4. Gestão de Segurança da Informação
GERENCIAMENTO UNIFICADO E CENTRALIZADO
Vantagem Competitivas
5. Gestão de Segurança da Informação
GERENCIAMENTO UNIFICADO E CENTRALIZADO / GERENCIA SIMPLIFICADA
Internet Rede
Firewall UTM Corporativa
Balanceadores
Firewall
AntiSPAM
Rede
Internet VPN SSL QoS/VoIP VPN IPSEC
Corporativa
Filtro de
Conteúdo
IPS/IDS Antivirus
6. Gestão de Segurança da Informação
CONCEPÇÃO E POSICIONAMENTO DE PRODUTO
FACILIDADE DE USO
Segurança Performance Custo Flexibilidade
Multiplos Níveis Escalonável Locação e aquisição Solução Modular
Atualizações mensais
ESTABILIDADE
7. Gestão de Segurança da Informação
FIREWALL UTM – GERENCIAMENTO UNIFICADO DE AMEAÇAS
Firewall com controle de estado VPN
Proteção de Perímetro Rede Privada com Criptografia Forte
Filtro de Aplicações Filtro de Aplicações
Inspeção profunda de pacotes Filtragem de Conteúdo indevido
Antivírus AntiSPAM
Camada adicional contra ameaças Filtragem de e-mails indesejados
IDS/IPS QoS – Qualidade de Serviço
Detecção/Prevenção contra Intrusos Prioridade para o tráfego corporativo
Mensagens Instantâneas VoIP
Controle e cotas para MSN Tratamento VoIP Transparente
8. Gestão de Segurança da Informação
PLATAFORMA FIREWALL UTM
VPN ISPEC Módulos em assinaturas
PROXY QOS
VPN SSL
Filtro
de
Aplicação IDS Filtro Anti Anti
Controle Instant IPS WEB Spam Virus
NAT
de estado Messenger
LOGS E RELATÓRIOS
FIREWALL UTM
Máquinas Virtuais Appliances
Valor agregado, em uma plataforma de segurança integrada
9. Gestão de Segurança da Informação
FIREWALL - FILTRO COM CONTROLE DE ESTADOS
1. Filtro de Pacotes
Modelo OSI
2. Filtro com controle de estado (Stateful®)
• Alta Performance
Aplicação • Controle de Acesso Adequado
Apresentação • Primeiro filtro para as 7 camadas
• Proteção de aplicação insuficiente
Sessão
• Pacote inspecionado de forma incompleta
Transporte • Ataque DoS - ACK
• Ataque DoS - IP fragmentado
Rede
• SYN, Land, TearDrop
Enlace • Roubo de Sessão (manipulação do Nº de
Física seqüência TCP)
• Port Scans
• IP address sweep scans
10. Gestão de Segurança da Informação
FIREWALL - FILTRO APLICAÇÃO
1. Trabalha nas camadas superiores do
Modelo OSI modelo OSI
• SMTP Buffer Overflow
Aplicação • Rogue RPC
• Requisição mal formadas de DNS
Apresentação
• Injeção na porta FTP
Sessão
• Diretório Transverso
Transporte • Nimda, MS-Doom, Slammer Worms
Rede
• Content-borne malware
Enlace
Filtro de Aplicação é melhor e mais eficiente,
Física mas consome mais recursos de
processamento
12. Gestão de Segurança da Informação
FIREWALL - PROXY MSN
Proxy de aplicação para Mensagens Instantâneas (MSN)
Características:
• Quota de uso por tempo ou tráfego
• Log das conversas
• Controle de uso por horário
• Tipo de arquivos permitidos (.exe; .doc, etc.)
• Tipo de serviços permitidos (uso de microfone, WebCam, Jogos...)
• Controle de quem conversa com quem
Único do mercado que permite controlar qual usuário conversa com que
outro usuário.
13. Gestão de Segurança da Informação
PROXY MSN – ESQUEMA DE FUNCIONAMENTO
A@EMPRESA.com.br
X@HOTMAIL.com
Internet
B@EMPRESA.com.br A@empresa.com.br
B@empresa.com.br
C@empresa.com.br
X@hotmail.com Z@HOTMAIL.com
Z@hotmail.com
C@EMPRESA.com.br
14. Gestão de Segurança da Informação
VOZ SOBRE IP (VOIP)
• Suporte total aos protocolos H.323 e SIP
• Permite a comunicação de voz sobre IP de forma segura
• Possibilita a utilização de gateways de PABX dentro da DMZ
• Funcionamento transparente através de NAT
15. Gestão de Segurança da Informação
CONTROLE DE BANDA (QOS)
• Otimiza o uso do link;
• Reserva banda do link para
serviços críticos;
• Limita a banda de serviços,
máquinas, redes ou usuários;
• Prioriza o tráfego de acordo
com a política implantada;
• Controle de banda separada
por permissões (Proibido,
Alto, Médio e Baixo).
16. Gestão de Segurança da Informação
TÉCNICAS DE QUALIDADE DE SERVIÇO
Buffering
Proteção de Perímetro
Modelagem de Tráfego
Traffic Shaping
Policiamento de Tráfego
Traffic Policing
Reserva de Recurso
Resource Reservation
Controle de Admissão
Admission Control
Escalonamento
Packet Scheduling
17. Gestão de Segurança da Informação
CONTROLE DE ACESSO
1. As credenciais são dos usuários, não de computadores
2. Suporte a diversos tipos de autenticação:
• Windows AD
• Unix
• LDAP (SSL/TLS)
• X.509 (Tokens / Smart Cards)
• Base de usuários no Firewall
• RadiusJava
18. Gestão de Segurança da Informação
PERFIS DE ACESSO HIERÁRQUICO
Empresa ABC
Diretoria de Canais
Gerência de Marketing
Gerência Comercial
Diretoria de Tecnologia
Gerência de Infra-estrutura
Gerência de Desenvolvimento
19. Gestão de Segurança da Informação
SISTEMAS DE DETECÇÃO E PREVENÇÃO DE INTRUSÃO
• São Sistemas especializados;
• Trabalham em camadas 7 (Aplicações);
• Possuem capacidade de bloquear o ataque antes da chegada ao destino;
• Grande parte trabalha com respostas em tempo real;
• Esquemas de detecção por assinatura e ou anomalia.
20. Gestão de Segurança da Informação
FIREWALL COM IDS/IPS INTEGRADO
• Bloqueio da invasão antes da chegada do ataque no destino;
• Proteção da rede através da criação bloqueios temporários;
• Ataques classificados de acordo com o nível de criticidade;
• Função de IDS/IPS aplicado a segmentos de rede pré-definidos;
• Detecção automática de varredura de portas (portscan);
• Regras de IDS atualizadas automaticamente, a base de assinaturas de
ataques é atualizada;
• Assinaturas de IDS/IPS é um serviço!!! Precisa de renovação.
Sistema de Prevenção de Intrusão é mais eficiente!!! Previne e não remedia.
21. Gestão de Segurança da Informação
FIREWALL UTM COM FILTRO DE CONTEÚDO
Filtro de Conteúdo é uma solução de tecnologia da informação que, ao
executar varreduras no tráfego, busca expressões regulares, arquivos pré-
definidos ou um conteúdo específico.
O resultado é comparado com as regras estipuladas na política corporativa,
autorizando ou bloqueando o acesso ao conteúdo solicitado.
Servidor
pl ayboy.com
Provider
Router
Router Router Border
Servidor
Firewall Router
bb.com.br
Provider
Router
22. Gestão de Segurança da Informação
FIREWALL UTM COM FILTRO DE CONTEÚDO WEB
Características:
• Filtro por palavras-chaves da URL (ex: *sex*);
• Filtro por extensão de arquivo (*.exe, *.cmd, etc.);
• Redirecionamento para uma página de erro personalizada em caso de
acesso não autorizado;
• Bloqueio por categoria (ex: Sexo Explícito, Jogos de Azar, etc.);
• Permite o bloqueio de malware ao se integrar com Antivirus Module;
Sistemas de Classificação de Conteúdo: Web Content Analyzer;
• Atualização de assinaturas de forma automática e incremental.
23. Gestão de Segurança da Informação
FIREWALL COM FILTRO DE CONTEÚDO E-MAIL
• Filtro de conteúdo para o tráfego de e-mail SMTP;
• Possibilidade de se bloquear a mensagem ou redirecioná-la para
• outra caixa postal de acordo com as palavras-chave;
• Controle de anexos, por extensão de arquivo (*.exe, *.pif) ou por cabeçalho
MIME;
• Verificação do DNS reverso dos domínios;
• Análise Bayesiana de e-mails (utilizando Spam Meter integrado), evita o
recebimento de SPAMs;
• Análise de vírus (utilizando AntiVírus Module integrado), evita o
recebimento de malware e outros códigos maliciosos;
24. Gestão de Segurança da Informação
FIREWALL UTM - VIRTUAL PRIVATE NETWORK (VPN)
Virtual Private Network ou Rede Privada Virtual é uma rede com acesso
restrito construída usando a infra-estrutura de uma rede pública (recurso
público, sem controle sobre o acesso aos dados), normalmente a Internet.
A principal motivação para implementação de VPNs entre sites é financeira:
links dedicados são caros, principalmente quando as distâncias são grandes.
Pacotes
Túnel
Rede IP
Concentrador Concentrador
VPN VPN
25. Gestão de Segurança da Informação
FIREWALL UTM - VPN - SITE-TO-SITE
• Compatível com qualquer sistema IPSEC, garantindo a interoperabilidade;
• Autenticação com certificados x.509;
• Capacidade de interligação entre diversas redes remotas;
• Fácil administração para configuração de múltiplas VPNs;
Site Brasília Site São Paulo
VPN VPN
Internet
26. Gestão de Segurança da Informação
FIREWALL UTM – VPN – CLIENT-TO-SITE
• Permite o trabalho como se estivessem na rede local da corporação;
• Acesso a recursos internos à rede (sistemas internos, compartilhamentos,
impressoras, etc.);
• Proporciona mobilidade para os usuários que precisam acessar a rede da
corporação remotamente;
• Garante autenticidade do usuário e confidencialidade das transações digitais
efetuadas.
Site Brasília Residência
VPN VPN
Internet
27. Gestão de Segurança da Informação
FIREWALL UTM – BALANCEAMENTO DE LINKS
• Balanceamento entre links de provedores distintos;
• Permite atribuição de pesos para cada link;
• Monitoramento dos links (tolerância a falhas e alta disponibilidade);
MPLS
Link Dedicado
Rádio
ADSL
28. Gestão de Segurança da Informação
FIREWALL UTM – BALANCEAMENTO DE CARGA / SERVIDOR
• Permite a distribuição de carga entre Servidores;
• Garante Tolerância a falhas para os servidores, com monitoramento em
tempo real;
• Atribuição de Pesos para cada servidor;
• Persistência de sessão, fazendo com que o usuário sempre acesso o mesmo
servidor;
Servidores web
Banco de dados
Internet
29. Gestão de Segurança da Informação
FIREWALL UTM – ALTA DISPONIBILIDADE (CLUSTERING)
HA (High Availability) (ativo-ativo): um equipamento principal, tratando o
tráfego e outro em espera recebendo a tabela de estado das conexões ativas.
Em caso de parada do equipamento principal, o equipamento em espera
assume o tráfego de forma transparente, mantendo as conexões ativas;
Internet
30. Gestão de Segurança da Informação
FIREWALL UTM – ALTA DISPONIBILIDADE (CLUSTERING)
Cooperativo (Load Balancing): Cluster farm com até 64 firewalls funcionando em
paralelo. Em caso de queda de um deles, os outros redistribuem o tráfego de
rede;
Internet
31. Gestão de Segurança da Informação
FIREWALL UTM – SOLUÇÃO COMPLETA DE SEGURANÇA
GERENCIA
CENT RALI Z ADA
Firewall VPN IDS/IPS Anti An ti Filtro Gestão
Malware SPAM Conteúdo Ativos
Con exões
des conhecidas
Transmiss ões
não
cif radas
Ataques
em
apli cação
Malwares,Spywares
SPAM
Conteúdo
não
desejado
Gestão
de
dis ponibilidade
Solução 100% nacional
33. Gestão de Segurança da Informação
SECURE MAIL GATEWAY – PROTEÇÃO CONTRA SPAM
• Sender-ID/Sender Policy Framework (SPF);
• Confirmação de Remetentes;
• Gray listing IP + Usuários
• Atua como intermediário na negociação de e-mails;
• Realiza filtragens diversas no processo de intermediação;
• Análise Bayesiana*
Internet
34. Gestão de Segurança da Informação
• Perfis de recebimento e envio de e-mail por grupo ou usuário;
• RBLs (Real-time Blackhole Lists): listas negras de servidores abertos para
relay;
• Quarentena por usuário, para poder visualizar todos os arquivos que estão
pendentes por algum motivo;
• Filtros por tipo MIME, por tamanho ou por extensão;
• Filtros por palavras-chave.
• White e Black-lists Globais, por perfil e por usuário
35. Gestão de Segurança da Informação
• Controle contra ataques de Spam:
o Limitação do número de mensagens em uma conexão SMTP.
o Limitação do número máximo de conexões para um mesmo domínio em
mensagens de saída.
• Filtros diversos:
o Tipo MIME. Ex: não aceita e-mails com anexo do tipo application.
o Por tamanho. Ex: não aceita e-mails maiores que 2 Mbytes.
o Por extensão. Ex: não aceita e-mails com anexo com a extensão *.exe.
o Por tipo real. Ex: não aceita e-mails com arquivos executáveis no anexo
(independentes da direção).
o Permite personalização da ordem dos filtros.*
36. Gestão de Segurança da Informação
• Possibilidade de se copiar ou rejeitar e-mails quando ocorrerem certos
padrões dentro da mensagem:
ü Exemplo: toda vez que chegar um e-mail com o texto “ataque terrorista”
dentro do corpo , este e-mail deve ser copiado para o administrador;
ü Exemplo: toda vez que chegar um e-mail do domínio “spamhacker.com”,
este e-mail deve ser rejeitado;
• Filtros por palavras chaves e expressões regulares:
ü Exemplo: não aceita e-mails com a título “*V?agra barato*”.
• Sender ID/SPF
ü Sender Policy Framework ou SPF é um sistema que evita que outros
domínios enviem e-mails não autorizados em nome de um terceiro domínio;
ü Sender ID (definido na RFC 4406) é um protocolo da Microsoft derivado do
SPF (de sintaxe idêntica), que valida o campo do endereço da mensagem no
header, de acordo com RFC 2822. A validação segue um algoritmo chamado
PRA (Purported Responsible Address, RFC 4407).
37. Gestão de Segurança da Informação
SENDER ID-SPF
De: user1@empresa1.com.br
Para: user2@empresa2.com.br
DNS
Empresa1.com.br Empresa2.com.br
Servidor A
38. Gestão de Segurança da Informação
SECURE MAIL GATEWAY – CONFIRMAÇÃO DE REMETENTE
Na 1a vez que se envia e-mail para a empresa, o remetente recebe uma
mensagem de resposta com um pedido de autenticação;
A partir desta autenticação, aquela conta de e-mail estara autorizada a enviar
mensagens para a empresa;
• Vantagens:
• Altíssima eficiência;
• Os grandes spammers em geral utilizam robôs e endereços inválidos;
• Problemas:
• Necessidade de armazenamento de mensagens em quarentena;
• Burocratiza um simples procedimento de enviar e-mail.
39. Gestão de Segurança da Informação
SECURE MAIL GATEWAY – SPAM METER, ANÁLISE BAYESIANA
• O SPAM Meter é um sistema de que efetua análise bayesiana. É capaz de
identificar através de cálculos estatísticos a probabilidade de uma
mensagem ser ou não SPAM;
• Utilização de bases treinadas;
• Atualização automática da base de SPAM Meter;
• Bases especializada na língua portuguesa;
• Contribuição de clientes para alimentação da base a partir do SPAM Meter;
• Possibilita também a utilização de bases treinadas por usuários. O usuário
identifica o que representa SPAM para ele.
40. Gestão de Segurança da Informação
SECURE MAIL GATEWAY – CAMADA ADICIONAL DE ANTIVIRUS
• Filtragem automática e transparente de vírus usando a tecnologia Antivirus
Module;
• Todos os dados são enviados para um agente de antivírus que verifica a
mensagem contra malwares;
• Quando um e-mail é detectado com vírus, o sistema pode enviar uma
mensagem para o remetente avisando da ocorrência;
• Permite Quarentena.
Internet
41. Gestão de Segurança da Informação
SECURE MAIL GATEWAY – ALTA DISPONIBILIDADE (CLUSTERING)
Internet
42. Gestão de Segurança da Informação
SECURE MAIL GATEWAY – PERSONALIZAÇÃO DA ORDEM DOS FILTROS
43. Gestão de Segurança da Informação
SECURE MAIL GATEWAY – ALTA DISPONIBILIDADE (CLUSTERING)
FILTRO IPS FILTROS DE CONTEÚDO
MÓDULOS EM ASSINATURAS
Confirm. de Gray Tipo
DNS
remetente Listing Extensão
Filtro Filtro
Antivirus
Bayesiano Web
White & Black Sender Palavra
RBL White&Black Filtro de
List ID/SPF Chave
list Terceiros
LOGS, RELATÓRIOS E CÓPIAS DE E-MAILS
SECURE MAIL GATEWAY
Máquinas Virtuais Software Appliances
Valor agregado, em uma plataforma de segurança integrada
45. Gestão de Segurança da Informação
WEB GATEWAY – PROXY CACHE E CLASSIFICAÇÃO DE CONTEÚDO
Permite:
• Atualização de Assinaturas automática;
• QoS por categoria de navegação;
• Cotas de utilização Web por tempo ou tráfego;
• Proxy/Cache HTTP;
• Relatórios automáticos;
• Camada adicional de antivírus;
• Proxy Reverso;
• Proxy MSN (com registro de conversação).
46. Gestão de Segurança da Informação
WEB GATEWAY – FUNCIONALIDADES
• Gateway HTTP/HTTPS* ativo ou transparente (bridge);
• Análise e bloqueio por horário, onde se define que horas um usuário pode
acessar uma categoria. Ex: (14:01 às 15:00, categoria Notícia liberada,
15:01 às 16:00 categoria Notícia bloqueada, etc.);
• Cotas por usuário ou grupos de usuário;
• Cotas por categoria de site Web;
• Cotas de uso (por tempo ou tráfego);
• Controle de uso por dia, semana ou mês.
47. Gestão de Segurança da Informação
WEB GATEWAY – PROXY ATIVO (MODO NÃO-TRANSPARENTE)
48. Gestão de Segurança da Informação
WEB GATEWAY – PROXY ATIVO (MODO TRANSPARENTE)
Internet
49. Gestão de Segurança da Informação
WEB GATEWAY – CARACTERÍSTICA
• Filtro por palavras-chaves da URL (ex: *sex*);
• Filtro por extensão de arquivo (*.exe, *.cmd, etc.);
• Redirecionamento para uma página de erro
personalizada em caso de acesso não autorizado;
• Bloqueio por categoria (ex: Sexo Explícito, Jogos de Azar, etc.);
• Permite o bloqueio de malware ao se integrar com Aker Antivirus Module;
• Atualização de assinaturas de forma automática e incremental.
50. Gestão de Segurança da Informação
WEB GATEWAY – CATEGORIZAÇÃO
• 72 categorias e grupos pré-definidos pela Aker com possibilidade para
criação de novas categorias (até 128 categorias);
• Possibilidade de recategorização de sites;
• Atualização base de categorias automaticamente, com agendamento de
horário;
• Com opção de enviar automaticamente os novos sites que ainda não
possuem categoria definida.
51. Gestão de Segurança da Informação
WEB GATEWAY – COTAS E REGRAS POR HORÁRIO
www
Usuário 1
Internet
www
Web Gateway
Usuário 2
52. Gestão de Segurança da Informação
WEB GATEWAY – CONTROLE DE BANDA
• Limita ou reserva a banda por categoria, palavra-chave, horário ou usuário;
• Prioriza de maneira justa o tráfego, de acordo com o tipo de categoria que é
acessada;
• Permite que em determinados horários, certas categorias tenham mais ou
menos prioridade.
Internet
53. Gestão de Segurança da Informação
WEB GATEWAY – PROXY PARA MENSAGENS INSTANTÂNEAS (MSN)
Características:
• Quota de uso por tempo ou tráfego
• Log de conversas
• Controle de uso por horário
• Tipo de arquivos permitidos (.exe; .doc, etc.)
• Tipo de serviços permitidos (uso de microfone, WebCam, Jogos...)
• Controle de quem conversa com quem
Único do mercado que permite controlar qual usuário da empresa é
permitido e com quem pode conversar.
54. Gestão de Segurança da Informação
WEB GATEWAY – CACHE HIERÁRQUICO
• Cache Web para aumentar a velocidade de acesso da Internet e diminuir a
utilização do link de dados;
• Suporte ao protocolo ICP sendo compatível com os principais caches do
,
mercado;
• Suporte hierarquica de cache nos modos:
o Parent: todas as requisições são passadas para o cache central
o Sibling: todos os caches são consultados antes de se acessar na Internet
55. Gestão de Segurança da Informação
WEB GATEWAY – CONTROLE DE TRÁFEGO CRIPTOGRAFADO
• Permite a aplicação de todas as funcionalidades para
o tráfego HTTPS em modo ativo:
o Quota por tempo;
o Quota por tráfego;
o Priorização de tráfego por categoria; Filtro AV;
o Controle de uso por horário;
• Varredura HTTPS em modo Bridge*
o Utiliza o conceito de man-in-the-middle para permitir abertura
transparente do tráfego cifrado;
o Permite a aplicação de todas as políticas de navegação aplicados para o
modo de funcionamento ativo.
56. Gestão de Segurança da Informação
WEB GATEWAY – CONTROLE DE ACESSO
• Suporte a diversos tipos de autenticação:
• AD / Windows NT;
• Unix;
• LDAP (SSL/TLS);
• X.509 (Tokens/Smart Cards);
• Usuários e senhas no firewall.
• Perfil de acesso hierárquico;
• Possibilidade de autenticação via browser;
• Perfil de acesso flexível (controle de acesso por máquina ou usuário).
57. Gestão de Segurança da Informação
WEB GATEWAY – AUDITORIA
• Geração de relatórios estatísticos com diversas informações importantes
para se obter o melhor conhecimento do ambiente corporativo;
• Relatórios gerados em HTML e de fácil visualização;
• Possibilidade de agendamentos para a geração dos relatórios de forma
automatizada;
Possibilita o acesso rápido a informação com a publicação
dos relatórios em servidor Web.
58. Gestão de Segurança da Informação
WEB GATEWAY – CAMADA DE ANTIVÍRUS
• Permite integração com Antivirus Module;
• Redireciona os downloads para o sistema de antivírus.
Internet
59. Gestão de Segurança da Informação
WEB GATEWAY – INTEGRAÇÃO COM ANTIVÍRUS
Mostra uma barra de scroll com o progresso da verificação de vírus (evita o
problema de timeout);
60. Gestão de Segurança da Informação
WEB GATEWAY – PLATAFORMA WEB
MÓDULOS EM ASSINATURAS
Log de Filtros por
Cluster Proxy
conversas Perfil
Categorias Antivirus
Verificação Quota por Proxy Quota
SSL Tráfego MSN Por Tempo
LOGS E RELATÓRIOS
WEB GATEWAY
Máquinas Virtuais Software Appliances
Valor agregado, em uma plataforma de segurança integrada