• Home

  • Documents

  • SigurnoSt Nova generacija Internet gateway mreže: sigurnost i … · MREŽA SigurnoSt Mreže...
3
siječanj 2017. MREŽA 36 Robert Buljević i Dario Marušić Dizajn izlaza na Internet (Internet gateway) u organizacijskim mrežama gotovo uvijek se svodi na dva zahtjeva: sigurnost i visoku raspoloživost Nova generacija Internet gateway mreže: sigurnost i visoka raspoloživost S igurnosni tretman mrežnog prometa u pravilu se postiže sa (sve) više sigurnosnih inli- ne uređaja kroz koji prolazi promet: firewall, secure web gateway (web proxy), secure mail gateway (mail proxy), ATP inspekcija, DLP, IPS/IDS, SSL inspekcija, Deep Packet Inspection (DPI), itd. Na “papiru” inline topologija može izgledati, primjerice, ovako: Tradicionalno, visoka raspoloživost u inline scenariju može se postići redundancijom mrež- nog puta koristeći Spanning Tree Protocol (STP) kako bi se konstruirao alternativni mrežni put do gatewaya, često uz kombinaciju protokola Cisco HSRP za ostvarenje redundantnog default gatewaya. Tipičan prikaz ovakvog rješenja prikazan je na slici niže: SIGURNOST Mreže NEdostAci tRAdicioNAlNih MREŽNih ARhitEktuRA Problem ovakve legacy arhitekture leži u novijim zahtjevima sigurnosti, poglavito u pojavi ATP inspection&mitigation uređaja (primjerice, Trend Micro ili Fireeye) i zahtjevima za vidljivošću SSL kriptiranih komunikacija. Dakle, mrežni put od LAN-a do routera i Interneta mora proći sve veći broj mogućih točaka ispada. Dodatni nedostaci ovakvog pristupa su: Podržana samo Active/Passive visoka dostupnost, tj. u svakom trenutku samo je pola mrežne opreme iskorišteno (Master/ Slave način rada). Dakle, riječ je o ulaganju u hladni pogon Skalabilnost pati, tj. kada postoji potreba za širenjem kapaciteta nije jednostavno dodati novu opremu u lanac prometa Svi uređaji primaju ukupni promet, iako možda nisu zainteresirani za sve pakete; stoga kapacitet svakog uređaja mora biti dimenzioniran tako da zadovolji ukupnu propusnost Održavanje i administracija mreže postaje vrlo kompleksna, a STP protokol je poznat po izuzetno teškom otkrivanju greški (troubleshootingu) kada dođe do problema PREDNOSTI PACKET BROKER MREŽNih ARhitEktuRA Uz tehnologiju Gigamon Visibility Fabric, dizajn Internet gatewaya moguće je izmijeniti i ostvariti potpunu skalabilnost i fleksibilnost u doba sve većih zahtjeva sigurnosti i sve više mrežnih ure- đaja na putu prema Internet gatewayu. Prednosti ovakve packet broker arhitekture višestruke su: Drastično pojednostavljeno održavanje i skalabilnost mreže: dodavanje, gašenje ili nadogradnje različitih uređaja moguće je raditi bez ispada mreže Veća učinkovitost i iskorištenje mrežnih uređaja, odnosno svi uređaji ne moraju obrađivati sav promet: primjerice, upitna je potreba za obradom SIP i audio videomedijskih sadržaja na ATP rješenju. Time je moguće bitno revidirati zahtjeve za kapacitetom na pojedinim mrežnim uređajima te, uz veću učinkovitost, ostvariti znatne uštede Smanjen broj točaka ispada i mogućnost inline bypassa (failopen) Integracija s inline ali i out-of-band rješenjima kao što su SIEM, Netflow, IDS, itd.

SigurnoSt Nova generacija Internet gateway mreže: sigurnost i … · MREŽA SigurnoSt Mreže vidljivost u prIVate (vMWARE) ili pUbLIc (AWs) okRuŽENju Sve većom migracijom aplikacijskih

  • Upload
    others

  • View
    15

  • Download
    1

Embed Size (px)

Citation preview

Page 1: SigurnoSt Nova generacija Internet gateway mreže: sigurnost i … · MREŽA SigurnoSt Mreže vidljivost u prIVate (vMWARE) ili pUbLIc (AWs) okRuŽENju Sve većom migracijom aplikacijskih

siječanj 2017. MREŽA36

Robert Buljević i Dario Marušić

Dizajn izlaza na Internet (Internet gateway) u organizacijskim mrežama gotovo uvijek se svodi na dva zahtjeva: sigurnost i visoku raspoloživost

Nova generacija Internet gateway mreže: sigurnost i visoka raspoloživost

Sigurnosni tretman mrežnog prometa u pravilu se postiže sa (sve) više sigurnosnih inli-ne uređaja kroz koji prolazi promet: firewall, secure web gateway (web proxy), secure mail gateway (mail proxy), ATP inspekcija, DLP, IPS/IDS, SSL inspekcija, Deep Packet

Inspection (DPI), itd.Na “papiru” inline topologija može izgledati, primjerice, ovako:

Tradicionalno, visoka raspoloživost u inline scenariju može se postići redundancijom mrež-nog puta koristeći Spanning Tree Protocol (STP) kako bi se konstruirao alternativni mrežni put do gatewaya, često uz kombinaciju protokola Cisco HSRP za ostvarenje redundantnog default gatewaya. Tipičan prikaz ovakvog rješenja prikazan je na slici niže:

SigurnoSt Mreže

NEdostAcitRAdicioNAlNihMREŽNihARhitEktuRA

Problem ovakve legacy arhitekture leži u novijim zahtjevima sigurnosti, poglavito u pojavi ATP inspection&mitigation uređaja (primjerice, Trend Micro ili Fireeye) i zahtjevima za vidljivošću SSL kriptiranih komunikacija. Dakle, mrežni put od LAN-a do routera i Interneta mora proći sve veći broj mogućih točaka ispada. Dodatni nedostaci ovakvog pristupa su:

Podržana samo Active/Passive visoka dostupnost, tj. u svakom trenutku samo je pola mrežne opreme iskorišteno (Master/ Slave način rada). Dakle, riječ je o ulaganju u hladni pogon

Skalabilnost pati, tj. kada postoji potreba za širenjem kapaciteta nije jednostavno dodati novu opremu u lanac prometa

Svi uređaji primaju ukupni promet, iako možda nisu zainteresirani za sve pakete; stoga kapacitet svakog uređaja mora biti dimenzioniran tako da zadovolji ukupnu propusnost

Održavanje i administracija mreže postaje vrlo kompleksna, a STP protokol je poznat po izuzetno teškom otkrivanju greški (troubleshootingu) kada dođe do problema

PrednoSti packet broker MREŽNihARhitEktuRA

Uz tehnologiju Gigamon Visibility Fabric, dizajn Internet gatewaya moguće je izmijeniti i ostvariti potpunu skalabilnost i fleksibilnost u doba sve većih zahtjeva sigurnosti i sve više mrežnih ure-đaja na putu prema Internet gatewayu. Prednosti ovakve packet broker arhitekture višestruke su:

Drastično pojednostavljeno održavanje i skalabilnost mreže: dodavanje, gašenje ili nadogradnje različitih uređaja moguće je raditi bez ispada mreže

Veća učinkovitost i iskorištenje mrežnih uređaja, odnosno svi uređaji ne moraju obrađivati sav promet: primjerice, upitna je potreba za obradom SIP i audio videomedijskih sadržaja na ATP rješenju. Time je moguće bitno revidirati zahtjeve za kapacitetom na pojedinim mrežnim uređajima te, uz veću učinkovitost, ostvariti znatne uštede

Smanjen broj točaka ispada i mogućnost inline bypassa (failopen)

Integracija s inline ali i out-of-band rješenjima kao što su SIEM, Netflow, IDS, itd.

gigamon promo.indd 36 09.12.2016. 13:13

Page 2: SigurnoSt Nova generacija Internet gateway mreže: sigurnost i … · MREŽA SigurnoSt Mreže vidljivost u prIVate (vMWARE) ili pUbLIc (AWs) okRuŽENju Sve većom migracijom aplikacijskih

MREŽAsiječanj 2017. 37

PROMO

ssldEkRipcijAKako vratiti skalabilnost u mrežu, bolje isko-

ristiti postojeća mrežna rješenja, izbjeći skupe nadogradnje i povećati raspoloživost usluge, a istodobno povećati sigurnost uvidom u SSL kriptirani sadržaj? Zvuči kao nemoguća misija?

SSL protokolom kriptirani promet, bez pret-hodne dekripcije nije vidljiv sigurnosnim i/ili rješenjima za nadzor i analizu mrežnog prometa, što onemogućuje klasifikaciju prometa u mreži, pa tako nije moguće vidjeti koje aplikacije, od-nosno protokoli, su zastupljeni u mreži. Situacija može postati gora kad napadači u mrežu ispo-ruče malware kriptiran SSL protokolom. Procjena je da oko 50% mrežnih napada prolazi zbog kriptiranog prometa nevidljivog standardnim sigurnosnim rješenjima.

Današnje mreže sastoje se od mnogo sigur-nosnih rješenja (NGFW, IDS, IPS, WAF…), koja sama ne vide kriptirani promet, a ovisno o namje-ni, nalaze se u inline ili out of band načinu rada. Kako bi ispunili svoju svrhu, tim rješenjima treba dovesti nekriptirani promet, jer bi zasebna de-kripcija prometa za svako od navedenih rješenja bila neučinkovito i definitivno neisplativo rješe-nje. S obzirom na brojnost sigurnosnih rješenja

mo jednog od uređaja. Također, u slučaju nadogradnji, odnosno redovnog održavanja, postojat će prekid u radu usluge pa se sve radnje oko održavanja sustava moraju planirati u vrijeme najma-nje opterećenosti, što najčešće znači usred noći, rano ujutro itd.

Problem vidljivosti kriptiranog mrežnog prometa moguće je riješiti korištenjem Blue Coat SSL Visibility Appliance rješenja, koje će omogućiti SSL dekripci-ju/enkripciju te tako rasteretiti ostala sigurnosna rješenja koja neće morati odrađivati i taj po-sao (decrypt once, feed many), a distribuciju kompletnog mrež-nog prometa svim sigurnosnim i mrežnim rješenjima moguće je osigurati network visibility rješe-njem kao što je gigamon.

Takvim redizajnom gateway mreže, koristeći Gigamon Visibi-lity Fabric dobiva se skalabilnost,

a Blue Coat SSL dekripcijom osigurava se da svi konzumenti paketa na mreži (tj. sigurnosna rješenja) dobiju uvid u SSL kriptirani sadržaj. Do-davanje novih uređaja ili proširivanje kapaciteta moguće je jednostavno bez ispada i redizajna arhitekture mreže, a postojeća rješenja mogu dobiti točno onaj promet za koji su i dizajnirana da troše.

povezanih u seriju sa svakim alatom smanjuju se performanse, pouzdanost i povećava rizik od prekida mrežne povezanosti uslijed ispada sa-

Mogućnost inteligentnog usmjeravanja prometa na različite alate, tj. potrošače paketa: primjerice, SMTP promet samo na mail scanning rješenje, ili samo metapodatke na SIEM (podaci o TCP

tRAdicioNAlNAvs.packet broker MREŽNAARhitEktuRA

MogućEpRiMjENEiiNtEgRAcijE

pRijE poslijE

sesiji, URL u http zahtjevu, vrsta sadržaja u odgovoru, podaci iz SSL certifikata i slično). Time mrežni alati postaju brži, posebno kad je riječ o mrežnoj analitici i sl.

gigamon promo.indd 37 09.12.2016. 13:13

Page 3: SigurnoSt Nova generacija Internet gateway mreže: sigurnost i … · MREŽA SigurnoSt Mreže vidljivost u prIVate (vMWARE) ili pUbLIc (AWs) okRuŽENju Sve većom migracijom aplikacijskih

siječanj 2017. MREŽA38

SigurnoSt Mreže

vidljivostuprIVate (vMWARE)ilipUbLIc(AWs)okRuŽENju

Sve većom migracijom aplikacijskih rješenja u virtualna okruženja, u kojima pojedine aplika-cije imaju svu potrebnu infrastrukturu, sve više i više mrežnog prometa koji generiraju, nikada ne dođe na fizičku mrežu pa taj promet ostane nevidljiv sigurnosnim rješenjima, a nemoguće je braniti mrežu od malicioznih napada ako ih sigurnosna rješenja ne vide.

GigaVUE-VM rješenje omogućuje vidljivost kompletnog “east-west” mrežnog prometa unu-tar hipervizora te ima mogućnost integracije s VMware vCenter konzolom kako bi zadržao vidljivost uslijed migracije virtualnih strojeva s hipervizora na hipervizor (vMotion).

Korisni linkovihttp://www.veracompadria.com/hr/distributions-hr/gigamon/

VMWare SDDc (eSXI/NSX)Uslijed sve veće virtualizacije aplikacijskih

rješenja, rastu i potrebe za softverskim po-datkovnim centrima (Software Defined Data Center – SDDC) koji nude veću fleksibilnost aplikacijskim rješenjima od “standardnih” podatkovnih centara.

Gigamon GigaVUE-VM, kao gostujući operacijski sustav, na pojedinom hipervizoru ima uvid u kompletan mrežni promet unutar hipervizora, koji potom šalje na Gigamon Visibility Fabric rješenje, gdje se dalje na inte-ligentan način promet distribuira sigurnosnim i mrežnim alatima.

aMaZoN Web SerVIceSNapravili ste migraciju svojih rješenja u public

cloud jer ćete time smanjiti troškove, povećati skalabilnost i visoku raspoloživost svojih servi-sa i aplikacija, ali ne želite zanemariti sigurnost koju će korisnici vaših usluga tražiti od vas.

Uz Gigamon Visibility Platform za AWS

kompletan promet unutar VPC, uz inteligen-tno usmjeravanje, postaje dostupan različitim alatima, odnosno potrošačima paketa.

Distributer:Veracomp d.o.o.

www.veracompadria.com

SieM i SplunkPovećanjem mrežnog prometa, brzina, ali i

sve većeg broja različitih poslužitelja, aplika-cija, pa i mrežnih uređaja i općenito uređaja koji generiraju logove raste i potreba za pri-kupljanjem tih logova na jednom mjestu za daljnju automatiziranu analizu i normalizaciju kako bi u stvarnom vremenu ponajprije uočili neželjene aktivnosti u mreži.

Kako se Gigamon uklapa u SIEM rješenja? Odgovor se nameće sam od sebe. Gigamon Visibility Fabric rješenje korištenjem fizičkih ili virtualnih TAP, ali i SPAN portova ima vidlji-vost kompletnog prometa u mreži na jednom mjestu što znatno olakšava integraciju sa sigurnosnim i mrežnim rješenjima.

Jedan od načina integracije je mogućnost da Gigamon rješenje generira metapodatke i potom ih distribuira na SIEM. Može distri-buirati i kompletan mrežni tijek podataka uz prethodno inteligentno filtriranje prometa čak i na višim mrežnim slojevima (Applica-tion Session Filtering) uz korištenje i ostalih mogućnosti optimizacije paketa poput de-duplikacije, SSL dekripcije, odstranjivanja zaglavlja ili podatkovnog dijela paketa, a sve u svrhu smanjenja mrežne propusnosti prema SIEM-u. Tehnološko partnerstvo sa Splunkom rezultiralo je razvojem aplikacija pomoću kojih se Splunk integrira s Gigamon Visibility Fabrics tehnologijom out of the box.

gigamon promo.indd 38 09.12.2016. 13:13


sigurnost WLAN

sigurnost WLAN

Documents
Petrijeve mreže

Petrijeve mreže

Documents
Sigurnost Final

Sigurnost Final

Documents
Računarske mreže

Računarske mreže

Documents
System i: Sigurnost Upravitelj digitalnih certifikata...Virtualne privatne mreže (VPN), morate osigurati informacije za njihova proširenja. Srodnikoncepti “Razlikovnoime” Razlikovno

System i: Sigurnost Upravitelj digitalnih certifikata...Virtualne privatne mreže (VPN), morate osigurati informacije za njihova proširenja. Srodnikoncepti “Razlikovnoime” Razlikovno

Documents
Sigurnost Socijalna država iz 20. veka je EU LIBE ... · Vatreni zid (firewall) • definiše se kao sistem sa slede ćim karakteristikama: sav saobra ćaj izme đu dve mreže mora

Sigurnost Socijalna država iz 20. veka je EU LIBE ... · Vatreni zid (firewall) • definiše se kao sistem sa slede ćim karakteristikama: sav saobra ćaj izme đu dve mreže mora

Documents
Sigurnost hrane

Sigurnost hrane

Documents
Društvene mreže

Društvene mreže

Documents
ODLUKU o cesta za 2018. godinu I. - vlada.gov.hr svibnja/97... · •Sigurnost cestovnog prometa •Daljnja integracija cestovne mreže sa europskim prometnim tokovima i postojećom

ODLUKU o cesta za 2018. godinu I. - vlada.gov.hr svibnja/97... · •Sigurnost cestovnog prometa •Daljnja integracija cestovne mreže sa europskim prometnim tokovima i postojećom

Documents
Neuronske mreže i prikladnost arhitekture mreže - FERjava.zemris.fer.hr/nastava/ui/ann/ANN-Primjeri.pdf · Neuronske mreže i prikladnost arhitekture mreže U nastavku ovog dokumenta

Neuronske mreže i prikladnost arhitekture mreže - FERjava.zemris.fer.hr/nastava/ui/ann/ANN-Primjeri.pdf · Neuronske mreže i prikladnost arhitekture mreže U nastavku ovog dokumenta

Documents
sigurnost u paraglidingu sigurnost u paraglidingu

sigurnost u paraglidingu sigurnost u paraglidingu

Documents
Sretna sigurnost

Sretna sigurnost

Documents
SIGURNOST MREŽE RAČUNALA

SIGURNOST MREŽE RAČUNALA

Documents
Sigurnost - h10032

Sigurnost - h10032

Documents
Sigurnost strojeva

Sigurnost strojeva

Documents
preciznost sigurnost

preciznost sigurnost

Documents
SIGURNOST RAČUNARSKIH MREŽA (SRM) - dragan … · . ... Računarske mreže i protokoli Operativni sistemi ... Internet, ali – uzevši u obzir

SIGURNOST RAČUNARSKIH MREŽA (SRM) - dragan … · . ... Računarske mreže i protokoli Operativni sistemi ... Internet, ali – uzevši u obzir

Documents
Bežične mreže

Bežične mreže

Documents
4. Ra čunalne mreže - os-jsizgorica-si.skole.hr · smanjena sigurnost – podaci se mogu presresti ili ukrasti zbog neopreznosti pojedinih korisnika složenost sustava – teže

4. Ra čunalne mreže - os-jsizgorica-si.skole.hr · smanjena sigurnost – podaci se mogu presresti ili ukrasti zbog neopreznosti pojedinih korisnika složenost sustava – teže

Documents
Seminarski Pretnje,Napadi,Sigurnost i Metode Mreže Simic Lazar F-75

Seminarski Pretnje,Napadi,Sigurnost i Metode Mreže Simic Lazar F-75

Documents
403 sigurnost društvene mreže

403 sigurnost društvene mreže

Documents
Sigurnost Interneta

Sigurnost Interneta

Documents
Agencija za sigurnost hrane Bosne i Hercegovine · za sigurnost hrane Bosne i Hercegovine je u aprilu 2009. postala član međunarodne mreže WHO/FAO autoriteta za sigurnost hrane

Agencija za sigurnost hrane Bosne i Hercegovine · za sigurnost hrane Bosne i Hercegovine je u aprilu 2009. postala član međunarodne mreže WHO/FAO autoriteta za sigurnost hrane

Documents
Sigurnost GÉANT2 mreže JRA2: Security · Sigurnost je postala sastavni dio online zajednice! • Mreža GÉANT2 nije izuzetak • Sigurnost prestaje biti dodatna oprema i postaje

Sigurnost GÉANT2 mreže JRA2: Security · Sigurnost je postala sastavni dio online zajednice! • Mreža GÉANT2 nije izuzetak • Sigurnost prestaje biti dodatna oprema i postaje

Documents
Poslovna inteligencijaef.sum.ba/.../RIS_PoslovnaInteligencija_0.pdfPoslovna inteligencija - DEFINICIJA BI je široka kategorija aplikacijskih programa i tehnologija za prikupljanje,

Poslovna inteligencijaef.sum.ba/.../RIS_PoslovnaInteligencija_0.pdfPoslovna inteligencija - DEFINICIJA BI je široka kategorija aplikacijskih programa i tehnologija za prikupljanje,

Documents
SIGURNOST - scdu.hr

SIGURNOST - scdu.hr

Documents
PREHRAMBENE MREŽE, LANCI (EKOLOŠKE MREŽE)

PREHRAMBENE MREŽE, LANCI (EKOLOŠKE MREŽE)

Documents
Sigurnost varazdin

Sigurnost varazdin

Documents
LOKALNE RAČUNARSKE MREŽE · 2018-04-25 · 3 LOKALNE RAČUNARSKE MREŽE Ključni elementi LAN mreže se svode na: topologiju mreže, prenosni medijum, zajednički za sve stanice

LOKALNE RAČUNARSKE MREŽE · 2018-04-25 · 3 LOKALNE RAČUNARSKE MREŽE Ključni elementi LAN mreže se svode na: topologiju mreže, prenosni medijum, zajednički za sve stanice

Documents
SIGURNOST I KOMFOR ZA STAMBENE I POSLOVNE NOVOGRADNJE · digitalnom snimanju i pregledu visokokvalitetnog video zapisa i s izdvojene lokacije (bilo putem računalne mreže ili Internet

SIGURNOST I KOMFOR ZA STAMBENE I POSLOVNE NOVOGRADNJE · digitalnom snimanju i pregledu visokokvalitetnog video zapisa i s izdvojene lokacije (bilo putem računalne mreže ili Internet

Documents