Mobile Nutzung von Unternehmensressourcen VPN-Szenarien und aktuelle Anwendungen Olaf Jacobi Leiter Internet Vertrieb / Marketing IBH IT-Service GmbH Gostritzer Str. 67a 01217 Dresden info@ibh.de www.ibh.de
Inhaltsverzeichnis 1. Reale Bedrohungen sichere Erkennung? 2. Anwendungen ganz mobil 3. Mobilität und Erreichbarkeit 4. Optimierungspotential mit IBH nutzen 2
REALE BEDROHUNGEN - SICHERE ERKENNUNG 3
Die Gefahren sind real Bitkom/Forsa Statistik 4
Bedrohungsszenarien Wandel der Hacker-Aktivitäten und Motivationen u Früher: technische Herausforderung Ansporn für die Computer-Freaks u Jetzt: monetäre Beweggründe u Zunehmende Professionalisierung l Vermietung von Botnetzen l Installation von Adware l Gezielter Einsatz von Trojanern l Entwicklung von Rootkits 5
Immer raffiniertere Bedrohungen mit strukturierten, monetären Zielen Ersteller Direkter Angreifer Mittelsmänner Indirekte Angreifer Ziele Identitätsdiebstahl Werkzeug- Autoren Malware- Autoren Würmer Viren Trojaner Spyware Hacker oder direkter Angriff Sammeln gekaperter Systeme Sammeln von Informationen Diebstahl und Privilegien- Missbrauch Gekaperte Geräte und Anwendungen Bildung von Botnetzen Management von Botnetzen Persönliche Informationen Vermittlung von Informationen Durchsickern von Informationen Erpresser oder DDoS-Vermieter Spammer Phisher Pharmer/DNS Poisoning Ruhm Diebstahl Spionage Erpressung Kommerzieller Handel Betrügerischer Handel Klickbetrug Finanzbetrug
Aktuelle Betrachtung u Bitkom Pressegespräch 20.1.09: n Die Computerkriminalität hat sich stark und schnell professionalisiert - weg vom jugendlichen Hacker hin zu komplexen, kriminellen Organisationen. Die Bedrohung für Verbraucher und Unternehmen steigt, auch die Strafverfolgungsbehörden stehen vor einer besonderen Herausforderung, denn die Technologien und Bedrohungsszenarien verändern sich permanent. u Bitkom Pressekonferenz 8.10.09: n BKA-Präsident Jörg Ziercke Neue Tatphänomene ersetzen zunehmend klassische Delikte. Es gibt kaum noch Kriminalitätsbereiche, in denen Betrüger auf das Internet verzichten. u Wie reagiert Ihr Unternehmen darauf? 7
Einflußnehmende Faktoren für die geschäftliche Sicherheit Zusammenarbeit und Kommunikation TelePresence / Video / IM / Email Mobility Web 2.0 / Web Services / SOA Das neue Bedrohungsumfeld The Eroding Perimeter Spam / Malware / Profit-Driven Hacking Data Loss and Theft Sicherheit und Geschäftserfolg IT Risiko Management Einhaltung von Regularien Sicherheit als Geschäftsgrundlage 8
Cisco Self-Defending Network Lösungen für geschäftsfähige Sicherheit Systemmanagement Regelwerk Reputation Identität Sicherheit für Anwendungen Sicherheit für Inhalte Netzwerksicherheit Endpunktsicherheit Das selbstverteidigende Netzwerk: Systematischer Ansatz für den Einsatz der jeweils besten Lösung Geschäftsregularien durchsetzen und kritische Werte schützen Administrativen Aufwand eingrenzen und TCO reduzieren Sicherheits- und Compliance-Risiko reduzieren 9
Malware stoppen: Sichtbarkeit und Kontrolle Firewall und VPN Intrusion Prevention Content Security Endpunkt- Security Verkehrs-/ Zugriffskontrolle Verschlüsselung sselung Entdeckung Präzise Eindämmung Email Antipam Webfilter Host IPS AntiViruslösungen Zentralisiertes Management von Sicherheitsvorgaben und Monitoring
Cisco ASA 5500 Series Zusammenspiel robuster, markterprobter Technologien Markterprobte, bewährte Technologien Adaptive Verteidigung, Sichere Verbindungen Firewall Technologie Cisco PIX IPS Technologie Cisco IPS Content Security Trend Micro App Inspection, Use Enforcement, Web Control Application Security + IPS Malware/Content Schutz, Anomaly Detection Content Security Services VPN Technologie Cisco VPN 3000 Unified Communications Cisco Sprache/Video Netzwerkintelligenz Cisco Network Services ASA 5500 Series Verkehrs- /Zugangskontrolle, proaktives Verhalten Access Control, etc. Sichere Verbindungen SSL & IPsec VPN
Sichere Verbindungen per VPN VPN-Lösungen von Cisco
Intrusion Prevention Systems (IPS) Prüft Datenverkehr auf Paketebene Intelligente Lösung reduziert false positives Koordiniert Abwehrmaßnahmen mit vorhandener Netzwerkausstattung Anwendungsmissbrauch: Inspiziert und kontrolliert IM, P2P, Backdoor Partnerschaft mit Trend Micro: für aktuelle Signaturen P2P/IM Missbrauch DoS/ DDoS Trojaner/ Backdoors Viren/Würmer rmer Anti-Spam Port 80 Missbrauch Spyware/ Adware Bots/ Zombies
Cisco IOS Intrusion Prevention (IPS) Übergreifende Verteidigungslinie gegen Würmer und Viren Cisco IOS IPS stoppt Angriffe am Eingangstor, hilft WAN Bandbreite einsparen, und schützt Router und entfernte Netze vor DoS Attacken Appliance-Modell ermöglicht kostengünstigen Einsatz auch in kleinen und mittleren Unternehmen sowie in Filialstandorten Unterstützt voll selektierbare Untergruppe von 2000+ Signaturen bei Zugriff auf die gleiche Signaturdatenbank wie Cisco IPS Sensoren Erlaubt manuell erstellte Signaturen, um schnell auf neue Bedrohungen reagieren zu können Filialstandort Stoppt Angriffe, ehe sie das WAN überlasten Internet Firmenzentrale Kleines Büro Home Office Anwendung von IPS, um Würmer aus Home-Office PCs wegzusperren Cisco.com/go/iosips
Intrusion Prevention Strategy Integriert Adaptiv Kollaborativ Integration von IPS im Gesamtkonzept zahlreiche Sensoren gestützt auf und integriert mit bewährten Technologien modulare Inspektions-Engines: schnellste Reaktion Schutz vor Tag-0- Angriffen Anpassung von Policies in Real Time On-Box- und netzwerkweiter Abgleich Maximale Effizienz durch Abgleich von Endpunkten und Netzwerkgeräten 15
IDS im Überblick 16
IPS im Überblick 17
IDS vs. IPS 1 IDS u allgemein per SPAN / RSPAN / TAP integriert PRO: u kein begrenzender Einfluss auf Netzwerk u schnelles Setup ohne Downtime u möglicher Schutz durch Session Reset und Host Blocking (Switch muss packet input auf SPAN Port unterstützen) CON: u begrenzter Schutz (nicht vor atomic packets) u Limits von SPAN/RSPAN Sessions auf Switch 18
IDS vs. IPS 2 IPS PRO: u gefährliche Pakete können gedropped und modifiziert werden (Normalizer Engine) u Rate Limit für Datenverkehr möglich CON: u Downtime für Einbau des Sensors u False Positives könnten guten Datenverkehr verhindern u Datenverkehr durch IPS-Durchsatz beeinflusst, Latenz 10-15ms 19
Methoden der Angreifererkennung u Simple Pattern Matching l atomic / single data packet content match u Stateful Pattern Matching l z.b. fragmentiertes TCP Paket u Context Stateful Pattern Matching l FTP Data oder Command channel u Protocol Decode-Based Analysis l RFC-Verletzungen, falsche Feldlängen in speziellen Paketen u.a. u Analyse von Anomalien l Vom Normalverkehr abweichende Muster u Reputation Based Analysis l Global Correlation 20
ANWENDUNGEN VON ÜBERALL 21
Citrix XenApp 6 u der de-facto Standard für Anwendungsbereitstellung auf beliebigen Desktops u von PC bis Mac, von SmartPhone bis Netbook Zugriff von überall her u Selbstbedienung der Benutzer für Apps, Desktops und IT-Services u Hi-Definition für Multimedia über beliebige Netzwerke hinweg u speziell geeignet für MS Windows Server 2008R2 22
Merkmale XenApp 6 Receiver für Windows, MAC & Linux Smartphone Unterstützung iphone 2.0 Android Windows Mobile Neue Plug-Ins Single Sign-On WAN- Beschleunigung EasyCall Sprachdienste Microsoft App-V Dazzle selfservice Webshop für PC und Mac Microsoft App-V Integration HDX RealTime Collaboration für OCS und VoIP Softphones HDX RealTime CD Audioqualität HDX Plug n Play für portable Windows USB- Geräte Gebaut für WS08 R2 Einfache, schnelle Installation Intuitive Management Konsole für Apps Nahtlose Integration der Microsoft Management - Anwendungen 23
Citrix Receiver für Mac Zugriff auf On-Demand Anwendungen u universelle Unterstützung für MacOS u intuitiver Zugriff auf Windows- Anwendungen u ermöglicht Benutzern die Wahl, wo und wie sie arbeiten u ermöglicht der IT-Abteilung Kontrolle von Kosten, Leistungen und Verfügbarkeit u sichere Bereitstellung über das Netzwerk 24
SmartPhone Unterstützung Zugang von mobilen Endgeräten u einfach und sicher u Flexibilität für Benutzer durch Zugriff von überall auf Unternehmensanwendungen u Schneller Zugriff auf Dokumente und Daten mit der Funktion Doc Finder u Optimierter Zugang zu webbasierten Anwendungen mit App Viewer 25
Integration von Microsoft App-V Flexibilität für Bereitstellung von Anwendungen u u u u App-V Pakete können direkt vom XenApp AppCenter publiziert werden App-V Client Plug-In mit Citrix Receiver managen Abonnement von App-V Paketen über Citrix Dazzle App-V und andere XenApp Anwendungen können interagieren und Daten austauschen Vorteil: u Single Management für virtuelle Anwendungen von Citrix oder Microsoft 26
Und welche Schnittstelle? Citrix Netscaler / Citrix Access Gateway u Application Delivery Controller (ADC) u Schutz durch Citrix Application Firewall u Hochverfügbarkeit von XenApp-Farmen durch umfangreiche LoadBalancing Optionen u EdgeSight - Wie verhalten sich Anwendungen aus der Sicht des Nutzers? u Reduzierung der Infrastruktur- und Administrationkosten l effiziente Komprimierung l grafische Oberfläche statt Script-Programmierung 27
NetScaler für die Cloud XenServer NetScaler Enterprise Datacenters Rate Limiting/SLA/Metering Reverse AJAX Routing, SLB, SSL Offload Spillover Routing Internet Consolidation & Virtualization Scalability & Manage Security, Routing, LB SLA/Rate Limiting/Metering Reverse Ajax/Push Automated Provisioning XML/Ajax Security XenServer XenServer Web 2.0/Rich Client Support NetScaler NetScaler Nutzer Cloud Providers (MSP, ASP, ISP)
Beispiel-Frontend 1
Beispiel-Frontend 2
Beispiel-Frontend 3
EFFIZIENZ DURCH ERREICHBARKEIT 32
Kommunikationstechnologie schafft erhöhte Produktivität und Komplexität! Geräte und Apps vermehren sich rasch also, hit oder miss um KollegInnen zu erreichen wenn benötigt täglich 36% resultierend in Zeitmangel und schlechterer Produktivität 3 und mehr Geräte Monthly 22% 27% unterwegs durchschn. 1X mon. Angestellte sind zunehmend mobil täglich 52% KollegInnen müssen raten, wie man sich erreicht Quelle: Sage Research
Genutzte Kommunikationsmittel Source: IDC
Der Wert von Präsenz : Für einfachste Kontaktaufnahme Kostbare Zeit sparen Wissen, wer erreichbar ist und wie Präsenzinfo, Verfügbarkeit und Zusatzinfos Zahl erfolgreicher Kontaktaufnahmen erhöhen
Nutzen der Mobilität: Regelbasierte Um- und Weiterleitungen Primärer Arbeitsplatz Cisco Unified Communication Manager Express Alternativer Arbeitsplatz Home Office Users Cell Phone Intelligente Vermittlung von Sprachverbindungen auf der Basis nutzerbasierter Regelwerke
UCC Mobility Intelligentes Rufmanagement Mobility Call Routing Rules Nutzer definieren Regeln entsprechend ihrem Status, Lokation, Rufbarkeit, Tageszeit Anrufe können auf verschiedene Einträge im persönlichen oder Unternehmensverzeichnis geroutet werden Anrufe können auf dem Mobiltelefon, dem Telefon im Home Office oder auf anderen Nummern angenommen werden Bis zu 4 simultane Rufziele. Erstellung mehrerer Regeln ist möglich, Aktivierung nach Bedarf Setup Wizard unterstützt bei der Erstellung der Regeln Anrufsteuerung ganz nach den Bedürfnissen des Benutzers!
Single Number Reach mit Cisco Mobility Externer Anrufer LAN oder WLAN (für IP-Telefone) PSTN Anschlüsse Cisco ISR Router Büro Meier CME Meier s Handy Unified Call Connector Büro Max
MAßGESCHNEIDERTE LEISTUNGEN IM IBH RECHENZENTRUM 39
Rechenzentrum von IBH Moderne Infrastruktur in zwei Rechenzentren u 2 Standorte: Gostritzer Str. und Backup-RZ l Verbindung per Glasfaser (10Gbit/s) u Zuverlässige, redundante USV-Anlage u Serversysteme und Datenspeichersysteme in modernster Bauform (z.b. Blade-Server) u Redundante Netzwerkstruktur u Redundante Internetverbindung Maximale Verfügbarkeit und Performance Realität! 40
IBH Internet- Backbone u Metro-Ethernet u Redundante Wege u Performante Uplinks u Zuverlässige Peerings u Weiterer Ausbau auf 10GBit/s 41
Modernes WAN-Design 42
Erweiterte Sicherheit durch VPN Ideale Ergänzung der der MPLS-Infrastruktur Weltweites Internet MPLS lite Netz DSL- & VPN-Router (von IBH) IBH Rechenzentrum Internet- Übergang Cisco ASA-Cluster MPLS Netz Grenz- Router (des Carriers) Individuelle VPN-Router (des Kunden) 43
OPTIMIERUNGSPOTENTIAL NUTZEN MIT DER IBH IT- SERVICE GMBH 44
IBH als kompetenter Partner IBH passt sich dem Bedarf seiner Kunden an u Großkunden l Eigene IT-Abteilung erledigt Routineaufgaben l IBH steht für spezielle IT-Themen und Support zur Verfügung u Mittelstand und kleinere Unternehmen l Keine eigene IT-Abteilung (oder ein Mitarbeiter macht es nebenbei) l IBH steht für alle IT-Themen zur Verfügung l IBH übernimmt auch regelmäßig administrative Aufgaben (Monitoring, Updates, Account-Pflege ) 45
Zertifizierungen Partnerschaften Die Mitarbeiter von IBH u Stand heute: 20 KollegInnen u umfangreich zertifiziert für den Einsatz verschiedener Herstellertechnologien 46
Vielen Dank für Ihre Aufmerksamkeit! www.ibh.de