SSL VPN/biztonságos távoli elérés

Hozzáférés biztosítása belső erőforrásokhoz Biztonsági szint növelése Üzleti elvárások Hozzáférés biztosítása belső erőforrásokhoz Biztonsági szint növelése Hatékonyság növelése... Üzleti partnerek számára belső erőforrások elérése (Extranet portal) Alkalmazottak hatékonyságának növelése: anytime, anywhere access (Intranet, E-mail, terminal services) Jogosultsági szintek szerint elérhető erőforrások (partnerek, támogatók, alkalmazottak) Eszközök támogatása (telefon, notebook, kiosk) Biztonsági szint növelése Csak a szükséges alkalmazások és erőforrások legyenek elérhetőek az adott felhasználó számára A nem menedzselt végpontok kockázatának csökkentése Egységes biztonsági elvárások megkövetelése és betartatása ÉS… Legyen költséghatékony, egyszerű bevezetni Alacsony üzemeltetési és támogatási igény

Megoldás - VPN A VPN alkalmas privát, bizalmas forgalom lebonyolítására publikus hálózaton keresztül „Virtuális” mert a VPN csatorna két végén lévő felhasználó úgy érzékeli, mintha egy hálózatra csatlakoznának Biztonságos, megbízható (FIPS 140-2)? A VPN-nek a privát hálózattal megegyező biztonságot és megbízhatóságot kell nyújtania

SSLVPN Az SSL VPN általában egy vagy több eszköz által biztosított VPN szolgáltatás, amelyhez a felhasználók Web böngésző segítségével csatlakoznak A Web böngésző és az SSL VPN eszköz közötti kommunikáció SSL vagy TLS protokollal titkosított Az SSL VPN és az IPSec VPN nem azonos funkcionalitású Nem a korábbi VPN megoldások kiváltása a cél, hanem az üzleti és funkcionális elvárások teljesítése

SSLVPN változatok SSL Portal VPN SSL Tunnel VPN Szabványos SSL kapcsolatot használ a kliens és Web site között a hálózati szolgáltatások biztonságos eléréséhez. Ez a site-ot általában portálnak nevezik, mert egy oldalon keresztül több belső erőforrás (webes) érhető el. A felhasználó a az SSL VPN gateway eléréséhez Web böngészőt használ, azonosítja magát, ezután érheti el azt a portált, amely az elérhető belső szolgáltatásokat jeleníti meg. SSL Tunnel VPN Az SSL VPN szolgáltatáson keresztüli, nem web alapú szolgáltatások elérésére alkalmas. Az SSL kapcsolaton keresztül tunnel segítségével hálózati kommunikáció és alkalmazások elérése biztosítható. Az SSL tunnel VPN olyan Web böngészőt igényel, amely képes az active content kezelésére, amely lehetővé teszi az olyan funkciókat, amelyeket az SSL portal VPN nem. Az active content lehet Java, JavaScript, Active X vagy Flash alkalmazás vagy plug-in.

SSLVPN architektúra

SSL VPN felhasználási lehetőségei Távoli hozzáférés SSLVPN Mobil eszközök Céges notebook Otthoni számítógép Intranet Email szerver Firewall Internet Router Alkalmazás szerverek Hatékonyság Bárhonnan, bármikor, szinte bármilyen eszközről elérhető Nem szükséges kliensszoftver telepítése Könnyen elérhető a leggyakoribb web böngészőkből Biztonság Titkosított kommunikáció a vállalati rendszerek irányába Jogosultság kezelés és hozzáférés szabályozás Egységes és biztonságos végpont ellenőrzés

SSL VPN felhasználási lehetőségei Támogatók Ügyfelek Intranet Kliens/Szerver alkalmazások Alkalmazás szerverek Partnerek Firewall Internet Router Adminisztráció Egyszerű felhasználókezelés Nem kell klienst telepíteni a külső felhasználók számára Web-enabled eszközökről elérhető Vállalati biztonsági előírások betartatása Szabályozott hozzáférés az erőforrásokhoz és alkalmazásokhoz Végpontvédelem ellenőrzése a hozzáférés megadása előtt megtörténik

SSL VPN bemutatása Hozzáférési módok az erőforrásokhoz felhasználótól, kliens típustól és erőforrástól függően Network Connect Secure Application Manager Core Access Layer-3 kapcsolat kiépítése Hozzáférés kliens/szerver alkalmazásokhoz. Pl.: Windows és Java alkalmazások Hozzáférés Web-alapú alkalmazásokhoz, File megosztásokhoz, telnet/SSH eléréshez, és Outlook Web Access Erőforrás intenzív alkalmazások elérésének biztosítása. Pl.: VoIP és streaming media One click hozzáférés a belső alkalmazásokhoz pl.: Citrix, Microsoft Outlook, and Lotus Notes URL vagy file szintű hozzáférés Távoli és mobil alkalmazottak számára teljes hálózati hozzáférés biztosítható Távoli és mobil alkalmazottak, partnerek számára hozzáférés a telepített elkalmazásokhoz Távoli és mobil alkalmazottak hozzáféréséhez nem biztonságos hálózatokból Layer-3 Kliens/szerver alkalmazás hozzáférés szabályozása Web alkalmazások hozzáférés szabályozása

SSLVPN elvárások Menedzselhetőség: üzemeltetés, állapot jelentés, loggolás és auditálás. High availability: failover és terhelés elosztás eszköz vagy komponens meghibásodás esetén. Skálázhatóság: Több eszköz összekapcsolása révén magasabb konkurrens session kiszolgálása. Testreszabhatóság: a felület egyedi igények szerinti módosítása. Autentikáció: felhasználó azonosítása meglévő autentikációs szolgáltatások segítségével. Titkosítás és integritás: a titkosítás garantálja a bizalmasságot az integritás pedig biztosítja az adat sértetlenségét (SSL). Access control: felhasználó és csoport tagság vagy erőforrás szinten szabályozható a hozzáférési jogosultság.

SSLVPN elvárások Endpoint security: a kliens biztonsági megfelelését garantálja (host integrity: tűzfal, malware és antivirus kliens, up-to-date patch állapot, cache cleaner: bizalmas információk törlése). Intrusion prevention: a kommunikáció ellenőrzése, ártalmas tevékenység vizsgálata.

SSLVPN gyártók, megoldások Array Networks, Aventail, Caymas Systems, Check Point Software Technologies, Cisco, Citrix, F5 Networks, Juniper Networks, Nortel Networks, Permeo Technologies, PortWise, Whale Communications

Juniper SSLVPN Core Competence in SSL-based Access Proven in tens of thousands of customer deployments! Market leadership/industry Awards Product maturity Single Platform for All Enterprise Remote Access Needs Support for complex Web content, Files, Telnet/SSH using only a browser Client/Server applications Adaptive dual transport method for network-layer access End-to-End Security Robust host checking capabilities Dynamic Access Privilege Management 3rd party security audits Performance, Scalability & HA Differentiated hardware platforms Global & local stateful clustering Compression, SSL acceleration, GBIC connectors, dual hot-swappable hard disks, power supplies, and fans Ease of Administration Centralized management Granular role-based delegation Extensive integration with existing directories Native automatic endpoint remediation and password management integration

Juniper SSLVPN Breadth of Functionality Enterprise Size Options/upgrades: 10-25 conc. users Core Clientless Access Options/upgrades: 25-100 conc. users Secure Meeting Cluster Pairs Options/upgrades: 50-1000 conc. users Secure Meeting Instant Virtual System SSL Acceleration Cluster Pairs Options/upgrades: Up to 30,000 conc. users Secure Meeting Instant Virtual System 4-port SFP card 2nd power supply or DC power supply Multi-Unit Clusters Secure Access 6500 Secure Access 4500 Secure Access 2500 Breadth of Functionality Designed for: Large enterprises & SPs Secure remote, intranet and extranet access Includes: Core Clientless Access SAMNC Advanced with Central Manager SSL acceleration Hot swap drives, fans Designed for: Medium to large enterprise Secure remote, intranet and extranet access Includes: Core Clientless Access SAMNC Advanced with Central Manager Secure Access 700 Designed for: Medium enterprise Secure remote, intranet and extranet access Includes: Core Clientless Access SAMNC Advanced with Central Manager Designed for: SMEs Secure remote access Includes: Network Connect Enterprise Size

Juniper SSLVPN Host Checker Kliens ellenőrzése a kapcsolat kiépítése előtt és a kapcsolat során Biztosítja, hogy a kliens teljesíti a vállalat által előírt biztonsági elvárásokat Automatikus akciók a kliens állapotának javítására (remediate) Cross platform support Virus Nincs antivírus kliens telepítve Personal Firewall engedélyezett User remediated  anti-virus telepítése Telepítés után a hozzáférés engedélyezett Nincs antivírus kliens telepítve Nincs personal firewall Csak minimális hozzáférés engedélyezett Airport Kiosk Mobile User AV Real-Time Protection fut Personal Firewall engedélyezve Virus definíció Up To Date Teljes hozzáférés emgedélyezett

SSLVPN bemutatása Host Checker (Java/ActiveX) Win 2k/XP/7 Systems Admin-specified application access DoD Cleaning/Sanitizing standard compliant Password-protected persistent sessions Controlled I/O Access Configurable look/feel Limited/Blocked I/O Access Real Desktop SVW Clipboard Operations Blocked (Virtual  Real) Session Data Encrypted on-the-fly (AES) File System Real Virtual

SSL VPN bemutatása Egyszerű Web Conferencia Desktop/alkalmazás megosztás Csoportos és private chat Egyszerű telepítés és üzemeltetés Nem szükséges szoftver telepítése Web-alapú, több platformos Egyedi meeting URL-ek https://sslvpn.company.com/ meeting/johndoe Költséghatékony – nincs használati/szolgáltatási díj Biztonságos SSL encrypted/secured kommunikáció Peer-to-peer backdoor tiltott Felhasználói adatok védettek Remote Helpdesk Funkció Automatikus desktop megosztás/remote control

SSLVPN bemutatása Szerepkör alapú adminisztráció Központi management Taskok hozzárendelése a megfelelő feladatkörökhöz(helpdesk, security, operations, etc.) Központi management Felügyelet és karbantartás az összes eszközre egy központi konzolon Config Import/Export Konfiguráció mentés/archiválás/visszatöltés Offline konfiguráció módosítás és importálás Push Configuration Push full or partial configuration - új eszközök konfigurálása Részletes logolás és log szűrés Analízis, megfelelés az audit elvárásoknak Hibakeresési eszközök Policy trace, session recording, system snapshot, stb.

SSLVPN bemutatása HA működés: native clustering SA2500, SA4500  Cluster Pairs SA6500  Multi-unit clusters Állapot megőrző rendszer System state and configuration User profile, personalized configuration User session synch (nem kell ismételten bejelentkezni failover esetén) Active/Passive cluster Mobil kliensek támogatása – Junos Pulse

Hasznos linkek, elérhetőségek Információ, tanfolyamok: www.wsh.hu Oktatás: wsh@wsh.hu Értékesítés: sales@wsh.hu Biztonság: security@wsh.hu Közbeszerzés: kozbeszerzes@wsh.hu