Upload
sergii-liventsev
View
1.658
Download
7
Embed Size (px)
DESCRIPTION
Citation preview
2 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNIPER NETWORKS ПРЕДЛАГАЕТ РЕШЕНИЯ ПО БЕЗОПАСНОСТИ В СЛЕДУЮЩИХ ОБЛАСТЯХ
По типу использования:
Защита корпоративной сети
Защита ресурсов ЦОД
Защита хостинг сервисов
Защита сервиc провайдеров /MSSP
По функционалу использования:
1. Защиты периметра сети -межсетевые экраны cерии SRX
2. Защита виртуальных сред- vGW/vSRX
3. Защита веб-серверов –программное обеспечение Mykonos Web Security
4. Контроль доступа к сети и контроллеры удаленного доступа- MAG серия
5. Управление компонентами и устройствами безопасности -Junos Space
6. Мониторинг событий безопасности -STRM серия
7. Защита мобильных устройств –Junos Pulse Mobile Security
3 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
МЕЖСЕТЕВЫЕ ЭКРАНЫ. JUNIPER SRX
4 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Портфель продуктов BRANCH SRX
Малый Офис Малый – Средний
офис Крупный/
Региональный офис
SRX220
+ 2 WAN слота,
8 x GigE, PoE
SRX240
+ 4 WAN слота,
16 x GigE, PoE
SRX650
+ Больше LAN слотов, Двойной ИП, + Горячая замена
SRX110
SRX100
Новое SRX210
WAN слота,
2 x GigE, PoE
Масштабирование платформ от 1G до 10G
ПО Junos для Безопасности, Маршрутизации и Коммутации
SRX550
2mPIM+6GPIM WAN слотов,
10 x GigE, PoE, Двойной ИП
Новое
5 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
SRX РАСШИРЕННЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ
Блокирование доступа к запрещенным сайтам
Оценка каждого URL в реальном масштабе
времени Расширенная Web фильтрация
Антивирус Блокирование вирусов, троянов на базе
файлов или шпионского ПО, вредоносное ПО и
Кей логгеры
Антиспам
IPS
Firewall, VPN, Единый контроль доступа
SRX Серия блокирует передачу файлов
для обеспечения предотвращения утечки
данных
Фильтрация контента
Внутренние угрозы
Внешние угрозы
ИНТЕРНЕТ
IDP определение/блокирование Червей,
Троянов, DoS (L4 & L7), Сканирований
AppSecure
Основная безопасность
Видимость на уровне приложений и классификация
Политики на уровне приложений до
пользовательских ролей
Блокирование спама/ Фишинга
6 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРОИЗВОДИТЕЛЬНОСТЬ BRANCH SRX FEATURES SRX100
(110) SRX210E SRX220 SRX240 SRX550 SRX650
On-board Ethernet 8 x FE 2 x GE + 6 x
FE 8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE
Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 1 GB* / 1 GB 2 GB* / 2 GB 2 GB / 2 GB
Power over Ethernet (802.3af, 802.3at)
None 4 ports,
50 W total 8 ports GE,
120 W 16 ports GE,
150 W 40 Port GE, 250
W or 500 W 48 ports GE,
250 W or 500 W
WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 2 x mini PIM + 4
x GPIM 8 x GPIM
USB ports (flash) 1 (2) 2 2 2 2 2 per processor
JUNOS Software version support
JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*
Routing YES YES YES YES YES YES
Content Security Acceleration (IPS, ExpressAV)
No YES YES YES YES YES
Firewall performance (Large Packets)
700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps
Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps
Firewall performance (Firewall + Routing PPS 64byte)
70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps
IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps
Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps
Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K
Maximum Concurrent Sessions (512MB/1GB RAM)
16 K / 32K 32K / 64K 96K 64K / 128K 375K 512 K
Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps
High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P
A/A or A/P, Hot swap GPIMs,
Dual power
A/A or A/P, Hot swap GPIMs,
Dual power
7 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
НОВЫЙ ПОДХОД К ВОПРОСАМ БЕЗОПАСНОСТИ THE DYNAMIC SERVICES ARCHITECTURE –SRX HIGH-END SERIES
Кросс-бар фабрика
Дополнительные
фабрики в шасси
Масштабируемость
Виртуальные очереди
Высочайшая
производительность
Надежность carrier-класса
Разделение функций
коммутации и управления
Резервирование всего
Надежная ОС
SRX Services Gateways
Масштабируемость –
производительность, ёмкость,
количество услуг – Самый быстрый в мире firewall
Преимущества единой
ОС с единым релизом
8 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
3U, 4+3 CFM, 8+4 GE, 2RE*, 1+1 PS, 20/8/8G, 2M sess,
175kcps
5U, 6+6 CFM, 8+4 GE, 2RE*, 2+2 PS, 30/10/10G, 2M sess,
175kcps
8U, 6 slot, 2RE*, 1+1 SCB, 2+2 PS, 60/15/15G, 9M sess, 350kcps
16U, 12 slot, 2RE*, 2+1 SCB,
2+2 AC, 3+1 DC, 120/30/30G,
10M sess, 350kcps
3U, 3 CFM, 12GE or 3XGE+9GE , 1+1 PS, 10/2/2G, .5M sess [at FRS],
45kcps
SRX3600
SRX5800
SRX5600
SRX3400
SRX1400
SRX – Новая платформа Наращиваемая мощность Широкий функционал
• Firewall
• VPN
• IPS
• Маршрутизация
• QoS
• AppSecure
• Дополнительные возможности
• Режимы Routed/Transparent
Высокая степень интеграции
ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД
Firewall performance
(max)
150 Gbps
IPS performance(NSS
4.2.1)
30 Gbps
9 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Результаты с Junos 10.4 SRX1400 SRX3400 SRX3600 SRX5600 SRX5800
FW 10 Gbps 20 Gbps 30 Gbps 60 Gbps 150 Gbps
VPN 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps
IPS 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps
PPS 1М 3.5М 6.5М 9М 21М
Количество сессий 0.5М 2.25М / 3М 2.25М/ 6М 9М 12.5М/14М (с
ограничениями)
Новых сессий ( / with add’l license)
45k 175k 175k / 300k 350k 350k
Встроенные порты:
10/100/1000Base-T
1000Base-X (HA off / on)
10GBase-F
GE
6
6 / 4
0
XGE
6
3 / 1
3
8
4
8
4
Максимальное кол-во
GbE (HA off / on)
10 GbE
28/26
2
25/23
5
76
8
108
12
200
40
440
88
ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END
10 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Поиск Flow
Классификация
DoS/DDoS
Policing
Входящий
пакет
Исходящий
пакет
Сервисы
FW/VPN/IDP
NAT/Routing
QoS/Shaping
Fa
bri
c
Fa
bri
c
Integrated in SRX5000 IOC
Контроль
Переподписки
1.5
I/O Cards
Network
Processing
Cards
Services
Processing
Cards
ПОЛНОСТЬЮ ПОТОКОВАЯ (FLOW) ОБРАБОТКА ТРАФИКА
11 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Платформа начального уровня для ЦОД:
Dynamic Services Architecture™
Функционал: FW, IPS, NAT, IPSec VPN, DDoS, QoS, Маршрутизация IPv4/IPv6
Любой сервис для любого трафика
Разделение control and data planes
Общие компоненты с SRX3000
Под управлением Junos
Многопоточность, Модульность
JunOS Script
SRX1400
12 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЛИНЕЙКА ПРОДУКТОВ SRX3000
Dynamic Services Architecture™
Функциональность: FW, IPS, NAT, IPSec
VPN, DDoS, QoS and routing
Любой сервис для любого трафика
Разделение control and data planes
Универсальное устройство
Двустороннее модульное шасси
Модульная архитектура
SRX3600 – 12 модулей
SRX3400 – 7 модулей
Доступны GbE и 10GbE интерфейсы
SPC позволяют линейно наращивать
производительность
Под управлением JunOS
Многопоточность
Модульность
JunOS Script
Описание модуля Порты Тип
16-port 10/100/1000 TX 72 or 104 RJ-45
16-port GbE 68 or 100 SFP
2-port 10GbE 8 or 12 XFP
Service Processing Cards SRX3400 – 4 SRX3600 – 7
13 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЛИНЕЙКА ПРОДУКТОВ SRX5000
Самый быстрый в мире Firewall
Dynamic Services Architecture™
Функциональность: FW, IPS, NAT,
IPSec VPN, DDoS, QoS, and routing
Любой сервис для любого трафика
Разделение control and data planes
Универсальное устройство
Модульное шасси SRX5600 – 6 модулей
SRX5800 – 12 модулей
Доступны GbE и 10GbE интерфейсы
SPC позволяют линейно наращивать
производительность
Под управлением JunOS
Многопоточность
Модульность
JunOS Script
Описание модуля Порты Тип
40-port GbE 200 or 440 SFP
4-port 10GbE 20 or 44 SFP
16-port GbE FlexIOC 160 or 352 SFP/RJ45
4-port 10GbE FlexIOC 40 or 88 SFP
Max SPCs 5 – SRX5600 11 – SRX5800
14 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ ПРЕДСТАВЛЯЕМ APPSECURE
AppSecure – это набор сервисов для работы с приложениями,
созданный для развертывания интеллектуальной безопасности
Решение основывается на существующих интегрированный сервисах
SRX, позволяя создавать более точные политики безопасности
Использует комплексное исследование приложений
15 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЗАЩИТА ВИРТУАЛЬНЫХ СРЕД. РЕШЕНИЯ VSRX/VGW
16 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW И SRX АРХИТЕКТУРА
Провайдеры Облачных Сервисов сегментируют пользователей с использованием vSRX и
обеспечивают Inter-VM защиту с использованием vGW
vGW (Inter-VM Security)
17 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Трехкомпонентная модель
Сертифицировано VMware
Защищает каждую VM и
гипервизор
Отказоустойчивая архитектура
1. Security Design (SD) vGW -
виртуальная машина управления
2. Security VM (SVM) –
устанавливается на каждый ESXi-
хост
3. Модуль ядра гипервизора
АРХИТЕКТУРА VGW
vGW модуль
vCenter
VM VM1 VM2 VM3
Взаимодействующие
сервера
(IDS, SIM,
Syslog, Netflow)
Пакеты данных
VMWARE API’s
Любой vSwitch (Standard, DVS, 3rd Party)
ГИПЕРВИЗОР
Яд
ро
VM
ware
ES
X o
r ES
Xi H
ost
Security Design vGW
1 2
3
18 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ
Межсетевой экран работает на уровне ядра гипервизора
Антивирус и IDS интегрированы в Security VM каждого хоста
Преимущества: Обеспечивается наиболее эффективный механизм
проверки трафика
Отдельный обработчик МСЭ для каждой VM
Изолированная таблица соединений для каждой VM
Правила и политики переезжают в месте с VM в ходе vMotion
Нет единой точки отказа и узкого места – аппаратного МСЭ
Преимущества: Улучшение масштабируемости
Не нужно обновлять сигнатуры на каждой VM
Уменьшается нагрузка на физическую сеть
Уменьшается нагрузка на CPU хоста
Проверка VM во время их бездействия
19 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
МОДУЛИ VGW
Сеть
Отображение
потоков данных
между VM
IDS Анализ Отчеты
Сообщения IDS и
детальная
информация об
атаках
Обзор приложений
VM (гостевая OS,
приложения, патчи
и т.д.)
Автоматизирован
ные отчеты по
всем модулям
Общий
Суммарная
информация по
угрозам (включая
VM на карантине)
МСЭ Антивирус Соответствие
Управление
политиками МСЭ и
журналами
Антивирусная
защита для VM
Готовые и
настраиваемые
правила проверки
VM заданным
политикам
20 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – СЕТЕВАЯ СТАТИСТИКА
Область
навигации и
выбора VM
Вкладка
Connections
отображает
потоки данных
Отображаемый
интервал
времени
Информация обо всех потоках данных VM сохраняется в базе данных и доступна для анализа
Преимущества: Анализ всех коммуникаций VM
Анализ соответствия архитектуры политике безопасности
Детальные данные по каждой VM
21 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – МЕЖСЕТЕВОЙ ЭКРАН Защита всего трафика между VM
Преимущества:
Гибкие трехуровневые политики безопасности: Глобальная, Групповая, на уровне VM/vNIC
Политики могут назначаться автоматически на основе свойств VM (Smart Groups)
Помещение VM в карантин в случае нарушения политики
Таблица соединений и правил сохраняется в ходе vMotion
Настройка
политики
карантина для
Антивируса,
модуля
Соответствия и
др.
NEW!
NEW!
22 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – IDS
Внутренний анализ на наличие атак, а также возможность
отправлять интересующий трафик на внешний IPS
Фильтры позволяют
задать какой трафик
будет проверяться IDS
Сообщения по
источникам и
направлениям
Изменение
периода
времени
позволяют
проводить
исторический
анализ
Получение
детальной
информации по
каждому
триггеру
сигнала
тревоги
23 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – АНТИВИРУС NEW!
Антивирусная защита VM в реальном времени (On-Access)
или периодически (On-Demand)
Преимущества:
Антивирусная проверка по графику без программных агентов
Прямой доступ к виртуальному диску
Сканирование производится из защищенной области
Защита в реальном времени посредством агентов vGW Endpoint
«Легкий» агент позволяет проверять все операции ввода/вывода через Security VM для
подтверждения или карантина
Актуальная версия vGW Endpoint поддерживается автоматически
Архитектура vGW Endpoint имеет два существенных отличия от обычных агентов
Нет нагрузки на RAM и HDD
Сигнатуры хранятся в Security VM, а не в каждой VM
24 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Сервис провайдеры предлагают vSRX как услугу для сегментирования ресурсов различных
заказчиков не используя для этого специализированные аппаратные платформы
VSRX АРХИТЕКТУРА
vSRX (Edge Security)
25 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ФУНКЦИОНАЛ VSRX
Безопасность и Маршрутизация на
одной программной платформе
Junos как виртуальное
устройство
Используется х86 архитектура
Полный набор функций
безопасности и маршрутизации
Используется проверенная
платформа SRX
Оптимизированная
производительность
SMP ядро
Поддерживает функциональность
Hypervisor VM
Пример: vMotion, снимки,
HA/FT, клонирование,
Управление.
Firewall
VPN
NAT
Network Admission Control
Perimeter
Anti-Virus
IPS
Full IDP Feature Set
Web Filtering
Anti-Spam
Content
Application
Awareness
Identity
Awareness
Application
CLI, JWeb, SNMP, JSpace- SD, Hypervisor Mgmt, HA/FT
Junos Routing Protocols and SDK
Junos Rich & Extensible Security Stack
26 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УПРАВЛЕНИЕ VSRX
Управление
устройством vSRX
Приложение для Junos Space Platform
Точка формирования политики vGW и vSRX
устройств
Поддержка для популярных облачных
инструментов управления
vCenter, RHEV-M, SCVMM, ServerCenter
vCloud Director, CloudStack, OpenStack
Функционал (Life Cycle Management):
Provisioning
Bootstrapping
Troubleshooting/Debug
Log management
Virtual Systems Manager
Junos Space – Security Design
CLI + Junos Scripts
JWeb
SNMP
STRM (Logging and Reporting),
Syslog, Traceroute
Security Insight
Junos LMS
Policy Manager APIs
27 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VSRX ПРИМЕР ИСПОЛЬЗОВАНИЯ ПРЕДОСТАВЛЕНИЯ СЕРВИСА ПО ПОДПИСКЕ
Заказчик
Требование
Сервис провайдер
Цель Предложить облачную услугу для среднего и малого бизнеса.
Быстрый ввод новых сервисов
Гибкая масштабируемость
Решение Установка vSRX на архитектуре х86. Каждый из подписчиков услуги
получает свое виртульное устройство с полным функционалом
Internet
Заказчик А
Заказчик B
Заказчиик C
Управляемая
услуга
безопасности
Virtu
aliz
ed
En
viro
nm
en
t
28 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЗАЩИТА ВЕБ-СЕРВЕРОВ. MYKONOS WEB SECURITY
29 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
всех атак совершается на
уровень Web-приложений Gartner
70%
подверглись атакам в течение
последних двух лет через
уязвимости web-приложений
73%
Ponemon Institute
НАСТОРАЖИВАЮЩАЯ СТАТИСТИКА
30 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УГРОЗЫ, ИСХОДЯЩИЕ ОТ ХАКЕРОВ
Targeted Scans
Advanced Persistent Threat (APT)
Поиск уязвимостей определенного сайта
Скрипты выполняются зараженными машинами и осуществляют атаку
Январь Июнь Декабрь
Сложные, целенаправленные атаки (APT). Неторопливо и аккуратно, чтобы обойти защиту.
Library Attacks Поиск определенных уязвимостей при помощи скриптов на многих сайтах
IP-сканирование Script Kiddie Общие скрипты и инструменты хакеров
Скрипты & Эксплоиты Целевое сканирование
Ботнеты Высококвалифицированный хакер
31 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Кража информации
Снижение доходов
Ухудшение
репутации
Sony
Украденных записей
77 млн.
Прямые издержи
Sony
$171 млн.
УЯЗВИМОСТИ СТОЯТ ДОРОГО ИНСТИТУТ PONEMON | ОДНА УКРАДЕННАЯ ЗАПИСЬ СТОИЛА В СРЕДНЕМ $318
23 дня простоя сети
Потеря заказчиков
Sony
Судебные издержки
$1-2 млрд.
32 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРЕИМУЩЕСТВА MYKONOS БЕЗОПАСНОСТЬ НА ОСНОВЕ ОБМАНА ЗЛОУМЫШЛЕННИКА
“Ловушки”
обнаруживают
угрозы без ложных
срабатываний
Обнаружение
Отслеживается IP,
параметры
браузера, ОС и
скриптов
Отслеживание
Понимание
возможностей и
намерений
атакующего
Профилирование
Адаптивная
реакция,
включающая
блокировку
предупреждение и
обман
Реагирование
33 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРЕИМУЩЕСТВА MYKONOS
- Ухудшает «экономику» атаки, делая ее очень затратной
для хакера по времени и усилиям
- Защищает от атак «нулевого дня»
- Обнаруживает атаку еще на этапе рекогносцировки и
блокирует злоумышленника
- Минимальная настройка – работает «из коробки»
- Инновационная технология Intrusion Deception – нет
аналогов на рынке
- Практически не генерирует ложных тревог
34 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Отслеживание ПО и скриптов Отпечатки системы
Отслеживание браузера Цифровой токен
Во всех браузерах существует возможность
сохранять различные контрольные данные
Отслеживание IP адреса
ОТСЛЕЖИВАНИЕ АТАКУЮЩЕГО НЕ ТОЛЬКО ЧЕРЕЗ IP-АДРЕС
35 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Варианты реакции MWS
Хакер,
человек Botnet
Целевое
сканиро-
вание
Сканиро-
вание
IP
Скрипты и
эксплоиты
Предупреждение
Блокировка
Ввод CAPTCHA
Замедление соединения
Симуляция сбоя
приложения
Принудительны выход
(log-out)
* - Для каждого вида угроз доступны все варианты реакции. Указанные реакции наиболее уместны для указанных видов угроз
РЕАГИРОВАНИЕ И ОБМАН ЗЛОУМЫШЛЕННИКА
36 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ТРИ ТИПА ВНЕДРЕНИЯ
Web-сервер База
ПО, устанавливаемое
на сервер
Виртуальная машина
Облачный сервис
Amazon
37 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
РАЗВЕРТЫВАНИЕ MYKONOS WEB SECURITY
Juniper Firewall Пул
web-серверов
Сервер
приложений
Сервер базы
данных
Балансировщик
нагрузки
INTERNET Проверка
работы
Работает
как reverse
proxy
38 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
РАЗВЕРТЫВАНИЕ MYKONOS WEB SECURITY
Juniper Firewall Пул
web-серверов
Сервер
приложений
Сервер базы
данных
INTERNET
Проверка
работы
Стоит логически на
пути трафика, а не
физически*
* - Для обеспечения доступности Web-ресурса в случае сбоя сервера MWS
39 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ОСНОВНЫЕ КОМПОНЕНТЫ MYKONOS
- HTTP/HTTPS прокси-шлюз
- Модуль безопасности (Security Engine) и база профилей
- Правила реагирования модуля безопасности
- Web-консоль для управления
- Программные процессоры Mykonos
40 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ТИПЫ ПРОЦЕССОРОВ
- Процессоры «ловушек» (Tar Traps)
- Процессоры обнаружения подозрительной активности
- Процессоры отслеживания атакующего
- Процессоры реагирования
41 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
WEB-ИНТЕРФЕЙС МОНИТОРА БЕЗОПАСНОСТИ
42 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Каждому атакующему назначается имя
ПОДРОБНЫЙ ПРОФИЛЬ АТАКУЮЩЕГО
История инцидента
Опасность атакующего
43 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРИМЕР. ОТСЛЕЖИВАНИЕ ЗЛОУМЫШЛЕННИКА
Один и тот же
атакующий. Каждый раз
производилась полная
очистка РС
Профиль Rosalinda3374. Без полной очистки PC атакующий распознается даже при смене IP-адреса и работе
через Elite proxy
Позволяет проанализировать
когда с какого адреса работал атакующий
44 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРИМЕРЫ ОТЧЕТОВ
Детализация инцидентов
по IP-адресу
Обобщенные данные
45 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРОИЗВОДИТЕЛЬНОСТЬ
- Пропускная способность 1Гбит/с на одном сервере
MWS с 2х6-ядерными CPU
Пример:
Сервер Dell R200 (dual core 3Ghz, 4GB RAM, 1 SAS 5400
rpm HDD):
- 1 сервер – 250 Мбит/с
- 1 мастер + 1 TP – 311 Мбит/с, 4500 запросов/с (+30%)
- 1 мастер + 2 TP – 420 Мбит/с, 6600 запросов/с (+30%)
- 1 мастер + 3 TP – 630 Мбит/с, 9200 запросов/с (+50%)
- 1 мастер + 4 TP – 830 Мбит/с, 12000 запросов/с (+30%)
Средняя задержка – 5…40мс
46 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
КОНТРОЛЬ ДОСТУПА К СЕТИ И КОНТРОЛЛЕРЫ УДАЛЕННОГО ДОСТУПА.
MAG СЕРИЯ
47 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
MAG SERIES – УСТОЙСТВА ДЛЯ СЕТЕЙ ЛЮБЫХ МАСШТАБОВ
Поддерживает до 40,000 SSL VPN, 60,000 UAC, or
4,000 application acceleration пользователей
Опциональные модули
Поддерживает до 20,000 SSL VPN, 30,000 UAC, или
2,000 application acceleration пользователей
Опциональные модули
1U high ½-width (may be deployed side-by-side
in 1U rack space)
Поддерживает до 1000 SSL VPN or 5000 UAC
пользователей
1 RU
Поддерживает до100 SSL VPN or 250 UAC
пользователей
1U, ½-width (may be deployed side-by-side
in 1U rack space)
Поддерживает до 250 application acceleration
пользователей
Од
ин
се
рв
ис,
Фи
кси
ро
ван
ная
ко
нф
игу
ра
ци
я MAG2600
MAG4610
MAG4611
MAG6610
MAG6611
Поддерживает до 40,000 SSL VPN, 60,000 UAC
пользователей
10Gb интерфейсы
L4 Server Load Balancer
MAG8600
Неско
ль
ко
сер
ви
со
в,м
од
ул
ьн
ая
ко
нф
игу
рац
ия
48 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УПРАВЛЕНИЕ КОМПОНЕНТАМИ И УСТРОЙСТВАМИ БЕЗОПАСНОСТИ.
JUNOS SPACE
49 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПОДХОД JUNIPER К УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ
СЛЕДУЮЩЕЕ ПОКОЛЕНИЕ
МАСШТАБИРУЕМАЯ
АРХИТЕКТУРА SOA
БЫСТРОЕ WEB
ПРИЛОЖЕНИЕ
ПОСТРОЕННОЕ НА
ОТКРЫТОЙ ПЛАТФОРМЕ
NETWORK & SECURITY MANAGER
(NSM)
Лучшие продукт в
течениe 10 лет
Клиент-серверная
архитектура
СЕГОДНЯ РАНЕЕ
SECURITY DESIGN (ПРИЛОЖЕНИЕ SPACE)
Отдельная программа
50 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЛЕГКАЯ МАСШТАБИРУЕМОСТЬ И РАСШИРЯЕМОСТЬ ЗА СЧЕТ ПОГРУЖЕНИЯ В JUNOS SPACE
SECURITY DESIGN ФОКУСИРУЕТСЯ:
Политики межсетевого экрана
Политики VPN
Политики NAT
Политики IPS
Политики AppFW
SPACE PLATFORM ФОКУСИРУЕТСЯ:
Управление устройствами
Управление модулями
Управление версиями ПО
Управление правами доступа
Аудит
Device Management Interface (DMI)
RESTful Web Service API
JUNOS SPACE PLATFORM
Network Infrastructure
Создание
Применение
Наблюдение
Поддержка
Оптимизация Secure Design
51 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS SPACE ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА
Что такое Junos Space?
Открытая, безопасная и масштабируемая программная платформа для построения приложений:
Управление и анализ сетевыми элементами
Оптимизирование сетевой инфраструктуры и управление через динамические политики
Максимизация сетевой пользы и масштабирование решения при снижении цены и сложности
APPLICATIONS
Juniper Applications 3rd Party Applications
Device Management Interface (DMI)
RESTful Web Service API
JUNOS SPACE PLATFORM
Network Infrastructure
Open Network Application Platform
Network Activate, ● Transport
Activate ● QoS Design ● Ethernet
Design ● Security Design ● Virtual Control ● Service Now
OSS ● BSS ● Green/Energy ● End-user Forensics Adapters (MTOSI, OneAPI) ● … others
52 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
SECURITY DESIGN ВЕРСИЯ 11.4
Основание для Дизайна Безопасности
53 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УПРОЩЕНИЕ УПРАВЛЕНИЯ ЗА СЧЕТ ИЕРАРХИИ ПОЛИТИК
1 Глобальные политики
2 Групповые политики
3 Политики устройств
Безопасные
коммуникации
Запретить
Разрешить
1
2
3
Применить с
приоритетом
Пр
еи
му
щес
тв
а Гибкий контроль политик
Улучшенная оптимизация
Пере-использование политик
54 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Дизайн и проверка политик перед применением снижает ошибки
Возможность увидеть команды, которые будут отосланы на устройство
Увидеть все команды что будут применены
ПРОВЕРКА ПОЛИТИК ПЕРЕД ПРИМЕНЕНИЕМ PUBLISH WORKFLOW
Create Policy
Create VPN
Create NAT
Create IPS
Signatures
Дизайн
View Impacted Devices
View CLI
Verification
Optimization
Проверка
Schedule updates
Bulk Update
Granularity
Device Status
Изменение
55 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
МОНИТОРИНГ СОБЫТИЙ БЕЗОПАСНОСТИ STRM
56 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM серия
Intelligent, Integrated, Automated
STRM
Log
Manager
STRM
SIEM
STRM
QFlow
STRM
VFlow
STRM
Risk
Manager
Security Intelligence Operating System
Представляет полную картину по
безопасности сети
57 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM SIEM
Обзор
STRM SIEM обеспечивает полную прозрачность сети с
возможностью реакции на события безопасности для
защиты компонентов сети от различного вида угроз.
Ключевые особенности:
• Продвинутые механизмы кореляции событий,потоков,
компонентов, топологий, уязвимостей и внешних данных для
идентификации угроз.
• Анализ сетевого трафика для обнаружения приложений
• Управление инцидентами до полного их разрешения
• Масштабируемая архитектура для организаций любых
размеров
58 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM SIEM
Ключевые преимущества
• Кореляция событий в реальном времени основанная на новой
технологии in-memory и широкого набора контекстных данных a
• Захват потока и анализ данных позволяющие увидеть трафик
на уровне 7 модели OSI
• Анализ данных инцидентов который сокращает false positives
• Уникальная комбинация поисковых функций и анализ
нормализированных данных
• Масштабируемость подходящая даже для самых крупных сетей
с использованием встроенной СУБД и унифицированной
архитектуры представления данных.
59 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM SIEM
Интегрированная консоль
• Интерфейс веб-браузера
• Достук к информации на
основе ролей
• Настраиваемые панели
инструментов
• Статистика достурпная в режиме реального времени
• Улучшенные механизмы просмотра деталей событий
• Легко настраиваемые правила с готовой к работе
конфигурацией
60 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM FLOW АНАЛИЗ
STRM предоствляет полную прозрачность трафика собирая flow данные.
(Jflow/NetFlow/Sflow/)
Это предоставляет доступ к следующим данным:
- Top Talkers (на основе портов и ip адресов )
- SNMP polling по интерфейсам ,.
- Сбор статистики Sflow
Анализ QoS
- Flow collection представляет удобную консоль для анализа QoS механизмов.
- Обнаружение аномалии трафика
- Автоматически правила изучают харакстеристики трафика и сигнализурют в
случае его нарушения.
- Высылает предупреждение в случае обнаружения потока информации к
неизвестному хосту
- Обнаруживает сканирования и большие исходящие передачи файлов
61 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРИМЕРЫ ВНЕДРЕНИЯ
Небольшая организация - STRMv
Организация средних размеров - STRM-500
Большая организация - STRM-5k + EP:s
Организация с несколькими
отделениями : - STRM-5k + Combo-collectors
62 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM ХАРАКТЕРИСТИКИ ПЛАТФОРМ
All-In-One Distributed EP Distributed FP Distributed
Combo (EP/FP)
Distributed
Console
STRMV
(VM Version of STRM)
Max 1k EPS &
50kF/m
Max 1k EPS Max 50kF/m NO Supported
STRM-500 (JA-STRM500-A2-BSE)
Max 500EPS &
15kF/m
Max 500 EPS Max 15kF/m Max 500EPS &
15kF/m
NO
STRM-2500 (JA-STRM2500-A2-BSE)
Max 1250 EPS &
25kF/m
Max 2500 EPS Max 50kF/m Max 2500 EPS &
50kF/m
NO
STRM-5000-A2 (JA-STRM5000-A2-BSE)
Max 5k EPS &
200kF/m
Max 10k EPS Max 600kF/m NO Supported
STRM-5000-NEBS (STRM5000-NEBS-A-BSE)
NO Max 20k EPS Max 600kF/m NO NO
63 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЗАЩИТА МОБИЛЬНЫХ УСТРОЙСТВ. JUNOS PULSE MOBILE SECURITY
64 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Безопасность мобильных сред с использованием JUNOS PULSE
Antivirus
Защита в режиме реального времени
Авто обновления
Сканирование файлов
И соединений
Personal
Firewall
Фильтрование вхд/исх. трафика
Логирование и предупреждения
Настраиваемый вид
Anti Spam
Блокировка СМС и голосового спама
Черный список
Автоматические правила распознавания
“плохого” трафика
Loss & Theft
Protection
Удаленная блокировка
Функции восстановления
GPS –обнаружения
Предупреждение о смене SIM
Device
Control
Контроль приложений
Мониторинг контента
Se
cu
re A
cce
ss
65 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS PULSE НА СМАРТФОНАХ
Подходит для использования различных приложений
Web VPN (browser-based applications)
Secure Email (secure ActiveSync proxy)
Full Layer 3 Tunnel
Используются технологии:
SSL VPN
Multi-factor authentication
Granular auditing and logging
66 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
For The Enterprise
DELIVER SECURITY TO ALL SMARTPHONE MARKETS AND USERS
Удаляет данные с потерянных
устройств
Сочетает возможности
безопасности и удаленного
доступа в одном приложении
Применяет политики доступа
Сокращает издержки на IT
67 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
y
КОНЦЕПЦИЯ ВЗАИМОДЕЙСТВИЯ
SRX Series
EX Series
WLA Series
802.1X
Switches / APs
MAG Series
(Junos Pulse Access
Control Service)
MAG Series
(Junos Pulse Secure
Access Service and
Junos Pulse Application
Acceleration Service)
Virtual SSL VPN
(Junos Pulse Secure
Access Service)
Клиенты
SRX Series
Авторизованный пользователь
с личным устройством
Авторизованный пользователь с
устройством компании
Internet
68 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПОДДЕРЖИВАЕМЫЕ ВЕРСИИ ОС
69 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS PULSE ДЛЯ РАБОЧИХ СТАНЦИЙ
Доступ
к корпоративному
ресурсу
MAG Series Junos Pulse Gateway
Junos Pulse
предоставляет:
• Безопасный удаленный
доступ(SSL VPN)*
• Контроль доступа в сеть (
UAC)
• Junos Pulse Application
Acceleration cервисы
Junos Pulse
PCs & Macs
Junos Pulse
Smartphones & Tablets
• Junos Pulse Mobile
Security Suite