Segurança na Rede Empresarial

Segurança na Rede

Empresarial

Manuel Piló

Business Development Manager

mpilo@cisco.com

Rede IP Segura

Rede IP Segura

E-Mail

E-Mail

Colaboração

Colaboração

Calendário

Calendário

Audio / Video

Conferências

Audio / Video

Conferências

Aplicações

Web

Aplicações

Web

Redes

sem fios

Redes

sem fios

Instant

Messaging

Instant

Messaging

Outsourcers

Consultores

Parceiros

As Redes de Comunicação Estão a Mudar

Visitantes

Outsourcers

Consultores

Parceiros

Visitantes

Tele

Trabalho

Tele

Trabalho

Telefonia IP

Telefonia IP

CONVERGÊNCIA

CONVERGÊNCIA

Tempo de Reação a Vulnerabilidades Diminui

Drásticamente

Impacto

global

Redes

Metropolitans

Multiplas

redes

Rede de uma

empresa

Computador

individual

1ª Geração

• Boot viruses

Semanas

2ª Geração

• Macro viruses

• E-mail

• DoS

• Limited

hacking

Dias

3ª Geração

• Network DoS

• Blended threat

(worm + virus

+ Trojan)

• Turbo worms

• Widespread

system

hacking

Minutos

Próxima

Geração

• Infrastructure

hacking

• Flash threats

• Massive,

worm driven

• DDoS

• Damaging

payload

viruses and

worms

Segundos

1980s

1990s

Hoje

Futuro

Quanto tempo passa desde o

reconhecimento de uma

vulnerabilidade até à sua

exploração?

O Conceito: Self-Defending Network

1.

Disponibilidade da rede

: rede activa mesmo sobre um ataque

2.

Segurança no acesso

: acessos seguros de qualquer ponto

3.

Controle de Admissão

: autenticar os utilizadores e respectivos equipamentos

de acordo com o seu perfil, correcção automática antes do acesso

4.

Aplicações

: controlar as aplicações que comunicam através da rede,

reconhecimento comportamental

5.

Protecção Dia Zero

: garantir que os utilizadores se encontram protegidos

mesmo em caso de ameaças desconhecidas

Duas Soluções

Cisco

Duas Soluções de Segurança

¾

Network Admission Control (NAC)

Mantém a disponibilidade da rede auditando os seus

terminais e forçando o cumprimento de politicas de

segurança corporativas quando esses terminais se

ligam à rede.

Limita a severidade de terminais infectados ao

reduzir o tempo de deteção e automatizando o seu

isolamento e tratamento

¾

Cisco Security Agent (CSA)

Protege o terminal com base no seu comportamento

sem a pressão de se ter de actualizar os terminais

com patches e assinaturas anti-virus.

NAC Audita Terminais Ligados à Rede

Como podemos actualizar os

seus sistemas de segurança?

Scans pré-configurados

Scans customizados

Auto-remediação ou não

Third-party software

Windows, Mac or Linux

Laptop or desktop or PDA

Printer or other corporate asset

Que sistema operativo é este?

Empresa

Empregado

Consultor

Visitante

Outsourcer

A quem pertence?

VPN

Rede local

Rede sem fios

Site remoto

De onde se liga?

Anti-virus, anti-spyware

Personal firewall

Patches do OS

Que SWs de Segurança corre?

Estão a correr?

Estão actualizados?

Sede/Operador

Sede/Operador

Sede/Operador

Utilizador

Utilizador

Utilizador

NAC: Como funciona?

1. Terminal tenta conexão

2.

Credenciais

Auditadas

Network

Access

Device

Security

Policy

Server

AV

Policy

Server

CTA

CSA

CTA

3. Accesso permitido

1. Terminal infectado tenta

conexão

2. Terminal direcionado

para rede de

quarentena

3. Remediação

automática ou

não

CTA

Old AV

Version

Quarentena

Politicas de Segurança Separadas NÃO São

Suficientes

Identidade

Visitante

Empregado

Segurança

de Terminal

Anti-spyware Personal

Firewall

Anti-virus

Segurança

De Rede

IDS/IPS

VPN

Perimeter

Firewalls

X

Segurança de terminal

sozinha não chega:

•99% tem AV, mas infecções persistem

•Tempo entre virus e reparação do virus

X

Identidade sozinha

não chega:

•Identifica utilizador mas

não terminal

•Terminal pode estar

contaminado

X

Segurança de rede sozinha

não chega:

•Firewalls não bloqueiam portas legitimas

•VPNs não bloqueiam utilizadores legitimo

•Assinaturas tem que ser conhecidas

Please enter username

:

Segurança

de Terminal

Segurança

de Rede

Usar a rede para FORÇAR que todos os terminais

estão de acordo com politica de segurança

INTEGRADA

INTEGRADA

Identidade

Si

Si SiSi

‰ Quem é o utilizador?

‰ Está autorizado?

‰ Qual o seu perfil?

NAC

NAC

‰ Windows tem patches?

‰ A/V ou A/S instalados?

‰ Estão actualizados?

‰ Estão a correr?

‰ Serviços necessários

correm?

MA

IS

‰ Existe uma politica de

segurança?

‰ Terminais non-compliant

estão de quarentena?

‰ Remediação é necessária?

‰ Remediação é possivel?

M

A

IS

A Proposta do NAC é…

NAC Integra Com Politica de Segurança

Existente

Updates Windows

Windows XP, Windows 2000,

Windows 98, Windows ME

Updates Anti-Virus

Updates Anti-Spyware

Cisco

Security

Agent

Beneficios da Solução NAC da Cisco

Utilizadores de

LAN

Visitantes /

Consultores /

Outsourcers

Utilizadores de

Wireless LAN

Utilizadores VPN

/ Remotos / WAN

1.

Uma solução

para todas as

topologias de rede

2.

Mais de 500 empresas

já implementaram NAC

3.

Maior parte das

implementações em

menos de 5 dias

4.

Solução para redes

pequenas e grandes

mono-site ou multi-site

5.

Não necessita de

upgrade da rede

ALVO

1

2

3

4

5

Investigar

Penetrar

Persistir

Propagar

Paralizar

• “Pingar” endereços

• Scanear portas

• Advinhar passwords

• Advinhar end. e-mail

• Anexos de e-mail

• Controles ActiveX

• Instalações via rede

• Mensagens comprimidas

• “Backdoors”

• Criar novos ficheiros

• Modicar ficheiros

• Reduzir niveis de

segurança no registry

• Instalar novos serviços

• Enviar copia de

ataque via e-mail

• Conexões Web

• FTP

• Infectar espaço

partilhado

• Apagar ficheiros

• Modicar ficheiros

• “Crashar”

computador

• Denial of service

• Buffer overflow

0Causa maior estrago

9 Leva tempo a

modificar

9 Inspiração para CSA

0Mutação rápida

0Exige updates de

assinaturas

constantes

Diferentes Ameaças tem Comportamentos

Comuns

Cisco Security Agent

Proteção Desde o Dia Zero

ƒ

CSA tem

a capacidade de parar

ataques desconhecidos sem

necessidade de re-configuração ou

updates

ƒ

CSA tem o melhor historial de parar

ataques, virus, worms nos ultimos 4

anos:

2001 – Code Red, Nimda, Pentagone

2002 – Sircam, Debploit, SQL Snake,

Bugbear,

2003 – SQL Slammer, So Big,

Blaster/Welchia, Fizzer

2004 – MyDoom, Bagle, Sasser, JPEG

browser exploit (MS04-028), RPC-DCOM

exploit (MS03-039), Buffer Overflow in

Workstation service (MS03-049)

2005 – Internet Explorer Command

Execution Vulnerability

ƒ

Nenhuma configuração adicional do

CSA foi necessária

CSA & NAC – Como Se Complementam?

Network Admission

Control

Network Admission

Network Admission

Control

Control

Cisco Security

Agent

Cisco Security

Cisco Security

Agent

Agent

Controle de acesso à rede

Controle de acesso à rede

Força politica de AV, Anti-Spyware e

Versionamento em todos os terminais

Força politica de AV, Anti-Spyware e

Versionamento em todos os terminais

Proteção de ameaças conhecidas e desconhecidas

(dia zero)

Proteção de ameaças conhecidas e desconhecidas

(dia zero)

Previne contra comportamentos mal intencionados

Previne contra comportamentos mal intencionados

Permite controle sobre utilização de aplicações

Permite controle sobre utilização de aplicações

Protege terminais mesmo fora da rede

Protege terminais mesmo fora da rede

X

X

X

X

X

X

X

X

X

X

Validação de politica de segurança de terminais

Validação de politica de segurança de terminais

_X

_X

X

X

LAN, Telefonia IP e Segurança como Drivers da

Expansão da Oferta de Serviços de um Operador

PSTN/

PLMN

ISDN / Analógico

WAN

ADSL / FR / IPVPN / Metro

• Telefonia

• Mobilidade

• Conferência

• Billing

• Controle de

Admissão

EMPRESA

PT

Solução

Unica

Para o cliente final

uma solução

convergente

significa:

Para o cliente final

uma solução

convergente

significa:

Uma Rede, Um Contrato e Uma Assinatura

;

Um contrato e uma assinatura

; Um gestor de conta

; Um numero verde para onde chamar

; Uma equipa de operações

;

Custo mensal FIXO por empregado para toda a infraestrutura de

comunicações, seja WAN, seja LAN, seja Wireless LAN, seja

Telefonia, seja Segurança

;

Cliente não necessita de investimento inicial para implementar ou

evoluir a sua infraestrutura de comunicações

ƒ

O maior e mais

especializado centro de

atendimento técnico do

mundo em IP...ao vosso

dispôr via PT

ƒ

Localizações:

Sydney, Bruxelas, Londres,

Carolina do Norte,

California

ƒ

Engenheiros CAT: 2000+

(CCIEs: 500+)

ƒ

Disponibilidade 24x7

ƒ

Satisfação de Cliente: 4.5+

em 5

Satellite TAC

Main TAC

Acesso ao

C

entro de

A

tendimento

T

écnico da

Cisco através da PT