Скачать презентацию Moderní vzdálený přístup Martin Koldovský mkoldov checkpoint com SE Скачать презентацию Moderní vzdálený přístup Martin Koldovský mkoldov checkpoint com SE

642d96c88c46bd847d6634e55985afd7.ppt

  • Количество слайдов: 16

Moderní vzdálený přístup Martin Koldovský mkoldov@checkpoint. com SE Manager Eastern Europe © 2003– 2008 Moderní vzdálený přístup Martin Koldovský mkoldov@checkpoint. com SE Manager Eastern Europe © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone

Výzvy § poskytnout vzdálený přístup většímu množství uživatelů – nové role uživatelů – nová Výzvy § poskytnout vzdálený přístup většímu množství uživatelů – nové role uživatelů – nová zařízení (mobilní zařízení, . . . ) – nová prostředí (sdílené počítače, domácí PC, . . . ) § více možností řízeného vzdáleného přístupu bez kompromisů v zabezpečení a s rozumnými nároky na administraci © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 2

Vzdálený přístup dříve a dnes § Dříve – pomalé připojení na omezenou dobu – Vzdálený přístup dříve a dnes § Dříve – pomalé připojení na omezenou dobu – relativně nízká míra rizika – připojení na veřejné IP adrese, bez překážek § Dnes – – stálé rychlé připojení, vysoká míra rizika broadband a bezdrátové sítě wifi hotspoty – captive portály další překážky - překlad adres, firewall, proxy © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 3

Agenda § § § Kdo přistupuje vzdáleně - autentizace Za jakých podmínek přistupuje - Agenda § § § Kdo přistupuje vzdáleně - autentizace Za jakých podmínek přistupuje - NAC Odkud přistupuje – VPN klienti a “bezklientský přístup” Přístup ze sdíleného klientského PC Mobilní přístup Přes co přistupuje – VPN brány © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 4

Kdo přistupuje - autentizace nové způsoby autentizace – Dynamic. ID – jednorázová hesla zasílaná Kdo přistupuje - autentizace nové způsoby autentizace – Dynamic. ID – jednorázová hesla zasílaná přes SMS » vzd. přístupem umožní vybavit více uživatelů a okamžitě se silným způsobem autentizace bez nákladů na autentizační zařízení pro každého uživatele (každý uživatel již token má – jeho mobil) » vhodné i pro scénář přístupu ze sdíleného PC, kde nelze použít smartcard, USB aut. tokeny apod. (není čtečka, nejsou drivery) © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 5

Za jakých podmínek přistupuje - NAC § pravidla na papíře a ve skutečnosti – Za jakých podmínek přistupuje - NAC § pravidla na papíře a ve skutečnosti – začít bezpečnostní politiky sledovat a technicky vynucovat § Network Access Control (NAC) - integrováno do VPN klienta § clientless NAC – na vyžádání, z webového prohlížeče § jde o cooperative enforcement – podílí se na něm brána na základě znalostí o konfiguraci a stavu klienta © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 6

Clientless NAC © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For Clientless NAC © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 7

Nezanechat stopy na sdíleném PC § ve sdíleném prostředí - Secure. Workspace – bezpečné Nezanechat stopy na sdíleném PC § ve sdíleném prostředí - Secure. Workspace – bezpečné zpracování firemních dat na sdíleném PC – šifrované prostředí, které je odstraněno s koncem relace – zabránit úniku informací přes sdílený počítač (zapomenuté interní dokumenty v internetové kavárně, nebezpečí spyware) – zabezpečení clipboardu, kontrola tisku – zabránit exportu dat ze zabezpečené relace – Program Control – jen autorizované aplikace a ochrana před malware – na vyžádání ze sítě nebo na USB © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 8

Clientless nemusí znamenat bez možnosti plné IP konektivity § podpora nativních aplikací vyžadujících plnou Clientless nemusí znamenat bez možnosti plné IP konektivity § podpora nativních aplikací vyžadujících plnou IP konektivitu – SSL Network Extender § IP konektivita bez nutnosti administrátorských práv na straně klienta – SSL Network Extender Application Mode © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 9

Mobilní zařízení § Secure. Client Mobile § i. Conn – VPN klient pro i. Mobilní zařízení § Secure. Client Mobile § i. Conn – VPN klient pro i. Phone § Active. Sync přes SSL - “bezklientský” zabezpečený e-mail © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 10

Nový rezidentní VPN klient § nová generace řešení Secure. Client = Check Point Endpoint Nový rezidentní VPN klient § nová generace řešení Secure. Client = Check Point Endpoint Connect § nyní i v balíku Endpoint Security – od verze R 72 © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 11

Dva extrémní přistupy jsou kombinovány § “ode zdi ke zdi”? § IPSec vs SSL Dva extrémní přistupy jsou kombinovány § “ode zdi ke zdi”? § IPSec vs SSL VPN § organizací spravovaný koncový bod vs. koncové zařízení, o kterém víme jen velmi málo § rezidentní klient vs. clientless přístup © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 12

Ochrana na straně VPN brány § integrované bezpečnostní brány – integrace řízení přistupu (firewall), Ochrana na straně VPN brány § integrované bezpečnostní brány – integrace řízení přistupu (firewall), intrusion prevention, webového aplikačního firewallu, content inspection (AV) – cooperative enforcement – integrace NAC do VPN brány Web Server Normal User Security Gateway / Connectra Application Server Email Server © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. Hacker/ Infected PC Normal User [Public]—For everyone 13

VPN brány § Connectra – univerzální VPN koncentrátor pro SSL VPN i rezidentní IPSec VPN brány § Connectra – univerzální VPN koncentrátor pro SSL VPN i rezidentní IPSec klienty a mobilní zařízení – k instalaci jako appliance, software nebo na VMware ESX § VPN-1 (UTM-1/Power-1) – integrovaná bezpečnostní brána – nový SSL VPN Blade (“Connectra na platformě VPN-1”) Connectra 9072 © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 14

Total Security from Check Point Unified Gateways Single Security Management Console Single Endpoint Security Total Security from Check Point Unified Gateways Single Security Management Console Single Endpoint Security Agent totalsecurity from Check Point Only with Check Point can you achieve total end-to-end security with a single line of unified security gateways, a single agent for all endpoint security needs, all managed by our single integrated security management console. © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. [Public]—For everyone 15

Active. Sync support Active. Sync over SSL • Secure Microsoft Exchange access for users Active. Sync support Active. Sync over SSL • Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy) • Leveraging native built-in mail client • Any mobile phone supporting Active. Sync (WM, i. Phone, Android, Symbian) • Basic and client certificate based authentication • Auto-enrollment from the SSL VPN gateway • Access policy based on users groups • Support for multiple Exchange servers © 2003– 2008 Check Point Software Technologies Ltd. All rights reserved. Native Active. Sync over SSL Internet Security Gateway w/ SSL VPN Blade Active Directory MS Exchange Mail Server • MS Exchange server is decoupled from the internet • Centrally managed remote-access strong authentication • Control endpoint security through Active. Sync with additional options (Device lock , encryption, remote wipe, [Public]—For everyone 16