PROFI Netzwerk & Security Praxiserprobte Implementierungen. 1 Praxiserprobte Implementierungen

Transkript

1 PROFI Netzwerk & Security Praxiserprobte Implementierungen 1 Praxiserprobte Implementierungen

2 Vorstellung PROFI Netzwerk & Security KOMPETENZTEAM NETZWERK & SECURITY 2 Praxiserprobte Implementierungen

3 Übersicht Kompetenzteam Netzwerk & Security Kompetenz Team Berater und Systemingenieure IT-Security Beratung Konzeptionierung Compliance Perimeter- Sicherheit Firewall / VPN / IPS Application Delivery Web/Mail Security Endpoint- Sicherheit AV-Lösungen Verschlüsselung Mobility Management / Monitoring SIEM Firewall- Management Vulnerability Mgmt LAN-Infrastruktur Datacenter Networks Campus Networks WLAN SDN Strategie-Beratung Planung und Design Implementierung Betrieb / Managed Service 3 Praxiserprobte Implementierungen

4 Lösungsportfolio - Security Firewall / VPN / IPS Planung und Design von Perimeter-Netzen Integration von Applikationserkennung, IPS und Next Generation Firewalling Sichere Unternehmens-Vernetzung Web Gateways Vermeiden von Malware-Infektionen aus dem Web, auch in verschlüsselten HTTPS Verbindungen Benutzerbasierte Regelkonfiguration mit SSO Granulare Definition erlaubter und verbotener Webseiten-Kategorien Mobile Security Kontrolle über Mobile Geräte, Daten und Anwender Mobile Device Management auf Geräte- Ebene, als Container-Modell oder hybrid Sichere, verschlüsselte Bereitstellung intern gehosteter Anwendungen Application Delivery Einheitliche Bereitstellung verschiedenster Server-Applikationen von zentraler Stelle Hohe Verfügbarkeit und intelligente Lastverteilung auch über RZ-Grenzen Sichere Verschlüsselung ohne zusätzliche Serverlast Gateways Implementierung komplexer Mail-Routing- Szenarien Effizientes Filtern nach Malware und Spam Sichere Kommunikation durch Mail Encryption Gateways Implementierung von Data Leakage Prevention Lösungen Endpoint Security Zentrale Verwaltung moderner Anti-Malware Lösungen Verschlüsselung von Festplatten, Wechseldatenträgern und File-Shares Sichere, verschlüsselte Bereitstellung intern gehosteter Anwendungen Networks Applications Management / GRC / SIEM Devices 4 Kompetenzteam Netzwerk & Security

5 Lösungsportfolio - Netzwerk Datacenter Networks Design und Implementierung hochperformanter Rechenzentrums-Netze und Ethernet Fabrics Active-Active Redundanz bis zur Edge Dynamisches Skalieren mit wachsenden Anforderungen Wireless Networks Planung und Umsetzung zentral gesteuerter Unternehmens-WLAN-Infrastrukturen Effizientes Routing auch in Remote Locations Single-Sign-On Integration in Active Directory Sichere Trennung durch separate Gastportale Software Defined Networks Umfassende Beratung zu Bedarf, Technik und Hersteller Projektierung, Implementierung, Workshops Network Access Control Absicherung des Netzwerks vor unautorisiertem Zugriff Automatische Zuweisung von VLANs zu Endgeräten Netzwerk-Inventarisierung 5 Kompetenzteam Netzwerk & Security

6 Lösungsportfolio Security Checks Security Checks mit PROFI Technisch Auditiv Network Vulnerability Scan Schwachstellen-Scan auf Netzwerkebene Aufdecken fehlerhafter Policies, veralteter Dienste, vergessener Server Manuelle Auswertung und Handlungs- Empfehlung Web Application Security Scan Untersucht Web- Applikationen auf Schwachstellen Findet z.b. Programmier-Fehler wie SQL-Injection, XSS Als einmaliger Scan oder eingebunden in den Entwicklungsprozess Security Checkup Deckt Lücken und Verbesserungs- Potenzial in der Perimeter-Firewall auf Scannt den tatsächlichen Internet- Traffic, listet Angriffe, Botnetze, besuchte URL-Kategorien etc. auf Keine Veränderung der Infrastruktur Penetration Test Testet, wie gut die IT tatsächlich gegen Angreifer geschützt ist Erfahrene Whitehats versuchen, Systeme zu kompromittieren bzw. an Daten zu gelangen Scope von White- bis Blackbox IT Risk Compact Check Untersuchung von IT Prozessen, Dokumentation und Technik Aufdecken der wichtigsten Risiken Praktische Handlungs- Empfehlungen zu den Funden 6 Praxiserprobte Implementierungen

7 Lösungsportfolio Managed Services Betreuung von Firewall-Systemen Content Security Gateways Application Delivery Controller Authentifikationssystemen Netzwerkkomponenten Schnelle Hilfe, wenn es darauf ankommt Kein Call-Center Keine Warteschleifen Individuelles Leistungsspektrum Erreichbarkeit 9x5 oder 7x24 Garantierte Reaktionszeit ab 1h Proaktives Monitoring Von Defect Calls bis zur vollständigen Übernahme von administrativen Tätigkeiten Kein unqualifizierter 1st-Level- Support Enge Partnerschaften mit den Herstellern Über 10 Jahre Erfahrung in Managed Security 7 Praxiserprobte Implementierungen

8 Vorstellung PROFI Netzwerk & Security BEISPIELE AUS DER PRAXIS 8 Praxiserprobte Implementierungen

9 Industriekonzern: Konsolidierung der Anwendungs-Bereitstellung Interne Anwendungen Herausforderungen: MS Exchange Microsoft Load Balancing Service: Nie zuverlässig funktioniert Problem-Behebung auch direkt durch Microsoft ohne Erfolg MS Lync, MS Sharepoint Keine MS-eigene Lösungsmöglichkeit für eine hochverfügbare Lastverteilung auf die Lync Frontend Server Einheitliche Bereitstellung mit Exchange Empfehlung von Microsoft: Verwenden Sie einen richtigen Loadbalancer Weitere: Mail Encryption Gateway Frontends, Gast WLAN Hochverfügbare Bereitstellung von LDAP und RADIUS Diensten sind nativ in den Anwendungen problematisch Frontend Server sollen hochverfügbar balanciert werden 9 Praxiserprobte Implementierungen

10 Übersicht Intern 10 Praxiserprobte Implementierungen

11 Industriekonzern: Konsolidierung der Anwendungs-Bereitstellung Interne Anwendungen Effekte MS Exchange Exchange Dienste hochverfügbar und lastverteilt Mitarbeiter produktiver + zufriedener Vereinfachung + Zentralisierung der Administration Schnellere und einfachere Reaktion auf neue Versionen oder Anforderungen Verbessertes Fehlermanagement durch intelligentes Abprüfen der Backend-Services ermöglicht proaktives Agieren MS Lync, MS Sharepoint HA-Bereitstellung von Lync überhaupt erst ermöglicht Flexible Bereitstellung einer neuen, komplexen Anwendung Beschleunigung des Lync-Projekts Unkomplizierte Erweiterung auf weitere Applikationen Fortführung der Zentralisierung bzgl. Client- Zugriff und Administration Mail Encryption, Gastportal, Höhere Verfügbarkeit von Diensten, die dies nativ gar nicht bieten, ohne die Applikationen an sich zu verändern 11 Praxiserprobte Implementierungen

12 Industriekonzern: Konsolidierung der Anwendungs-Bereitstellung DMZ Herausforderungen Bestehende Infrastruktur 4x Apache Reverse Proxy mit modsecurity 4x Layer 7 Switches für Hochverfügbarkeit Backend Server über 2 RZ verteilt Heterogene Anwendungen ~20 Nicht-öffentliche Anwendungen Exchange-Dienste Intranet SAP-Portale Wachsende Komplexität Flexibilität: Erweiterungen aufwändig und kompliziert Sicherheit: Manuelles Aktualisieren der Reverse Proxies bedingt Zeitfenster niedrigeren Schutzniveaus Authentifizierung: Geschieht erst am Backend-Server, für OTP-User doppelt Management: Zentrales Monitoring von Last, Physik und Anwendungen aufwändig Administration: Getrennte Administration von Netzwerkund Anwendungs-Komponenten 12 Praxiserprobte Implementierungen

13 Übersicht DMZ BI / Management Informatinssystem Bestellsysteme Intranet Exchange SAP Zertifikatsdienste Proxy Filetransfer Mail Gateways LTM / ASM / APM Lync Webshop 13 Praxiserprobte Implementierungen

14 Industriekonzern: Konsolidierung der Anwendungs-Bereitstellung DMZ Effekte Erhöhtes Sicherheitsniveau IP-basiertes Reputationssystem Vollwertige WAF mit L7 DDoS und automatischem Policy-Learning Antivirus-Prüfung von Uploads Authentifizierung am ADC statt am Backend Server Nur eine Anmeldung, selbst mit OTP Token intelligentes Abprüfen der Backend- Services ermöglicht proaktives Agieren Verbesserter Service Mitarbeiter produktiver + zufriedener Single Sign On sogar für Cloud-Dienste Einbindung von Non-AD Usern Schnellere und einfachere Reaktion auf neue Versionen oder Anforderungen Vereinfachung + Zentralisierung der Administration Aussagekräftiges Monitoring von Applikationsnutzung, Sicherheit, Ausfällen 14 Praxiserprobte Implementierungen

15 Sophos UTM Verbund als Big Bang Migration Ausgangslage Aufgabe Aktivitäten Ergebnis 6 Werke weltweit im VPN- Verbund Unternehmen von bisherigem Netzwerk- Dienstleister gekidnappt - Kein Zugriff auf Config oder Systeme in LAN und Firewalls Rechtsstreit mit Dienstleister, Angst vor Manipulation oder Backdoors Austausch aller Firewalls weltweit gleichzeitig, um Zugriffe des Dienstleisters zu vermeiden Aufbau eines neuen Firewall-Regelwerks ohne Kenntnis des bisherigen Verbesserung von Redundanz und Performance im Core-LAN Minimale Downtime im gesamten Projektverlauf Planung, Sizing und Vorbereitung von 6 UTM- Clustern sowie Cisco Nexus Datacenter Switches Jeweils redundante ISP- Anbindung mit transparenten Failovers Beratung und Analysen zur Erstellung des Regelwerks Sniffen von Switch- Passwörtern aus dem Live Traffic Erfolgreicher Umzug aller Standorte innerhalb eines Tages Downtime pro Standort unter 4 Stunden Erfolgreiche Failover-Test für neu geschaffene Redundanzen in ISP, VPN, Core-Switch Einführung des neuen Einwahl-VPNs als Self- Service 15 Praxiserprobte Implementierungen

16 Schwachstellen-Scan Ausgangslage Aufgabe Aktivitäten Ergebnis Nach mehreren Personalwechseln stellte sich die Frage nach dem Status der IT-Security, zunächst für den Perimeter: Wie gut sind unsere Firewalls konfiguriert? Welche Angriffsfläche bieten unsere exponierten Systeme im Internet? Besteht dringender Handlungsbedarf, und wenn ja: wo? Prüfung des Perimeternetzes auf Angriffsfläche, bedingt durch - Designfehler - Konfigurationsfehler - Eingesetzte Software Gefolgt von konkreten Handlungsempfehlungen zur Behebung Durchführung eines Vulnerability Scan, um Schwachstellen mit möglichst geringem Aufwand zu identifizieren und zu priorisieren Aufbereitung, Priorisierung und Handlungsempfehlungen durch einen Security Berater Massive Defizite in der Firewall-Konfiguration, die so bislang nicht bekannt waren Detail-Analysen deckten ein kompromittiertes Mail- Gateway auf, das noch durch fremde in Benutzung war Nach ersten Sofortmaßnahmen: Gemeinsames technisches und organisatorisches Redesign, um solche Fälle zukünftig zu vermeiden 16 Praxiserprobte Implementierungen

17 IHRE ANSPRECHPARTNER Marcus Hock Leiter Kompetenzteam Netzwerk & Security Tel: Christian Hantrop Bereichsleiter Geschäftsbereich System Infrastruktur Lösungen Tel: Praxiserprobte Implementierungen