Moderní vzdálený přístup

[Public]—For everyone©2003–2008 Check Point Software Technologies Ltd. All rights reserved.

Moderní vzdálený přístup

Martin Koldovský[email protected]

SE Manager Eastern Europe

2[Public]—For everyone

©2003–2008 Check Point Software Technologies Ltd. All rights reserved.

VýzvyVýzvy

poskytnout vzdálený přístup většímu množství uživatelů– nové role uživatelů – nová zařízení (mobilní zařízení, ...)– nová prostředí (sdílené počítače, domácí PC, ...)

více možností řízeného vzdáleného přístupu bez kompromisů v zabezpečení a s rozumnými nároky na administraci



Vzdálený přístup dříve a dnesVzdálený přístup dříve a dnes

Dříve– pomalé připojení na omezenou dobu– relativně nízká míra rizika– připojení na veřejné IP adrese, bez překážek

Dnes– stálé rychlé připojení, vysoká míra rizika– broadband a bezdrátové sítě– wifi hotspoty – captive portály– další překážky - překlad adres, firewall, proxy



AgendaAgenda

Kdo přistupuje vzdáleně - autentizace Za jakých podmínek přistupuje - NAC Odkud přistupuje – VPN klienti a “bezklientský přístup” Přístup ze sdíleného klientského PC Mobilní přístup Přes co přistupuje – VPN brány



Kdo přistupuje - autentizaceKdo přistupuje - autentizace

nové způsoby autentizace– DynamicID – jednorázová hesla zasílaná přes SMS

» vzd. přístupem umožní vybavit více uživatelů a okamžitě se silným způsobem autentizace bez nákladů na autentizační zařízení pro každého uživatele (každý uživatel již token má – jeho mobil)

» vhodné i pro scénář přístupu ze sdíleného PC, kde nelze použít smartcard, USB aut.tokeny apod. (není čtečka, nejsou drivery)



Za jakých podmínek přistupuje - NACZa jakých podmínek přistupuje - NAC

pravidla na papíře a ve skutečnosti – začít bezpečnostní politiky sledovat a technicky vynucovat

Network Access Control (NAC) - integrováno do VPN klienta

clientless NAC – na vyžádání, z webového prohlížeče jde o cooperative enforcement – podílí se na něm brána

na základě znalostí o konfiguraci a stavu klienta



Clientless NACClientless NAC



Nezanechat stopy na sdíleném PCNezanechat stopy na sdíleném PC

ve sdíleném prostředí - SecureWorkspace– bezpečné zpracování firemních dat na sdíleném PC – šifrované

prostředí, které je odstraněno s koncem relace– zabránit úniku informací přes sdílený počítač (zapomenuté

interní dokumenty v internetové kavárně, nebezpečí spyware)– zabezpečení clipboardu, kontrola tisku– zabránit exportu dat ze zabezpečené relace– Program Control – jen autorizované aplikace a ochrana před

malware– na vyžádání ze sítě nebo na USB



Clientless nemusí znamenat bez možnosti plné IP konektivityClientless nemusí znamenat bez možnosti plné IP konektivity

podpora nativních aplikací vyžadujících plnou IP konektivitu– SSL Network Extender

IP konektivita bez nutnosti administrátorských práv na straně klienta– SSL Network Extender

Application Mode



Mobilní zařízeníMobilní zařízení

SecureClient Mobile iConn – VPN klient pro iPhone ActiveSync přes SSL - “bezklientský” zabezpečený e-mail



Nový rezidentní VPN klientNový rezidentní VPN klient

nová generace řešení SecureClient = Check Point Endpoint Connect

nyní i v balíku Endpoint Security – od verze R72



Dva extrémní přistupy jsou kombinoványDva extrémní přistupy jsou kombinovány

“ode zdi ke zdi”? IPSec vs SSL VPN organizací spravovaný koncový bod vs. koncové

zařízení, o kterém víme jen velmi málo rezidentní klient vs. clientless přístup



Ochrana na straně VPN brányOchrana na straně VPN brány

integrované bezpečnostní brány– integrace řízení přistupu (firewall), intrusion prevention,

webového aplikačního firewallu, content inspection (AV)– cooperative enforcement – integrace NAC do VPN brány

Hacker/ Infected PC

Normal User

Normal User

Security Gateway / Connectra

Application Server

Email Server

Web Server



VPN brányVPN brány

Connectra– univerzální VPN koncentrátor pro SSL VPN i rezidentní IPSec

klienty a mobilní zařízení– k instalaci jako appliance, software nebo na VMware ESX

VPN-1 (UTM-1/Power-1)– integrovaná bezpečnostní brána– nový SSL VPN Blade (“Connectra na platformě VPN-1”)

Connectra 9072



Total Security from Check PointTotal Security from Check Point

Only with Check Point can you achieve total end-to-end security with a single line of unified security gateways, a single agent for all endpoint security needs,

all managed by our single integrated security management console.

UnifiedGateways

SingleEndpointSecurityAgent

Single SecurityManagement

Console

totalsecurity from Check Point



ActiveSync supportActiveSync support

• Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy)

• Leveraging native built-in mail client

• Any mobile phone supporting ActiveSync (WM, iPhone, Android, Symbian)

• Basic and client certificate based authentication

• Auto-enrollment from the SSL VPN gateway

• Access policy based on users groups

• Support for multiple Exchange servers

• Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy)

• Leveraging native built-in mail client

• Any mobile phone supporting ActiveSync (WM, iPhone, Android, Symbian)

• Basic and client certificate based authentication

• Auto-enrollment from the SSL VPN gateway

• Access policy based on users groups

• Support for multiple Exchange servers

ActiveSync over SSLActiveSync over SSL

• MS Exchange server is decoupled from the internet

• Centrally managed remote-access strong authentication

• Control endpoint security through ActiveSync with additional options (Device lock , encryption, remote wipe,

• MS Exchange server is decoupled from the internet

• Centrally managed remote-access strong authentication

• Control endpoint security through ActiveSync with additional options (Device lock , encryption, remote wipe,

Security Gateway w/ SSL VPN Blade

MS Exchange Mail Server

Active Directory

NativeActiveSync

over SSL

InternetInternet

Documents

Moderní vzdálený přístup