zlom Juniper I
Transkript
zlom Juniper I
Nabídka řešení bezpečnosti Juniper Networks – integrované řešení Firewall/VPN Silné zabezpečení kontroly přístupu, ověřování uživatele a ochrana před útokem na úrovni sítě i aplikace Protože ohrožení sítě roste, je stále častější a destruktivnější, k udržení životaschopnosti podniku je kriticky důležité odpovídající zabezpečení infrastruktury. Útoky přicházejí z několika zdrojů a v různých podobách. Podniky a poskytovatelé služeb potřebují více než jen pouhé bezpečnostní zařízení; potřebují komplexní, spolehlivé časem ověřené řešení opírající se o špičkové technologie ve svém oboru. Integrované bezpečnostní systémy Juniper Networks jsou účelově navržena tak, aby zajišťovala důležité funkce zabezpečení. Zařízení jsou optimalizována k maximálnímu výkonu a řízena v reálném čase operačním systémem ScreenOS specificky zaměřeným na bezpečnostní úlohy. Tento operační systém byl navržen od základů tak, aby vykonával funkce výhradně bezp. bez přídavných úloh, které mohou způsobovat zranitelnost u jiných bezpečnostních produktů, jež jsou založeny na operačních systémech určených ke všeobecným účelům. S širokou nabídkou specializovaných vysoce výkonných platforem, které poskytují integrovanou bezpečnost a LAN/WAN směrování prostřednictvím LAN/WAN rozhraní s vysokou hustotou, se integrovaná bezpečnostní zařízení Juniper Networks zaměřují na potřeby malých i středních podniků, ale také velké korporace a poskytovatele služeb.Tato integrovaná zařízení nabízejí ochranu na úrovni síťové i aplikační. Umožňují vytváření privátních virtuálních sítí VPN a jsou implementovány funkce odmítnutí služeb (DoS). Charakteristiky produktu: • Kompletní sada bezpečnostních funkcí UTM (Universal Threat Management) zahrnující stavový firewall, prevenci proti průnikům, antivirus (vč. anti-spyware, anti-adware, anti-phishing), antispam a filtrování webů zabraňuje průnikům spyware, trojských koní, malwaru a dalších nově se objevujících typů útoků. Povšimněte si, že ne všechny komponenty UTM jsou k dispozici na všech platformách. • Centralizovaná správa založená na zásadách minimalizuje možnost, že dojde k přehlédnutí děr v zabezpečení a zjednodušuje rozšiřování sítě a aktualizaci na síťové vrstvě. • Technologie virtualizace usnadňují správcům rozdělit síť do bezpečných segmentů a poskytuje tak další vyšší stupeň ochrany. • Vestavěné funkce vysoké dostupnosti umožňují párovat zařízení, která budou využívána společně, čímž se eliminují jednotlivé body možného selhání. • Funkce pro rychlou implementaci pomáhají minimalizovat opakované úlohy správy spojené se správou rozsáhlých sítí. 2 Security Solution Portfolio Juniper Networks Firewall/VPN Solutions Obrana perimetru zaãíná ochranou na úrovni sítû Pro ochranu proti útokÛm na síÈové úrovni pouÏívají zafiízení Juniper Networks metodu dynamického filtrování paketÛ známou jako dÛkladnou kontrolu, jeÏ je schopna odhalit neÏádoucí provoz v síti. Díky této metodû mohou firewally shromaÏìovat informace, která jsou obsaÏena v záhlaví paketÛ vãetnû zdrojov˘ch a cílov˘ch IP adres, zdrojov˘ch a cílov˘ch ãísel portÛ a pofiadov˘ch ãísel paketÛ. Pokud dorazí paketová odpovûì, firewall porovná obrazce obsaÏené v jeho záhlaví se stavem související relace. JestliÏe se údaje neshodují, paket je zahozen. Stavová inspekce poskytuje vy‰‰í úroveÀ bezpeãnosti neÏ jiné technologie firewallÛ (napfiíklad filtrování paketÛ), protoÏe otevírá men‰í „díry“, kter˘mi mohou data procházet. Ve v˘chozím stavu odmítá Juniper Networks firewall ve‰ker˘ provoz ve v‰ech smûrech. Díky centralizované správû zaloÏené na zásadách pak mohou podniky vytvofiit vlastní zásady zabezpeãení, které definují parametry síÈového provozu, kter˘ smí procházet ze specifikovan˘ch zdrojÛ do specifikovan˘ch cílÛ. Ochrana Day-Zero proti útokÛm na úrovni aplikací Za úãelem blokování ‰kodliv˘ch útokÛ na úrovni aplikací mají v sobû ve‰keré produkty Juniper Networks integrovánu technologii prevence proti prÛnikÛm. U centrálních pracovi‰È podnikÛ a v prostfiedí datov˘ch center s velk˘mi objemy pfiená‰en˘ch dat lze vyuÏívat integrovan˘ch fie‰ení fiady Juniper Networks Integrated Security Gateway (ISG) s IDP k zaji‰tûní zabezpeãení na úrovni aplikací. ¤ada ISG s IDP je tûsnû integrována a to stejn˘m ScreenOS softwarem, jak˘ nacházíme v základních Juniper Networks IDP a poskytuje tak nepfiekonatelnou ochranu na úrovni aplikací proti ãervÛm, trojsk˘m koním, spyware a malware. ¤ada ISG podporuje více neÏ 60 protokolÛ vãetnû protokolÛ pouÏívan˘ch pokroãil˘mi aplikacemi jako VoIP a multimédia. Bezkonkurenãní v˘kon pfii zaji‰Èování zabezpeãení a funkce segmentace sítû umoÏÀují produktÛm fiady ISG chránit kriticky dÛleÏité vysokorychlostní sítû proti prÛniku a ‰ífiení existujících a vznikajících hrozeb na úrovni aplikací. Díky osmi mechanismÛm detekce útokÛ vãetnû v˘konn˘ch podpisÛ a nástrojÛ detekce anomálií protokolu provádí produkty fiady ISG s technologií IDP hloubkovou anal˘zu aplikaãních protokolÛ, kontextu a stavu a zaji‰Èují ochranu sítû Zero Day a ochranu pfied útoky na úrovni aplikací. Na v‰ech dal‰ích modelech mohou správci bezpeãnosti implementovat IPS pouÏitím firewallu Deep Inspection, a tak blokovat útoky na úrovni aplikací. Firewall Deep Inspection vkládá dva z osmi mechanismÛ pro detekci útokÛ do samostatné platformy IDP a integruje je s firewallem stavové inspekce. V˘sledkem je to, Ïe firewall Deep Inspection mÛÏe aplikovat hlub‰í úroveÀ anal˘zy aplikaãního síÈového provozu a pfiijímá rozhodnutí o fiízení pfiístupu na základû v˘znamu tohoto provozu. JestliÏe obsah paketu neodpovídá aplikaci, kterou vyhledává, paket lze zahodit. Firewall Deep Inspection je implementován na perimetru sítû jako jsou napfi. poboãky podniku, a mÛÏe tak zablokovat útoky na úrovni aplikací dfiíve, neÏ infikují síÈ a zpÛsobí jakékoliv ‰kody. 3 Security Solution Portfolio Juniper Networks Firewall/VPN Solutions Integrovan˘ antivirov˘ program chrání vzdálená místa Pro vzdálené kanceláfie nebo men‰í stfiediska bez nepfietrÏité pfiítomnosti pracovníkÛ IT je v kterémkoliv fie‰ení zabezpeãení absolutní nutností integrace a jednoduchost. Juniper Networks v souãasnosti poskytuje integrovanou antivirovou ochranu zaloÏenou na souborech v produktech SSG (Secure Services Gateway), v fiadû NetScreen-5GT. Tyto produkty pfiedstavují kombinaci moÏností firewallu a VPN schopností s antivirov˘m nástrojem, která pfiiná‰í komplexní fie‰ení zabezpeãení v jediném zafiízení. Tato integrovaná zafiízení vyhledávají viry, které se ‰ífií elektronickou po‰tou i webov˘m provozem, protoÏe kontrolují protokoly IMAP, SMTP, FTP, POP3 a http. Poskytují nejpokrokovûj‰í ochranu pfied viry, které se dnes ‰ífií sítí – napfiíklad pfied viry MSblast, Sobig a Code Red. Díky schopnosti dekomprimovat soubory pomocí bûÏn˘ch protokolÛ prohledává tento nástroj hloubkovû pfiílohy ve snaze detekovat viry skryté v nûkolika úrovních komprese. ¤ízení pfiístupu ke znám˘m webov˘m stránkám obsahujícím malware a phishing Zamûstnanci, ktefií mají ze sítû spoleãnosti pfiístup k nevhodn˘m webov˘m stránkám, riskují, Ïe do organizace pronikne ‰kodliv˘ software. A co hÛfi, jejich chyby v úsudku mohou vystavit spoleãnost hrozbû soudních sporÛ z dÛvodu nedostateãné ochrany. Integrovaná bezpeãnostní zafiízení Juniper Networks jsou ideálním fie‰ením, které pomáhá organizacím navrhnout a prosadit zásady odpovûdného vyuÏívání webu. MoÏné jsou dva pfiístupy: externí a integrované filtrování webu. Externí filtrování webu je dostupné ve v‰ech firewallech/VPN zafiízeních Juniper Networks, provádí pfiesmûrování síÈového provozu ze zafiízení k vyhrazené kontrole SurfContrl nebo serveru filtrování webu Websense a pomáhá tak prosazovat zásady spoleãnosti. Integrované filtrování webu dostupné v produktech NetScreen-HSC, -5GT Series, 25 a -50 a produkty rodiny SSG umoÏÀují podnikÛm vytvofiit vlastní zásady pfiístupu k webu díky selektivnímu blokování pfiístupu k místÛm uveden˘m v prÛbûÏnû aktualizované databázi. Tuto databázi udrÏuje spoleãnost SurfControl, spolupracující partner spoleãnosti Juniper Networks na poli zabezpeãení. V souãasnosti databáze obsahuje více neÏ 13 milionÛ adres URL organizovan˘ch do více neÏ 54 kategorií potenciálnû problematického obsahu. Zákazníci mohou rychle zavádût integrované nebo externí filtrování webu pomocí v˘chozí konfigurace zaloÏené na databázi SurfControl. Profily filtrování webu lze upravovat pomocí seznamÛ vyluãujících pouÏití stránek (black lists), seznamÛ povolujících vyuÏití stránek (white lists) a celé fiady pfieddefinovan˘ch a uÏivatelem definovan˘ch kategorií. Blokování pfiíchozích spamÛ a útokÛ typu phishing Spoleãnost Juniper Networks úzce spolupracuje se spoleãností Symantec Corporation a vyuÏívá její antispamové fie‰ení, které má vynikající trÏní pozici a podporu, pro men‰í a stfiednû velké kanceláfiské platformy Juniper za úãelem zbrÏdûní záplavy nevyÏádan˘ch e-mailÛ a potenciálních útokÛ, které mohou tyto e-maily obsahovat. Antispamov˘ engine, kter˘ je nainstalovan na Juniper Network FW/VPN gateway, filtruje pfiíchozí e-maily odstranûním znám˘ch spamov˘ch a phishing uÏivatelÛ, a tak funguje jako první linie obrany. KdyÏ do sítû pfiijde znám˘ ‰kodliv˘ e-mail, je zablokován a/nebo oznaãen, tak aby po‰tovní server mohl podniknout pfiíslu‰né kroky. Integrovan˘ antispam je k dispozici na produktech NetScreen-HSC, NetScreen-5GT Serie, NetScreen 25/50 a na celé fiadû SSG. Komplexní řešení s vysokou dostupností zaručují velkou provozuschopnost Bezpečnostní systém je dobrý jen v případě, že je spolehlivý a provozuschopný. Řešení zabezpečení Juniper Networks zahrnuje spolehlivé a vysoce dostupné systémy založené na protokolu NSRP (NetScreen Redundancy Protocol). Firewally a VPN tunely lze vzájemně synchronizovat a v případě výpadku či selhání jednoho zařízení nedojde ke kolapsu celé sítě. Mezi možnosti konfigurace patří: • Aktivní/pasivní: Hlavní (master) zařízení sdílí informace o síti, její nastavení, vlastní konfigurace a informace o aktuální relaci se záložním zařízením, takže v případě selhání může záložní zařízení hladce převzít funkci. • Aktivní/aktivní: Obě zařízení jsou aktivní, sdílejí přibližně stejný podíl zátěže. Pokud jedno zařízení selže, druhá jednotka převezme řízení provozu i zabezpečení. • Aktivní/aktivní/celá síť: Obě zařízení jsou konfigurována tak, aby byla aktivní, a data v síti proudí oběma. Pokud by některé zařízení selhalo, druhé zařízení se stane hlavním (master) a pokračuje v řízení veškerého provozu. Redundantní fyzické cesty zaručují maximální pružnost a provozuschopnost. Snadná integrace zařízení Dnešní LAN/WAN sítě nejsou nikdy statické. Stále se objevují potenciálně nákladné a časově náročné změny a doplňky. Jestliže se změní topologie sítě nebo jsou do sítě přidány nové kanceláře, obchodní partneři nebo zákazníci, je otázka schopnosti síťových systémů spolupracovat mimořádně důležitá. Ke zjednodušení síťové integrace a minimalizaci administrativního úsilí v případě požadovaných změn mohou integrovaná řešení zabezpečení společnosti Juniper Networks pracovat ve třech různých režimech: • Transparentní režim nabízí nejsnadnější způsob zvýšení zabezpečení v síti. V transparentním režimu mohou organizace využívat firewally/zařízen VPN společnosti Juniper Networks bez jakýchkoliv změn v síti: firewall, VPN a funkce omezující DoS pracují bez IP adresy a zařízení je díky tomu neviditelné pro uživatele. • Režim směrování umožňuje bezpečnostnímu zařízení účastnit se aktivně ve směrování v síti za podpory statických a dynamických protokolů směrování včetně BGP, OSPF, RIPv1, RIPv2 a ECMP. Režim směrování umožňuje správcům rychle zavádět strukturované řešení zabezpečení s minimem ruční konfigurace. • Režim NAT automaticky překládá IP adresy nebo skupiny IP adres na jednu adresu a skrývá soukromé adresy organizací před pohledem z vnějšku. Integrovaná bezpečnostní zařízení Juniper Networks podporují přiřazení statických adres i dynamických adres prostřednictvím v DHCP nebo PPPoE a umožňují provoz řešení společnosti Juniper Networks v jakémkoliv síťovém prostředí. 6 NetScreen-Security Manager pfiiná‰í centralizované fiízení zaloÏené na zásadách Bezpeãnostní platforma Juniper Networks NetScreen-Security Manager vyuÏívá unikátní pfiístup ke správû zabezpeãení. Poskytuje IT oddûlením snadno pouÏitelné fie‰ení, které kontroluje v‰echny aspekty zafiízení firewall/VPN vãetnû konfigurace zafiízení, síÈov˘ch nastavení a zásad zabezpeãení. Na rozdíl od nûkter˘ch fie‰ení, která vyÏadují, aby správci vyuÏívali více nástrojÛ správy k fiízení jednoho systému NetScreen-Security Manager umoÏÀuje oddûlením IT fiídit zafiízení po celou dobu jeho Ïivotnosti prostfiednictvím jediného centralizovaného ovládacího panelu. Je urãen specificky k podpofie t˘mové práce mezi techniky, správci sítû a bezpeãnostním personálem. Intuitivnû ovládané uÏivatelské rozhraní správce zabezpeãení NetScreen-Security Manager zefektivÀuje konfiguraci zafiízení, vytváfiení bezpeãnostních zásad a nastavení VPN. Delegace rolí správy je snadná, takÏe kaÏd˘, kdo má odpovídající práva, má pfiístup k informacím a kontrolám, které potfiebuje, a souãasnû nástroje podrobného protokolování sledují provádûní jednotliv˘ch akcí. Tato vysoce efektivní správa vede k dramatickému sníÏení provozních nákladÛ. NetScreen-Security Manager podporuje efektivní bezpeãnostní správu organizace jako Ïádn˘ jin˘ produkt na trhu. K rychlému zavedení s nízk˘mi náklady zasílejte zafiízení – neposílejte správce Aby nevznikaly vysoké náklady na dopravu správcÛ, aby nakonfigurovali systémy na vzdálen˘ch pracovi‰tích, integrovaná bezpeãnostní zafiízení Juniper Networks lze instalovat na vzdálen˘ch místech, kde nejsou techniãtí uÏivatelé. S funkcemi NetScreen-Security Manager Rapid Deployment nepotfiebují správci sítû pfiedem konfigurovat zafiízení ani s nimi jakkoliv manipulovat. Na vzdáleném pracovi‰ti je tfieba nové zafiízení pouze pfiipojit kabely a naãíst mal˘ konfiguraãní soubor, kter˘ do místa instalace za‰le správce elektronickou po‰tou nebo na CD disku. Poãáteãní konfiguraãní soubor naváÏe zabezpeãené spojení se správcem NetScreen-Security Manager, kter˘ poté za‰le novému zafiízení kompletní konfiguraãní soubory. Servis a podpora, kdekoliv a kdykoliv je to tfieba Konzultanti a odborníci úseku profesionálních sluÏeb Juniper Networks Professional Services jsou uznáváni ve svém oboru jako zku‰ení síÈoví a bezpeãnostní specialisté. Jsou jednotnû kvalifikováni a schopni pomáhat v hodnocení zranitelnosti sítû a plánování nápravy. Stfiedisko zákaznické podpory Customer Support Center poskytuje odpovûdnou pomoc a softwarové aktualizace, bezpeãnostní aktualizace a nástroje online znalostí, které zaruãují maximální spolehlivost produktÛ Juniper Networks. Profesionální lektofii sluÏeb vzdûlávání Juniper Networks Educational Services pomáhají zákazníkÛm udrÏet krok s rychle se rozvíjejícími technologiemi tím, Ïe jim dávají k dispozici své odborné znalosti o provozu stabilních, bezpeãn˘ch sítí. Juniper Networks dodává bezpeãná a ovûfiená fie‰ení zabezpeãení Integrovan˘ firewall/zafiízení IPSec VPN spoleãnosti jsou úãelová fie‰ení zaruãující bezpeãné a zaji‰tûné provozování sítû díky ochranû proti útokÛm na úrovni sítû a na úrovni aplikací za souãasné maximalizace v˘konu. Tato zafiízení jsou navrÏena tak, aby uspokojila nároãného provozovatele sluÏeb i prostfiedí v podnicích. Tato integrovaná bezpeãnostní zafiízení poskytují oãekávan˘ v˘kon ve vysoce spolehliv˘ch, provozuschopn˘ch a bezpeãn˘ch sítích. Integrované firewally/VPN systémy spoleãnosti Juniper Networks nabízejí nejlep‰í základ zabezpeãení moderních sítí. Chcete-li si pofiídit integrované bezpeãnostní systémy Juniper Networks obraÈte se na zástupce nebo autorizovaného prodejce spoleãnosti Juniper Networks . 8 Security Solution Portfolio SÍDLO SPOLEČNOSTI A VEDENÍ SPOLEČNOSTI PRO SEVERNÍ A JIŽNÍ AMERIKU Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA Telefon: 888-JUNIPER (888-586-4737) nebo 408-745-2000 Fax: 408-745-2100 www.juniper.net Juniper Networks Firewall/VPN Solutions O společnosti Juniper Networks Společnost Juniper Networks vyvíjí speciální vysoce výkonné IP platformy, které zákazníkum umožňují podporovat široké spektrum služeb a aplikací velkého rozsahu. Na produkty Juniper Networks v současné době spoléhají poskytovatelé telekomunikačních služeb, velké korporace, státní úrady, výzkumné i vzdělávací instituce, kterým poskytují portfolio ověřených sítových a bezpečnostních řešení pro řešení vysoce složitých a rychle se měnících problémů ve světově nejnáročnějších sítích. Další informace najdete na stránkách www.juniper.net. POBOČKA NA VÝCHODNÍM POBŘEŽÍ Juniper Networks, Inc. 10 Technology Park Drive Westford, MA 01886-3146 USA Telefon: 978-589-5800 Fax: 978-589-0800 REGIONÁLNÍ ZASTOUPENÍ PRO ASIJSKOU A PACIFICKOU OBLAST Juniper Networks (Hong Kong) Ltd. Suite 2507-11, Asia Pacific Finance Tower Citibank Plaza, 3 Garden Road Central, Hong Kong Telefon: 852-2332-3636 Fax: 852-2574-7803 REGIONÁLNÍ ZASTOUPENÍ PRO EVROPU, STŘEDNÍ VÝCHOD, AFRIKU Juniper Networks (UK) Limited Juniper House Guildford Road Leatherhead Surrey, KT22 9JH, U. K. Telefon: 44(0)-1372-385500 Fax: 44(0)-1372-385501 Copyright 2006, Juniper Networks, Inc. Všechna práva vyhrazena Juniper Networks a logo Juniper Networks jsou zapsané ochranné značky společnosti Juniper Networks, Inc., v USA a v dalších státech. Ostatní ochranné značky, názvy služeb, zapsané ochranné značky nebo zapsané značky služeb uvedené v tomto dokumentu jsou vlastnictvím jejich vlastníků. Vyhrazujeme si právo na změnu technických údajů bez předchozího oznámení. Společnost Juniper Networks nenese žádnou odpovědnost za nepřesnosti uvedené v tomto dokumentu ani nemá povinnost informace uvedené v tomto dokumentu aktualizovat. Společnost Juniper Networks si vyhrazuje právo na změnu, úpravu nebo jinou revizi této publikace bez předchozího oznámení. 150025-002 březen 2006 PRAHA Nagano III, U nákladového nádraží 10 130 00 Praha 3 Tel.: +420 - 266 109 211 Fax: +420 - 283 840 236 www.soft-tronik.cz OSTRAVA Tvorkovských 5 709 00 Ostrava-Mariánské Hory Tel.: +420 - 596 622 191 Fax: +420 - 596 622 486 www.soft-tronik.cz BRATISLAVA Hattalova 8 831 03 Bratislava Tel.: +421 - 244 631 232 Fax: +421 - 244 631 233 www.soft-tronik.sk