Decus IT-Symposium 2006 Gateway Security: von der Policy bis zum sicheren rund um die Uhr Betrieb



Ähnliche Dokumente
How-to: Webserver NAT. Securepoint Security System Version 2007nx

SharePoint Demonstration

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

Verwendung des IDS Backup Systems unter Windows 2000

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Daten Monitoring und VPN Fernwartung

Zugriff auf Unternehmensdaten über Mobilgeräte

Dokumentation zur Versendung der Statistik Daten

Virtual Desktop Infrasstructure - VDI

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Formular»Fragenkatalog BIM-Server«

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Sophos Complete Security

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Guide DynDNS und Portforwarding

Fallstudie HP Unified WLAN Lösung

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

L2TP over IPSec mit Windows Mobile 5 für die VPN-Services an der Technischen Universität Wien.

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Clientkonfiguration für Hosted Exchange 2010

WLAN Konfiguration. Michael Bukreus Seite 1

Virtual Private Network

Good Dynamics by Good Technology. V by keyon (

AXIGEN Mail Server. s per Smarthost versenden s per Pop3 empfangen. Produkt Version: Dokument Version: 1.2

SSZ Policy und IAM Strategie BIT

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Anleitung Grundsetup C3 Mail & SMS Gateway V

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Preise und Details zum Angebot

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

EDI Connect goes BusinessContact V2.1

Konfiguration eines DNS-Servers

FastViewer Remote Edition 2.X

teamsync Kurzanleitung

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

IP-COP The bad packets stop here

Windows Server 2008 (R2): Anwendungsplattform

Avira Professional Security/ Avira Server Security Version 2014 Release-Informationen

Kapitel 7 TCP/IP-Konfiguration zum Drucken (Windows NT 4.0)

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Thema: Microsoft Project online Welche Version benötigen Sie?

DOKUMENTATION PASY. Patientendaten verwalten

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

WINDOWS 8 WINDOWS SERVER 2012

Anforderungen und Umsetzung einer BYOD Strategie

Telefonieren mit App's"! iphone mit Bria Informationen zur Nutzung von TeScript

Dynamisches VPN mit FW V3.64

Windows Server 2012 RC2 konfigurieren

NbI-HS. NbIServ Bethenhausen Bethenhausen

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Informationsblatt: Advoware über VPN

Los geht s. aber Anhand meines Beispiels!

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

VPN/WLAN an der Universität Freiburg

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Collax PPTP-VPN. Howto

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

DWA-140: Betrieb unter Mac OS X Über dieses Dokument. Vorbereitungen. Laden der Treiber aus dem Internet - 1 -

Windows Small Business Server (SBS) 2008

SIP Konfiguration in ALERT

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Tess TeSign nutzen mit App's"! iphone und Bria Informationen zur Nutzung

» Hyper-V Best Practice Microsofts Virtualisierung professionell einsetzen

Anleitung zur Nutzung des SharePort Utility

Port-Weiterleitung einrichten

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

ANYWHERE Zugriff von externen Arbeitsplätzen

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Technical Note 24 SMS Versand über analoge und ISDN Leitungen (Festnetz-SMS)

HP Asset LiVe. Carsten Bernhardt, HP Software Presales

ICS-Addin. Benutzerhandbuch. Version: 1.0

Firewalls für Lexware Info Service konfigurieren

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Business Breakfast. Ludwigshafen, 11. Juni SHE Informationstechnologie AG 2015

Transkript:

Gateway Security: von der Policy bis zum sicheren rund um die Uhr Betrieb Johann Lehner Sales Business Project Manager Senior Systems Engineer Symantec Ausgangssituation für das Projekt Ein Netzwerk hat Verbindungen über das Internet zu Vielen eigenen weit verstreuten Anwendungen wie Mail und B2B Funktionen Zu Lieferanten Zu Shops und Vertriebsniederlassungen Zum Aussendienst Jedes Land hat seine eigenen (gewachsenen) egeln Business critical Unantastbar Das Firmen - LAN ist separat als Frame-elay Netz gebaut Keine Default oute Kein DNS im LAN Internet Verkehr soll das LAN möglichst wenig belasten www.decus.de 1

Betriebsbild Es gibt fast täglich irgendwo ein Sicherheitsproblem Die 'Incident esponse' kommt mit der Lösung häufiger nicht nach Wer hat denn echner, VMWare oder Virtual Server - Images die da so ruhen? Ein Beispiel Ein alter echner wird mal wieder eingeschaltet Ein Virus wird aktiv oder eingefangen 8000 neue Infektionen in der Stunde, belegt durch einen AV - eporter Die Lösung dieses Problems ist schwierig Weitere Projektparameter IT und Netzwerk soll zentral verwaltet werden International Möglichst wenig Vertragspartner Nur ein ISPs für die zentralen Netzpunkte Nur ein MSSP Geregelte und eingeübte Zusammenarbeit Gleiche Ausrüstung überall zentral beschafft Vorschriften für Compliance International gleiche Policies vom HQ gesteuert im HQ dokumentiert nachvollziehbar und Change Management mit Freigaben Compliance Monitoring (Vertrauen ist gut, 24x7 Kontrolle ist... ) www.decus.de 2

Die Ausschreibung Geographische Kompetenz Technische Kompetenz Größe der Lieferanten Geräteauswahl nicht vorgegeben Serviceprovider Auswahlverfahren Das Projekt www.decus.de 3

Matrix: Funktionen x Implementierung durch Design Phase MSSP Consulting Device PM Questionaires S FW Ops S SGS IDS SGS Monitoring SGS, Proxy I - esponsible A - Accountable S - Supportive C - to be Consulted I - to be Informed Free Format... Preparation Phase MSSP Consulting ISP PM DNS I... I Die Projektleitung 4 Projektleiter > 120 Tasks je Site Details - Details - Details Trade - Compliance Spannungen, Kabel, acks,... Consulting Tasks Nummern ohne Ende... www.decus.de 4

Bereitstellung der Geräte / Trade Compliance Gleiche Ausrüstung überall, zentral beschafft Klassifizierung der verwendeten Geräte Export Encryption Gesetzgebung > 56 Bit dann volle Nachverfolgung Dual Use Goods / Militärische Ausrüstung Einzellizenzen End Use Undertaking (EUU) Abhängig vom Ort des Versenders Versand Incoterms Tracking Warenannahme und Aufbewahrung Import Encryption Gesetzgebung Telekommunikations-Gesetzgebung Lizenzen sind landesspezifisch Betriebslizenzen Einfuhrlizenzen Consulting: Schreiben einer Security Policy Welche Elemente sollen geregelt werden Verantwortung für die Policies Verantwortung für die Einhaltung Wer muss sie kennen Überlegungen zur Wahrscheinlichkeit egelmäßige eviews und Updates Festlegen von Maßzahlen wie Security bewertet wird Security ist nicht Availability 99,9 % Verfügbarkeit ist keine Maßzahl für Internet Verfügbarkeit Nicht erfassbare Fremdeinflüsse Stromausfälle Leitungsprobleme DNS Probleme www.decus.de 5

Mögliche Information Security Policies Eigene Application Security Sicherheit in der Programmierung Ausschluss bestimmter Programmiersprachen isikobewertung Zugriffsrechte Logging und Alarme Notfallpläne Standards Host Security Herkunft von HW Was muss auf jedem echner sein Was darf nicht installiert sein Behandlung von Produktiv, Entwicklungs- und Test-echnern Server Virtualisation egeln Gast Accounts Hardening Passwort Verwaltung Datenklassifizierung und egeln (vertraulich bis...) Network Security Eigene Folie VPN Security Abstimmung mit den Netzwerk and FW Policies Gruppenbildung Endpunkte Mehrfaktorauthentisierung Active Directory und Zertifikate Partner Security Vertragsbestandteil Checkliste Approval Process Netzwerk Anforderungen ICSA certified FW Mit IDS System Mit Vulnerability Assessment OS Anforderungen Mit Host based IDS Mit Vulnerability Assessment Applikations - Anforderungen Ausschluss bestimmter Programmiersprachen Vulnerability Assessment Generelle Network Security Policy Network Usage Policy Trennung von Netzwerk - Arten Engineering Netz IT-Management Netz Produktions-Netzwerk Mehrstufigkeit WLAN Zugriffspolicy Policy für Zweigstellen und Niederlassungen Policy für VPNs der Zweigstellen und Niederlassungen www.decus.de 6

Welche Elemente des Netzwerks fallen unter die Policy Internet Gateways mit ihren Funktionen FW Intrusion Detection Spam AV Contentfilter Internet access links ISPs und Border outer IP Adressplanung DNS Network Operation Anwendungen die über das Gateway laufen Detaillierte Firewall Policies oder besser Perimeter Policies IP Adress Segmentierung / Subnetze Eigene DMZ Segmente Evtl. 2-stufiges FW Konzept Application Proxies mit Login 24x7 Betrieb und Support Mit AV und Intrusion Detection Business geht irgendwann mal nicht mehr vor Security Fragebogen zur Planung der egeln FW Policy Dokument www.decus.de 7

Fragebogen Pre Installation Questionaire Kontaktpersonen und Adressen Dienste ins Internet Dienste aus dem Internet Interne globale Anwendungen Interne regionale Anwendungen E-mail Lösung Domain Namen egistrar und DNS-Zonen VPN Lösung Fragebogen Datacenter Questionaire Bei großen Standorten und mehrstufigem FW Konzept Kontakt für Applikation Kontakt für Sicherheit der Applikation Hostnamen IP-Adressen Server-Location Applikationen Sicherheitsmechanismen Kommunikationsbedarf Von nach Protokolle Adapter VLAN Umgebende Dienste... www.decus.de 8

FW Policy Dokument Meistens 4 bis 6 Versionen vor der Migration bei kleinen Standorten Installation Standortdetails Besichtigung der Baustelle vor Ort Out-of-Band Leitungen Aufbauanleitung Dispatch Notes Synchronisation aller Beteiligten Sehr landesspezifisch Ein PL hat s am schwersten Echte Kosten falls 3rd Party On Site kommt. www.decus.de 9

Migration DNS Problem TTL und alte DNS Server Software bei manchen Providern Alles was im Installation Questionaire vergessen wurde kommt jetzt raus Fehlende egeln sind in Abstimmung mit der Change Control Prozedur noch während der Migration zu erstellen oder anzupassen Vieles kommt erst am 2. Tag Manches auch erst beim Monatsabschluss Monitoring und Betrieb durch das Security Operations Center (SOC) Hinter allem steht das SOC (Security Operations Center) Global Netz von state of the art Security Operation Centers Sicher, Skalierbar, Zuverlässig Überwachung von über 600 Kunden mit über 4000 Devices Ein SOC ist auditiert und BS7799 zertifiziert von einem unabhängigen Prüfer Fail over Prozesse sind entwickelt und getestet edundante Stromversorgung und Netzanbindung Strenge Zugangskontrollen www.decus.de 10

Was wurde am Ende erreicht Zeitplan war mit geringer Verzögerung zu halten mehr Ordnung, Change Management Weniger Betriebsprobleme, nur noch einen critical Incident im letzten Monat Synergien durch häufige Wiederholung, Jeder Fehler vielleicht nur zweimal Zentrales, dokumentiertes Device Management mit SLA 24x7 Monitoring mit 10 min Vorfalls-SLA das log Volumen war bereits über 200 Mio Logeinträge im ersten Monat mit ca 70% der Last Einen zufriedenen Kunden Zusammenfassung Das Problem Internet Gateways und deren Sicherheit samt ihren Compliance Anforderungen ist erst mal für die nächsten Jahre für diesen Kunden gelöst Vielen Dank für ihr Interesse johann_lehner@symantec.com www.decus.de 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback