Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS

Warum IPS? Source IP: 5.5.5.5 Source IP: 5.5.5.5 Destination IP: 1.1.1.1 Destination IP: 1.1.1.1 Protocoll: TCP Protocoll: TCP DestinationPort: 80 DestinationPort: 80 5.5.5.5 1.1.1.1 Warum? Funktion Projekt Warum IPS? Source IP: 5.5.5.5 Destination IP: 1.1.1.1 Protocoll: TCP DestinationPort: 80 5.5.5.5 1.1.1.1 Warum? Funktion Projekt

Warum IPS? www.hackedsite.com Interner Client Warum? Funktion Projekt Warum IPS? Schutz vor bekannten Exploits. Schutz vor Vulnerabilities. Schutz vor Protokoll Anomalien. Schutz vor Malware Kommunikation nach aussen. Warum? Funktion Projekt

Warum IPS? Schutz vor Tunneling Versuchen. Schutz oder Restriktion von bestimmten Applikationen. Schutz vor generischen Angriffen, ohne vordefinierte Signaturen. Warum? Funktion Projekt IPS Architektur Warum? Funktion Projekt

IPS Architektur CMI Final Decision Security passiert hier Pattern Mattcher 1st Tier Inspect 2nd Tier Kontext Handling Protocol Parser CMI Context Management Infrastructure HTTP CIFS Advanced Patterns Web Security IPS Streaming Unified Streaming ASPII Streaming Passive Streaming Library (PSL) Warum? Funktion Projekt CMI HTTP Traffic HTTP Parser CMI HTTP Request Header HTTP Response Header HTTP Response Body Protection A Protection B Protection C Protection D Protection E Warum? Funktion Projekt

CMI HTTP Traffic HTTP Parser CMI HTTP Request Header HTTP Response Body Protection A Protection B Protection C Protection D Protection E Warum? Funktion Projekt Kontext Jedes Feld ist ein Kontext Warum? Funktion Projekt

Beispiel Warum? Funktion Projekt Projektablauf CPU und RAM ausreichend? 1. Termin IPS aktivieren Troubleshooting mode + bypass under heavy load SmartEvent aktivieren Faustregel: CPU 30%/50% RAM 20 40 % frei 2. Termin Analyse + Anpassungen Prevent Mode IPS Update Neue Protections in Detect Mode Warum? Funktion Projekt

IPS an eigene Infrastruktur anpassen Ausnahmen Unnötige Protections ausschalten Man kann nicht schützen was nicht existiert Protokolle, Server, Datenbanken Separate Profile pro Segment Perimeter Data Center Warum? Funktion Projekt Danke!

CP Mobile Enterprise «BYOD: Mail- und Kalenderzugriff von überall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Grenzen verschwinden Security Risks Mobile Enterprise

Organisationsgrenzen verschwinden I need to continue to work tonight I ll send this data via the email

Error 552: sorry, this message exceeds your maximum size limit.. Dropbox YouSendIt Windows Live Risiken Verlust / Diebstahl Daten werden in die Cloud geladen

Secure Container Isoliert Mail, Kontakte, Kalender und Dokumente App verwendet eigene Viewer Nur Online oder im APP verschlüsselt zur Offline Ansicht Minimal Voraussetzungen R76 Gateway ios 6.xx App Store Android 4.0 Google play Exchange 2007 SP1

Verwendete Ports Mobile Access Blade aktivieren

Wizard 1/5 Wizard 2/5

Wizzard 3/5 Read-only Credentials genügen, um AD zu Browsen. [Restricted] ONLY for designated groups and individuals Wizard 4/5 Regulärer Exchange User genügt, um Zugriff auf Exchange zu testen.

Wizard 5/5 Policy installieren

Mobile Settings Profile Zertifikate ausrollen Kann mühsam sein In diesem Fall ein sehr einfacher Task

Zertifikate ausrollen Danke!