Cisco PIX Firewall: ein guter Chef kann delegieren

Ähnliche Dokumente

Aurorean Virtual Network

EXCHANGE Neuerungen und Praxis

Web Protection in Endpoint v10

Konfigurationsbeispiel ZyWALL USG

Cisco Systems Produkte zur Gestaltung von sicheren Netzwerken

Palo Alto Networks Innovative vs. Tradition. Matthias Canisius Country Manager DACH

IP-COP The bad packets stop here

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

JONATHAN JONA WISLER WHD.global

Dynamisches VPN mit FW V3.64

bewegt den Appliance Markt Wählen Sie die beste Security Appliance für Ihre Kunden

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

Unternehmen-IT sicher in der Public Cloud

Open Source und Sicherheit

Citrix Networking-Lösungen. Mehr Tempo und Ausfallsicherheit mit physischen und virtuellen Appliances

Sophos Complete Security

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Version/Datum: Dezember-2006

Core Solutions of Microsoft Exchange Server 2013 MOC 20341

New Endpoint Product &Bundles. Ab Ende Juli

Virtual Private Network

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

IPv6 Rollout im Datacenter

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

IPv6 Assessment im UniversitätsSpital Zürich

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

100G Firewalling Architektur und Praxis. Sven Rutsch Senior Systems Engineer CISA, CISM, CISSP

Integrierte Sicherheitslösungen

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Trend Micro Mobile Mitarbeiter ohne lokale Daten Wie geht das? Safe Mobile Workforce Timo Wege, Technical Consultant

SAP NetWeaver Gateway. 2013

Virtual Desktop Infrastructure: Das Backbone für Hosted Desktops. Ralf Schnell

Arrow University München Thin Client Lösungen performant (auch im 3D-Umfelfd), zukunftssicher und zentral verwaltet!

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Firewall-Versuch mit dem CCNA Standard Lab Bundle

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Vorteile von Java und Konvergenz Service Creation mit JAIN Network Management mit JMX Fazit

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

MOBILE SOLUTIONS ROADSHOW

Enzo Sabbattini. Presales Engineer

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Live Streaming => Netzwerk ( Streaming Server )

Citrix Provisioning Server Marcel Berquez. System Engineer

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

SDN & OpenStack. Eine Einführung. Martin Gerhard Loschwitz hastexo Professional Services GmbH. All rights reserved.

Radware revolutioniert den DDOS Schutz. Markus Spahn: (Sales Manager)

Bes 10 Für ios und Android

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Sicherheits- & Management Aspekte im mobilen Umfeld

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

150Mbps Wireless N Mini Pocket Router

Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

Dynamisches VPN mit FW V3.64

vsphere vs. HyperV ein Vergleich aus Sicht eines VMware Partners interface:systems

Marc Grote IT TRAINING GROTE

Collax PPTP-VPN. Howto

Donato Quaresima Matthias Hirsch

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

VMware Software -Defined Data Center

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

Secure Authentication for System & Network Administration

HERZLICH WILLKOMMEN SHAREPOINT DEEP DIVE FOR ADMINS IOZ AG 2

infowan Datenkommunikation GmbH Michael Kmitt - Senior Consultant

NG-NAC, Auf der Weg zu kontinuierlichem

Verschlüsselung von VoIP Telefonie

OmniAccess Wireless. Remote Access Point Lösung

IPv6 in der Praxis: Microsoft Direct Access

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Microsoft Azure Fundamentals MOC 10979

Mobile Device Management

Die Renaissance von Unified Communication in der Cloud. Daniel Jonathan Valik UC, Cloud and Collaboration

Zusammenfassung Programme, Promotionen, Bundles

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Sicherheit für virtualiserte Welten. Thorsten Schuberth Senior Technical Consultant & Security Evangelist

Upgrading Your Supporting Skills to Windows Server 2016

Unified Threat Management als Ersatz für das Microsoft TMG/IAG

HOBLink VPN. HOBLink VPN & Produktionsumgebung- / Steuerung

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten

Firewalls mit Iptables

PRÄSENTATION Das veränderte Bedrohungspotential in der IT magellan netzwerke GmbH

Konzept zur Push Notification/GCM für das LP System (vormals BDS System)

Administering Microsoft Exchange Server 2016 MOC

Business Wireless Lösungen

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen

57. DFN-Betriebstagung Überblick WLAN Technologien

HowTo: Einrichtung von L2TP over IPSec VPN

Portal for ArcGIS - Eine Einführung

Communications & Networking Accessories

Transkript:

Cisco PIX Firewall: ein guter Chef kann delegieren Marco Tienghi Autonome Provinz Bozen Das Amt 9.2 Landesverwaltung Abteilung 9.0 - Informatik Amt 9.2 Netze und Betriebssysteme Datennetze, Server und Clients (Betriebssysteme) 1

Die Arbeit, die Leute Amt für Netze u. Betriebssystemen Bereich Netze Marco Tienghi Antonella Melchiori Matteo Cuzzolin Paolo Realdon Gianfranco Idini Hugo Schrott Planung, Realisierung und Instandhaltung von Netzwerken Lokale Netze Stadtnetze WAN-Verbindungen ~ 5000 User Technische Räume (~30) Aktive NW-Geräte (~150 blöcke) Verwaltung Zugänge (Internet-Telearbeit-mobile users) Sicherheit im weitesten Sinn Das Netz Internet APB WAN FW ISP 1 2 SL/ISDN n APB MAN 1 Sterzing 1 2 n Schlanders Meran Brixen Bruneck Standleitungen 64K 2Mb n Standleitungen 64K 2Mb Bozen FW PAB MAN Bozen Eth/GbEth Vlan 1 Vlan 2 Vlan n Neumarkt 2

Zum Inhalt Cisco Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte Zum Inhalt Cisco Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte 3

Zum Thema Das vorgeschlagene Thema: - Cisco-Firewall: Funktionsweise, z.b. Arbeitsweise des Content Filterings anhand einer Demonstration vorzeigen Leider kein Thema! Zum Thema "Schutz vor Hackern und Spionen ----- 1: Cisco Firewall kann sehr feinen Analysen auf ISO/OSI level 2 7 machen. Content filtering ist aber etwas anderes 2: Content-filtering!= URL-filtering User dependent settings need for authentication and big config effort Cisco Firewall gibt es in Outsourcing 4

Zum Inhalt Cisco Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte Eigenschaften 1 Physikalischen Eigenschaften - mechanical robustness - no moving parts inside (no HDD Flash FS) - rack mountable chassis No OS components to mantain Many HW sizes single OS image 5

Eigenschaften 2 Release 6.3.5 (Pix 501 Pix 535) Stateful Firewall with Rich Application / Protocol Inspection Integrated VPN and In-Line Intrusion Detection Market-leading Voice /Multimedia Security Cost-Effective High Availability Solution Easy-to-use Web-based based Management Interface Robust Remote Management Options Certifications Embedded IDS And much More Packet captures Eigenschaften 3 Release 7.x (Pix 515 ASA 5540) Major PIX 7.0 Enhancements Failover Virtual Firewall Transparent Firewall Modular Policy Framework Quality of Service Application Inspection Engines IP Multicast GTP IPv6 Remote Access VPN S2S VPN Extensibility Other Enhancements 6

Application Inspection & Control Engines Provide Control over Application Usage & Network Access Application and protocol-aware inspection services provides strong application-layer security Performs conformance checking, state tracking, security checks, NAT/PAT support and dynamic port allocation Multimedia / Voice over IP H.323 v1-4 SIP SCCP (Skinny) GTP (3G Wireless) MGCP RTSP TAPI / JTAPI Specific Applications Microsoft Windows Messenger Microsoft NetMeeting Real Player Cisco IP Phones Cisco Softphones Over 30 Engines Core Internet Protocols HTTP FTP TFTP SMTP / ESMTP DNS / EDNS ICMP TCP UDP Database / OS Services ILS / LDAP Oracle / SQL*Net (V1/V2) Microsoft Networking NFS RSH SunRPC / NIS+ X Windows (XDMCP) Security Services IKE IPSec PPTP 13 Adaptive Identification and Mitigation (AIM) Srv. Architecture Technology Extensibility to Mitigate Current and Future Threats Security Services Extensibility Cisco Technology & Service Extensions Partner Technology & Service Extensions Secure Connectivity Remote Access VPN Connectivity Site-to-Site VPN Connectivity Adaptive Classification & Policy Framework Application Inspection & Control Anti-X Defenses Network Containment & Control Adaptive Threat Defense Cisco Intelligent Networking, High Availability, and Scalability Services Innovative AIM services architecture allows business to adapt and extend the security services profile via Cisco-developed and partner-provide innovations delivering high current services performance and services extensibility 7

Wunschliste Unerfüllte Wünsche - Internes logging (nur Buffer logging verfügbar) - Schnellere GUI - WAN interface types (es gibt aber IOS Firewall!!!) Cisco PIX Series Product Lineup Cisco PIX Security Appliances Family PIX 535 1.7 Gbps FW 495 Mbps VPN Catalyst 6500 Firewall System Up to 20 Gbps FW Up to 14 Gbps VPN PIX 501 60 Mbps FW 4 Mbps VPN PIX 506E 100 Mbps FW 30 Mbps VPN PIX 515E 190 Mbps FW 130 Mbps VPN PIX 525 330 Mbps FW 145 Mbps VPN SOHO ROBO SMB Enterprise Campus/SP 8

Cisco ASA 5500 Feature Overview Adaptive Identification and Mitigation (AIM) Services Architecture Adaptive Threat Defense Capabilities Application Security Anti-X Defenses Containment and Control Secure Connectivity Capabilities Remote Access Connectivity Site-to-Site Connectivity Converged Security and VPN Management Hardware Features and Performance Metrics Protection Performance Scalability Extensibility Complexity Costs Security Gaps Cisco ASA 5500 Series Product Lineup Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Target Market List Price SMB and SME Starting at $3,495 Enterprise Starting at $7,995 Large Enterprise Starting at $16,995 Performance Max Firewall Max Threat Mitig. (FW+IPS) Max IPSec VPN 300 Mbps 150 Mbps 170 Mbps 450 Mbps 375 Mbps 225 Mbps 650 Mbps 450 Mbps 325 Mbps Base Platform Services App FW, IPSec and SSL VPN, and more A/S HA (Upg.), 3 FE to 5 FE Same as 5510, plus A/A Failover, VPN Clustering, 4 GE + 1 FE Same as 5520, with higher performance and scalability 9

Zum Inhalt Cisco Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte Strenghts Leistungen Failover: stateful, active/active Virtual firewall (security contexts) transparent mode VPN failover Clustering Fein Konfigurierbar Support Zentrale Verwaltung Events correlation Einheitliche Programmier-UI... 10

User Interface - v6.x Virtualized Services and Transparent Operation Dept/Cust 1 Dept/Cust 2 Dept/Cust 3 Scalable Security Services Adds support for Security Contexts (virtual firewalls) to lower operational costs Enables device consolidation and segmentation Supports separated policies and administration PIX Easy to Deploy Firewall Services Introduces transparent firewall capabilities for rapid deployment of security Drops into existing networks without need for readdressing the network Simplifies deployments of internal firewalling and security zoning new applications Transparent Firewall Existing Network 11

Transparent Firewall The transparent PIX/ASA uses an inside interface and an outside interface only. Each directly connected network must be on the same subnet. A management IP address is required for each context, even if you do not intend to use Telnet to the context. For multiple context mode, each context can use the same (overlapping) subnet or different subnets under different Vlan, sharing of VLAN not allowed Dynamic routing protocols will not run on the device. However it can be pass through. NAT is not supported. You can also optionally use an EtherType ACL to allow non-ip traffic through. Internet Switch VLAN 100 10.0.1.1 ASA/PIX 10.0.1.2 VLAN 200 10.0.1.3 Folie 23 Converged Mgmt, Monitoring & Response Device Management Integrated, web-based mgmt Converged configuration FW, IPS, VPN, AV Real-time monitoring tools Cisco Adaptive Security Device Manager (ASDM) System Management Multi-device integrated mgmt Enterprise-scale provisioning CiscoWorks VPN/Security Management (VMS) System Solsoft Policy Server Monitoring and Mitigation Multi-platform event management and response Sophisticated data reduction and correlation Cisco Security MARS CiscoWorks SIMS Auditing Device posture validation against industry best practices and regulatory compliance Cisco Security Auditor 12

Zum Inhalt Cisco Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte URL Filtering 1 2 Officially Cisco suported integrations Am anfang nur URL filtering Nicht im Box integriert verlangt externes Server FW Server Dialog mittels eigenes Protokoll Internen Listen Abonnement an Listen klassifizierter Sites Websense ist am meistens bekannt SmartFilter (ehem. N2H2) eine Version ist besonders für Schulen gemeint - www.websense.com - www.securecomputing.com 13

Websense integration Figure 1 Synopsis of Windows Deployment in a Small Network SmartFilter integration Figure 1 Synopsis of Windows Deployment in a Small Network 14

URL Filtering 2 Eigentlich geht es meistens nicht um Content filtering sondern um URL filtering Es wird nicht das Inhalt gecheckt, sondern seine externe Form (wie es erscheint) oder sogar nur das Behälter URL Filtering 3 Es gibt Systemen, die URL Filtering ziemlich gut machen können, auch ohne zusätzlichen Anwendungen Oft braucht man kaum Downloadable Cathegorized Sites Lists, sondern nur intern erstellten White/Black Lists Man muss die Endbenutzer unterscheiden Können und entsprechend Sites sperren oder nicht Logging (und Privacy Bestimmungen Aufbewahren der Logfiles?) unerwünschten Nebenwirkungen (internen Links werden blockiert, CC Tickets geöffnet, u.s.w.) 15

Verteilung der Arbeit 1 Eine alternative Lösung: Firewall soll Firewall spielen Internet Surfen am FW gesperrt außer......für Content Filtering Gerät Vorteile: ermöglicht getrennte Verwaltung. Netzwerk Mgr muss nicht Polizeirolle auf sich nehmen Verteilung der Arbeit 2 Welchen Gerät? MS ISA-Server 2004 Squid SurfControl Für kleinbetriebe auch: Privoxy, FreeProxy,... 16

Zum Inhalt Cisco Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte Alternativen PROPRIETARY OPEN SOURCE (and derivates) -Cisco ASA -Cisco NAC -CheckPoint Firewall-1 -Juniper -Fortinet Fortigate (ASIC) -Secure Computing Sidewinder -Crossbeam -NetApp NetCache -MS ISA-Server based appliances -Monowall -IP-Cop (Endian Firewall) -Smoothwall -Squid based appliances -Privoxy -FreeProxy -Linux / BSD tailored systems und Firewall Builder 17

Alternativen m0n0wall http://m0n0.ch/wall/ No HD requided CFG on floppy / USB key Small size Runs on Old PC s Alternativen Devil Linux http://www.devil-linux.org/ No HD requided CFG on floppy / USB key 170MB No GUI Runs on Old PC s (486) supported by FW Builder 18

Alternativen Firewall Builder www.fwbuilder.org FW configuration utility Multiple FW support Runs on Linux and Win Anderen Möglichkeiten Cisco PIX Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten. -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte 19

Case study 10 Cisco Pix firewall verschiedener Größen -Filter network trafic -Site 2 site VPN -Mobile user VPN -Kontrollierten Internetzugriff für ~ 5000 Benutzer -80 LAN Landesweit + Schulen - ~ 150 komplexe Netzgeräte zu verwalten Das Netz Internet APB WAN FW ISP 1 2 SL/ISDN n APB MAN 1 Sterzing 1 2 n Schlanders Meran Brixen Bruneck Standleitungen 64K 2Mb n Standleitungen 64K 2Mb Bozen FW PAB MAN Bozen Eth/GbEth Vlan 1 Vlan 2 Vlan n Neumarkt 20

Das Netz Internet APB WAN FW ISP 1 2 SL/ISDN n APB MAN 1 Nicht APB Sterzing 1 2 n Schlanders Meran Brixen Bruneck Standleitungen 64K 2Mb n Standleitungen 64K 2Mb Bozen FW PAB MAN Bozen Eth/GbEth Vlan 1 Vlan 2 Vlan n Neumarkt Das Netz Internet APB WAN FW ISP 1 2 SL/ISDN n APB MAN 1 Nicht APB Sterzing 1 2 n Schlanders Meran Brixen Bruneck Standleitungen 64K 2Mb n Standleitungen 64K 2Mb Bozen FW PAB MAN Bozen Eth/GbEth Vlan 1 Vlan 2 Vlan n Neumarkt 21

Case study Internet HTTP Zugriff durch ISA ist erlaubt http/s Extranet/DMZ FW Direkten HTTP Zugriff ist gesperrt URL/Content filter Logging MS ISA 2k4 http/s Intranet Case study Offenen Problemen: ISA Stabilität Konfigurationen speichern/history Verwaltung OS Patches Redundanz??? 22

Case study Internet Zusätzliches! UTM device Extranet/DMZ FW URL/Content filter? Intranet Logging MS ISA 2k4 Zum Inhalt Cisco PIX Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte 23

Neuen Trends ASIC based Geräte Firewall und filtering Engine in Hardware UTM (Unified Threat Management) Ein Gerät für alles: Firewall, URL/Content Filtering, Antivirus, Antispam NAC (Network Admission Control) o.ä. Netzwerkzugang wird verwaltet End Device soll Policies unterstehen SSL VPN Clientless personalized and secured communications Alternativen PROPRIETARY OPEN (and derivates) -Cisco ASA -Cisco NAC -CheckPoint Firewall-1 -Juniper -Fortinet Fortigate (ASIC) -Secure Computing Sidewinder -Crossbeam -NetApp NetCache -MS ISA-Server based appliances -Monowall -IP-Cop (Endian Firewall) -Squid based appliances -Linux / BSD tailored system 24

Zum Inhalt Cisco PIX Firewall: ein guter Chef kann delegieren -woher einen solchen Titel? -was Cisco Firewall selber (nicht) kann -warum eine Kommerzielle lösung? -Websense und SmartFilter (N2H2) -andere Möglichkeiten -case study: Autonome Provinz Bozen -neuen Trends ---> neue Geräte Zum Schluss DANKE für Ihre Aufmerksamkeit -Fragen? -Demo-Area marco.tienghi@provinz.bz.it 25