Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS
Warum IPS? Source IP: 5.5.5.5 Source IP: 5.5.5.5 Destination IP: 1.1.1.1 Destination IP: 1.1.1.1 Protocoll: TCP Protocoll: TCP DestinationPort: 80 DestinationPort: 80 5.5.5.5 1.1.1.1 Warum? Funktion Projekt Warum IPS? Source IP: 5.5.5.5 Destination IP: 1.1.1.1 Protocoll: TCP DestinationPort: 80 5.5.5.5 1.1.1.1 Warum? Funktion Projekt
Warum IPS? www.hackedsite.com Interner Client Warum? Funktion Projekt Warum IPS? Schutz vor bekannten Exploits. Schutz vor Vulnerabilities. Schutz vor Protokoll Anomalien. Schutz vor Malware Kommunikation nach aussen. Warum? Funktion Projekt
Warum IPS? Schutz vor Tunneling Versuchen. Schutz oder Restriktion von bestimmten Applikationen. Schutz vor generischen Angriffen, ohne vordefinierte Signaturen. Warum? Funktion Projekt IPS Architektur Warum? Funktion Projekt
IPS Architektur CMI Final Decision Security passiert hier Pattern Mattcher 1st Tier Inspect 2nd Tier Kontext Handling Protocol Parser CMI Context Management Infrastructure HTTP CIFS Advanced Patterns Web Security IPS Streaming Unified Streaming ASPII Streaming Passive Streaming Library (PSL) Warum? Funktion Projekt CMI HTTP Traffic HTTP Parser CMI HTTP Request Header HTTP Response Header HTTP Response Body Protection A Protection B Protection C Protection D Protection E Warum? Funktion Projekt
CMI HTTP Traffic HTTP Parser CMI HTTP Request Header HTTP Response Body Protection A Protection B Protection C Protection D Protection E Warum? Funktion Projekt Kontext Jedes Feld ist ein Kontext Warum? Funktion Projekt
Beispiel Warum? Funktion Projekt Projektablauf CPU und RAM ausreichend? 1. Termin IPS aktivieren Troubleshooting mode + bypass under heavy load SmartEvent aktivieren Faustregel: CPU 30%/50% RAM 20 40 % frei 2. Termin Analyse + Anpassungen Prevent Mode IPS Update Neue Protections in Detect Mode Warum? Funktion Projekt
IPS an eigene Infrastruktur anpassen Ausnahmen Unnötige Protections ausschalten Man kann nicht schützen was nicht existiert Protokolle, Server, Datenbanken Separate Profile pro Segment Perimeter Data Center Warum? Funktion Projekt Danke!
CP Mobile Enterprise «BYOD: Mail- und Kalenderzugriff von überall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Grenzen verschwinden Security Risks Mobile Enterprise
Organisationsgrenzen verschwinden I need to continue to work tonight I ll send this data via the email
Error 552: sorry, this message exceeds your maximum size limit.. Dropbox YouSendIt Windows Live Risiken Verlust / Diebstahl Daten werden in die Cloud geladen
Secure Container Isoliert Mail, Kontakte, Kalender und Dokumente App verwendet eigene Viewer Nur Online oder im APP verschlüsselt zur Offline Ansicht Minimal Voraussetzungen R76 Gateway ios 6.xx App Store Android 4.0 Google play Exchange 2007 SP1
Verwendete Ports Mobile Access Blade aktivieren
Wizard 1/5 Wizard 2/5
Wizzard 3/5 Read-only Credentials genügen, um AD zu Browsen. [Restricted] ONLY for designated groups and individuals Wizard 4/5 Regulärer Exchange User genügt, um Zugriff auf Exchange zu testen.
Wizard 5/5 Policy installieren
Mobile Settings Profile Zertifikate ausrollen Kann mühsam sein In diesem Fall ein sehr einfacher Task
Zertifikate ausrollen Danke!