az APT-ről röviden (I.) Az advanced persistent threat (rövidítve APT, magyarul fejlett állandó fenyegetés) egy olyan hálózati támadás, amelyben egy jogosulatlan felhasználó hálózati hozzáférést szerez és hosszú időn keresztül észrevétlen marad. 14
Az APT-ről röviden (II.) Egy APT támadás célja inkább az adatlopás, mint a károkozás a hálózat vagy a szervezet számára. Az APT támadások a nagy-értékű információval, adatokkal rendelkező vállalati szektorokat veszik célba. Ilyen például a nemzetvédelem, a gyártás és a pénzügyi iparág. Természetesen a támadások nem csak az előbb említett szektorokat érinthetik, hiszen mindenkinek más és más információ vagy adat lehet fontos és nagy értékkel bíró. 15
Az APT-ről röviden (III.) Egy APT támadó gyakran használ célzott adathalász támadást (spear-phishing, amely egy közösségi átverési típus), hogy hozzáférést szerezzen egy hálózathoz legitim módon. FONTOS: szignatúra alapú védelemmel nem lehet blokkolni az ilyen típusú támadásokat. Azaz a szignatúra alapú védelem szükséges, de NEM elegendő! 16
17 APT támadás fázisai
Kérdések? Balogh Viktor TMSI Kft. CISM, Sophos UTM Architect, FireEye Certified Engineer antidotum 2014 viktor.balogh@tmsi.hu