Единая Архитектура Безопасности Минаков Антон +7(095)

Nortel Networks … История Более 100 лет на рынке телекоммуникаций на передовой важных технологических инноваций Наша Деятельность… Ведется в более чем 150 странах Наши сотрудники… Это около 36 Тыс. сотрудников по всему миру Первый в отрасли концентратор Ethernet / первый коммутатор 10/100 Первый в отрасли Отказоустойчивый стек Первый в отрасли L2/L3 коммутатор Лидер в области L2/L7 коммутаторов

Разумный баланс сотрудников работающих в офисе и дома Разумный баланс сотрудников работающих в офисе и дома Доступные сотрудники независимо от места положения Доступные сотрудники независимо от места положения Сотрудники работающие везде, где только можно, но не там где их принуждают Сотрудники работающие везде, где только можно, но не там где их принуждают Работа это активность и РЕЗУЛЬТАТ, а не определенное место сотрудника Динамика условий ведения бизнеса

Проблема выбора руководителей ИТ… Гибкость против Безопасности Гибкость против Безопасности Преступность против свободы передвижений Преступность против свободы передвижений

Рост трафика: WAN трафикаWAN трафика Широкополосные подключения Широкополосные подключения B-to-B транзакцииB-to-B транзакции Рост: Атак из Интернет Атак из Интернет Потеря конфиденциальной Потеря конфиденциальной корпоративной информации Потеря прибыли Потеря прибыли Больше возможностей доступа в Интернет Больше Атак Постоянная дилемма

Угрозы – Оценка рисков Кража информации с ПК Кража информации с ПК Целостность данных Целостность данных Хакеры Хакеры Отказ в обслуживании Отказ в обслуживании Вирусы Вирусы

Единая Архитектура Безопасности Защита сетевого управления Защита на уровне доступа к сети Защита на уровне сети Защита на уровне приложений Защита управления доступом Управление на базе политик безопасности Passport 8600 BayStack / BPS Shasta 5000 BSN Contivity Secure IP Services Gateway / Business Communications Manager Alteon Switched Firewall Optivity Alteon SSL Accelerator Alteon Web Switches

Кампус / Штаб Масштабируемость Масштабируемость Гибридность Гибридность Огромные бизнес возможности Огромные бизнес возможности Работа с клиентами Эффективные приложения Эффективные приложения Оптика & Хранение Данных Ethernet End-to-endEthernet End-to-end Прозрачность Прозрачность Простота Простота Большой офис Философия Evergreen Философия Evergreen Гибридность Гибридность Масштабируемость Масштабируемость Огромные возможности за счет приложений Огромные возможности за счет приложений Малый / Средний офис Безопасность Безопасность Интеграция Интеграция Эффективность Эффективностьзатрат Единое управление для всего Сквозное управление Сквозное управление Эффективный мультимедиа пользователь Мобильность Мобильность Функциональность Функциональность Беспроводной сегмент Готовый к Мультимедиа приложениям Готовый к Мультимедиа приложениям Безопасность Безопасность Мобильность Мобильность Доступность Оптимизация приложений Безопасность Готовая к будущему Объединенная Инфраструктура Конвергенция на предприятии

Безопасное управление через SSL VPN Порталы EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация Защита от DoS атак, L2-L7 фильтрация, Управление П/П, и P2P контроль Все соединения активны Унифицированные клиенты с Мультимедиа программм. Телефонами, IP Голос, Беспроводные, Цифровые и Аналоговые Voice Signaling Media Gateways Gateways Call Servers SecuredVoiceZone SwitchedFirewall WAN/VPN Беспроводные Защищенные беспроводные решения с поддержкой полного роуминга Решение для конвергенции Кампуса. Безопасность Интернет ТфОП Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG Active /Active Кластер со Statefull фильтрацией и с IDS балансировкой

Гостевой домен/ Интернет ЛВС предприятия Защита на уровне доступа к сети BayStack/Passport Сервер Политик Radius Сервер Extended Authentication Protocol Предприятие партнера

Сетевой Доступ Решения Nortel Networks Сетевое Ядро Passport8600 L2-7 коммутация Высокопроизводительная маршрутизация Надежность L3 коммутация Высокопроизводительная маршрутизация SMLT and QoS Passport 1600 Passport 1424T L3 коммутация Высокопроизводительная маршрутизация Multicast BayStack T 10/100/1000 коммутация MLTSNMPv3 BayStack 420/425 Стекируемые 10/100 коммутаторы DMLT & QoS GBIC гигабит подключение Встроенные стековые разъемы Авто полярность BayStack F L2 Гигабит коммутация MLTSNMPv3 Стекируемые 10/100 коммутаторы DMLT & QoS GBIC гигабит подключение Встроенные стековые разъемы BayStac k BPS/ T & 24T BayStack T-PWR Питание поверх Ethernet Стекируемый ком. 10/100 QoS DMLT Стекируемый 10/100/1000 коммутатор Поддержка QOS, L3 DMLT BayStac k 5510 Passport 8300 Питание поверх Ethernet Высокопроизводительный модульный коммутатор DMLT, QoS Надежность

Безопасное управление через SSL VPN Порталы Active /Active Кластер со Statefull фильтрацией и с IDS балансировкой EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация Защита от DoS атак, L2-L7 фильтрация, Управление П/П, и P2P контроль Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG Все соединения активны Унифицированные клиенты с Мультимедиа программм. Телефонами, IP Голос, Беспроводные, Цифровые и Аналоговые Voice Signaling Media Gateways Gateways Call Servers SecuredVoiceZone Switched Firewall WAN/VPN Беспроводные Защищенные беспроводные решения с поддержкой полного роуминга Решение для конвергенции Кампуса. Безопасность Интернет ТфОП Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис

Открытая Архитектура Безопасности Интернет/ЛВС предприятия 2 Switched Firewall Accelerator ЛВС предприятия 1 Switched Firewall Director Возможность масштабирования производительности без перебоев в работе –Базирование на Firewall Director и добавление Accelerator –Director автоматически конфигурируется, и присоединяется к кластеру –Как только политики будут созданы, они автоматически будут действовать на всех устройствах и балансировать нагрузку –До 6 Directors на кластер, сессий/сек Возможность реализации отказоустойчивых схем без перебоев в работе –Подключаемый Accelerator становится автоматически второстепенным и управляется с Accelerator мастера –Конфигурирование кластера под резервирование + использование VRRP информации –Использование VRRP для отказоустойчивости –2 Accelerators на кластер в режиме Active-Standby Единое управление кластером – Изменения конфигурации, а также обновления ПО пропагандируются на все устройства Directors и Accelerators в кластере Простое защищенное управление – WEB Интерфейс управления с использованием HTTP и/или HTTPS – Командная строка (CLI) с использованием консоли, Telnetа и/или SSH –Аутентификация администраторов,пользователей, и управляющих станций

Alteon Non-Accelerated Firewalls Firewall который: Firewall который: – Обеспечивает наилучшую производительность и наиболее гибкое решение на базе Check Point FireWall- 1/VPN-1 NG с возможностью масштабирования до высокопроизводительного решения. – Поддерживает ключевые дополнительные функции такие как множественные (246) VLAN/DMZ, Высокую отказоустойчивость и простую инсталляцию – Предлагает опцию VPN-1 Акселерации – Предназначен для заказчиков которым требуется высокопроизводительный и высоко масштабируемый Firewall для защиты любого участка сети SecureXL ASF 5100 серия

Alteon Switched Firewall System Firewall который: Firewall который: – Объединяет решения на базе ведущей высокоскоростной технологии коммутации от Alteon и Check Point FireWall-1/VPN-1 NG безопасность от Check Point для высокопроизводительного, наиболее гибкого и масштабируемого решения Firewall, доступного сегодня в виде уникальной архитектуры – Поддерживает ключевые дополнительные функции, включая L2 прозрачный режим*, такие как множественные (246) VLAN/DMZ, высокую отказоустойчивость, простую инсталляцию и плавное поэтапное масштабирование по мере потребностей – Предлагает опцию VPN-1 Акселерацию – Предназначен для заказчиков которым требуется высокопроизводительный и высоко масштабируемый Firewall с минимальным уровнем задержек при обработке пакетов для защиты Центра обработки данных. Идеальное решение для приложений критичных к задержкам, таким как VoIP Best Networking/ Communications Product Networld & Interop 2002/ Australian Technology & Business Magazine SecureXL * * Только 5000 серия

ЛВС предприятия До 90% пакетов может быть обработано высокопроизводительным SFA, под управлением политик SFD … Switched Firewall Accelerator Switched Firewall Director Пакет принадлежащий существующей сессии 1 SFA проверяет соответствующую запись в таблице сессий для определения необходимости использования stateful инспекции 2 До 6 Firewall Directors могут участвовать в балансировке нагрузки 3 Пакеты являющиеся частью проинспектированной сессии передаются на выход SFA в ЛВС предп., параллельно проходя SFD инспекцию Интернет К Центру обработки данных Switched firewall acceleration Как это работает

Решение для обеспечения безопасности следующего поколения гарантирующего защиту + Фильтрация контента Защита от DoS атак Защита от атак UDP blast Листы доступа по IP Ограничение П/П для приложений Разгрузка трафика с ASD до 90% 16 Гбит/с коммутационная матрица с/ отличной производительностью при обработки малых пакетов Stateful инспекция пакетов на уровне 4-7 за счет Check Point NG с/ Интеллектом на уровне приложений Шлюз уровня приложений для обработки динамических портов для H.323 и SIP VoIP трафика Устройство по обработки данных Устройство по инспекции данных глубокий анализ пакетов+stateful firewall+анализ на уровне приложений

Сбой компонентов без прерывания обслуживания Сбой компонентов без прерывания обслуживания –Accelerator to Accelerator синхронизация является частью NAAP –Director to Director синхронизация использующая встроенную Check Points синхронизацию в таблицах состояний –Director to Director синхронизация использующая выделенный порт Отказоустойчивость без сброса сессий Check Point NAAP

Приложения безопасности имеющиеся на устройствах Firewall Accelerator IDS балансировка Port Mirroring Multi-Group Support Сложная фильтрация Инспекция контента на уровне L2-L7 Балансировка сетевых устройств До 6 Firewall Directors в кластере Балансировка шлюзов FW Сетевые сервисы Network Address Translation VLAN Tagging Multi-Link Trunking Встроенные механизмы безопасности Защита от DoS атак Акселерация Firewall Управления трафиком Контроль П/П (на базе сессий)

Линейка продуктов ASF 5308/ xx/57xx 6000 Серия Accelerated Products 600 Мбит/с 4.3 Гбит/с До 10Гбит/с ASF 5105 Non Accelerated Products ASF 5109ASF Мбит/с 1.0 Гбит/с 1.6 Гбит/с ASFM

Масштабируемость и Высокая Отказоустойчивость Конфигурация базовой системы 20K сессий/сек 1- Базовая система Начните с базовой системы, наращивайте систему в режиме plug and play (до 6 Directors на систему) 3- Отказоустойчивая конфигурация Добавление дополнительного устройства Switched Firewall 40K сессий/сек 4- Plug & Play Постепенное масштабирование отказоустойчивого решения в режиме Plug & Play 100K+ сессий/сек 2- Plug & Play Добавление director а в Plug & Play режиме 40K сессий/сек

Интернет Защита приложений управления с использованием фильтрации с контролем состояния сессий Защита приложений управления с использованием фильтрации с контролем состояния сессий Обеспечивает единый портал для администрирования и запуска приложений Обеспечивает единый портал для администрирования и запуска приложений Включает в себя централизованный сбор статистики по доступу к элементам управления Succession Включает в себя централизованный сбор статистики по доступу к элементам управления Succession Легко конфигурируется / Малая стоимость Легко конфигурируется / Малая стоимость Nortel SSL Шлюз Element Manager Unified Manager OTM Web Client CLI/Overlays Call Pilot Admin My Call Pilot Решение для конвергенции Кампуса Безопасность и управление

Оптимальное использование решения RAS VPN Мобильность/Гибкость Высокая Маленькая Приложений Мало Много Сотрудник работающий на дому (полное время) Точка-Точка Мобильный сотрудник Сотрудник работающий на дому (не полное время) С помощью IPSec можно получить слишком многое SSL может не поддерживать приложения Партнерский Extranet Партнерский Extranet (в собственном владении) SSL может ограничивать приложения IPSec может ограничить мобильность

Режимы работы Web Браузер в Киоске Интернет Основной режим На основе Браузера, не используя клиента Стандартные приложения: Web серфинг Доступ к файл серверу Intranet Outlook Web Доступ Lotus iNotes Citrix nFuse Web Браузер с поддержкой туннелирования аплетов Интернет SSL & Порт Туннелирование Расширенный режим Расширенное без клиента – На основе Браузера, используется Java Applet Стандартные приложения: Терминальный доступ Windows терминальные службы Lotus Notes Citrix ICA MS Outlook Java Applet Прозрачный режим Xnet клиент На базе клиента Стандартные приложения Любое TCP/IP или UDP приложение Интернет SSL & Порт Туннелирование

Свобода передвижений Использование любого WEB браузера, из любого места, для доступа к корпоративным приложениям и файловым серверам Может работать с firewallов, NAT служб и прокси сервисов SSL VPN Преимущества Простота Легкость инсталляции, поддержка и обслуживание Нет необходимости для зеркалирования приложений или замена кода или адресов Простая инсталляция в любую сеть Не требуется дополнительного клиентского ПО Мгновенное масштабирование Интуитивно понятный web портал не требующий тренировки пользователей Контроль доступа партнеров без дополнительных политик безопасности Низкая стоимость владения Низкие затраты на поддержку пользователей из-за простого доступа Низкие операционные расходы с использованием без клиентного решения Низкие затраты на соединения с использованием интернет доступ

Alteon SSL линейка Производительность Функции Полный спектр продуктов для удовлетворения всех SSL потребностей ASA 310 FIPS FIPS Уровень 3 совместимый SSL 400 т/с ASA 410 Наивысшая производительность SSL 2000 т/с AAS 2424-SSL Коммутатор контента с акселерацией SSL 300/1000 т/с SSL VPN SSL Акселерация Криптование туннелированных приложений Встроенное управление трафиком 8661 SAM Наивысшая производительность SSL акселерации 3000 т/с Только SSL акселерация NVG 3050 SSL и IPSec VPN RAS Шлюз 1000 т/с SSL VPN SSL Акселерация Криптование туннелированных приложений Встроенное управление трафиком IPSec VPN

Почему решение Alteon ? Firewall следующего поколения Firewall следующего поколения – Акселерация трафика на базе коммутатора с минимальной задержкой для VoIP и других приложений критичных к задержке Огромная масштабируемость Огромная масштабируемость – Начните с малого и масштабируйте по необходимости не приостанавливая работу сервисов Великолепная управляемость Великолепная управляемость – Единое ПО позволяет производить легкую конфигурацию – Plug and Play возможности позволяют легко расширяться Доказанное отказоустойчивое решение Доказанное отказоустойчивое решение – ASF использует коммутационные технологии ASIC которые уже развернуты в более чем 5000 предприятий Встроенные возможности по балансировке нагрузки Встроенные возможности по балансировке нагрузки – Все Firewall Directors активно балансируют трафик и проверяют свою «работоспособность» – IDS балансировка начиная с ПО версии 3.5 Соответствие стандартам Соответствие стандартам – CC EAL4, ICSA, OPSEC Уникальные возможности Уникальные возможности – L2 режим моста, Multi-Link Trunking, поддержка фреймов большого размера (Jumbo Frames) Архитектура отвечающая сегодняшним потребностям – предоставляющая простой путь к последующему наращиванию

ТфОП Мобильные пользователи Партнеры Модемный пул Интернет Web Сервер Клиенты ЛВС предприятия Директории Маршрутизатор Традиционная ИТ инфраструктура предприятия Дорогой RAS Dial-in network (+7-095, ISDN, LD) Дорогой RAS Dial-in network (+7-095, ISDN, LD) Ограничение технологий доступа

WEB сервер Мобильные пользователи Деловые Партнеры Contivity 1100 Филиалы Снижение TCOСнижение TCO Единая инфраструктура Единая инфраструктура Надежно и защищено Надежно и защищено Открытые стандарты (основано на IP)Открытые стандарты (основано на IP) Потребности предприятий / Соответствие потребностям со стороны провайдеров Потребности предприятий / Соответствие потребностям со стороны провайдеров Интернет IP VPNs ИТ инфраструктура ЛВС предприятия Файл сервер Contivity IP маршрутизация VPN/Security Firewalling

Услуги IP предлагаемые для предприятий Динамическая маршрутизация не являются частью спецификации IPsec Большинство IPsec VPNов статические Как вы масштабируете VPNы? Статические VPNы сегодня Динамические VPNы завтра Virtual Private Networks Определенно предоставляют защиту корпоративного трафика …но есть еще некоторые вопросы которые требуют решения … ? + + Открытая маршрутизация Услуги Безопасности Выделенный канал/открытая маршрутизация L3 VPN маршрутизация Интернет Требуется новое решение Secure Dynamic Routing

Проблемы на предприятиях… Высокая цена и риски связанные с обновлением аппаратного обеспечения маршрутизаторов для поддержки IPsec Высокая цена и риски связанные с обновлением аппаратного обеспечения маршрутизаторов для поддержки IPsec Простои и неполадки связанные с обновлением аппаратного обеспечения Простои и неполадки связанные с обновлением аппаратного обеспечения Множество устройств увеличивают TCO & делают управление комплексным Множество устройств увеличивают TCO & делают управление комплексным Ужасные IP Услуги и безрадостное управление Ужасные IP Услуги и безрадостное управление Политики Безопасность Много устройств требуют большего внимания администраторов Дополни тельно: Модуль безопасн ости Дополнительно: Модуль безопасности $ Site 1 Site 2 Удаленный доступ Директории Различные системы управления $$$ Корпоративный маршрутизатор $$ Интернет WAN маршрутизатор $ VPN Устройство Firewall IP доступ $ Firewall QOS устройство $ VPN Устройство $ IP доступ $

Интернет Contivity & Secure Routing Technology (SRT) Одно устройство - много сервисов – Динамическая маршрутизация внутри VPN – Единые правила безопасности – Гибкая система лицензирования Простота инсталляции, Низкая TCO – Безопасность заложена в дизайне – Сервисы по потребностям VPN Услуги Услуги маршрутизации Аутентификация Firewall услуги QOS/ Управление П/П Клиентские политики Аудит/Сбор статистики IP услуги Contivity VPNы к удаленным филиалам Открытая Интернет маршрутизация Повсеместный защищенный доступ пользователей

Nortel Networks SRT Технология Защищенной Маршрутизации Защищенная структура Низкая стоимость при развертывании служб Динамическая защищенная маршрутизация Защищенный доступ мобильных пользователей где бы они не находились Единые правила безопасности & управления Защита инвестиций

Поддержка динамических протоколов – VRRP & OSPF Интернет OSPF и/или RIP работают внутри VPN туннелей VRRPMaster VRRPBackup OSPF Area 1 LAN ALAN B VPNшлюзы LAN CLAN D OSPF Area 2

Интернет WANContivityContivity Резервные критичные интерфейсы Гибкая, автоматическая процедура восстановления после сбоев для критических интерфейсов Гибкая, автоматическая процедура восстановления после сбоев для критических интерфейсов Позволяет определять любые критические интерфейсы Позволяет определять любые критические интерфейсы – Физические интерфейсы – Туннель(и) – Маршруты – Любые комбинация из вышеперечисленного Резервное соединение автоматически устанавливается в случае когда критический интерфейс перестанет быть активным Резервное соединение автоматически устанавливается в случае когда критический интерфейс перестанет быть активным Поддерживаются Dial UP интерфейсы Поддерживаются Dial UP интерфейсы Поддерживаются не-Dial IP интерфейсы, например. 2 nd Ethernet Поддерживаются не-Dial IP интерфейсы, например. 2 nd Ethernet Критичный интерфейс, Критичный туннель Критичные соединения Не критичное соединение VPN соединение через Интернет Резервное соединение через Dial up местного ISP Резервное соединение Аналоговый Модем Резервные критичные интерфейсы X X

Интернет Сервис Провайдер Филиалы Партнеров 56 KB/s Филиалы компании 256 KB/s Мобильные Партнеры 28 KB/s Мобильныесотрудники W/ client 128 KB/s Advanced Routing – BWM& Diff-Serv ADSL Профиль 3 Профиль 2 E1 Соединение E1 Соединение Cable Modem Contivity

Маcштабируемость VPN VPN не масштабируются без PKI сертификатов. Почему? VPN не масштабируются без PKI сертификатов. Почему? Без сертификатов pre-shared key С сертификатами Certificates Сертификаты RSA SecurityRSA Security EntrustEntrust VerisignVerisign MicrosoftMicrosoft

Смарт Карты Проблема с цифровыми сертификатами Проблема с цифровыми сертификатами – Любой, кто имеет доступ к персональному ключу может владеть данным сертификатом !! Смарт карты обеспечивают защищенное хранилище персональных ключей Смарт карты обеспечивают защищенное хранилище персональных ключей – Персональный ключ никогда не покидает Смарт карты – Все действия по криптации требующие использование частного ключа происходят на микропроцессоре Смарт карты. – Защита пин кодом Карты становится не действительна после ряда неудачных попыток аутентификации Карты становится не действительна после ряда неудачных попыток аутентификации – Двух факторная аутентификация Вы что-то имеете, и что-то знаете Вы что-то имеете, и что-то знаете PKCS #11 & #15 PKCS #11 & #15 – PKCS #11 – Определяет стандартный крипто API для взаимодействия с различными картами – PKCS #15 – Определяет формат карты для лучшего взаимодействия между Вендорами & доступные функции карты Инновации в Смарт Картах Инновации в Смарт Картах – Может использоваться для защищенного и портативного хранения любой важной информации Например Медицинские учреждения, информация о пациенте….., Например Медицинские учреждения, информация о пациенте….., – В будущем мобильные телефоны также могут использоваться для двух факторной аутентификации – Смарт карты могут также выступать в качестве уникального ID Сотрудника – Биометрические механизмы для использования Смарт карт Смарт карты RSA SecurityRSA Security DatakeyDatakey iKeyiKey ActivecardActivecard

VPN Услуги Услуги маршрутизации Аутентификация Firewall услуги QOS/ Управление П/П Клиентские политики Аудит/Сбор статистики IP услуги Линейка шлюзов безопасности IP услуг Contivity Contivity 1700 Contivity 2700 Contivity 4600 Малые/Средние организации 50 фиксированных туннелей 15 Mбит/с 3DES VPN 160 Мбит/с Firewall - $2,495 Средние организации Туннелей Мбит/с 3DES VPN 200 Мбит/с Firewall - $3,600 - $7K Сред/Большие Организации Туннелей Мбит/с 3DES VPN 300 Мбит/с Firewall - $7,300 – $20K Большие организации 5000 Фиксированных туннелей Мбит/с 3DES VPN 400 Мбит/с Firewall - $50K Семейство Contivity 1000 Contivity 1010 Малые учреждения 5-30 Туннелей Мбит/с 3DES VPN 100 Мбит/с Firewall - $999-$1,499 Единый VPN Клиент Contivity 1050 Contivity 1100 Contivity 600 Единое управление Contivity 251 ADSL Contivity 221 Домашние пользователи/ мобильные сотрудники 5 Туннелей 5 Мбит/с 3DES VPN $449-$599

Contivity VPN Клиент Используется 70 миллионов клиентов Contivity Поддержка ОС – ОС Microsoft: Win 95, 98, Me, NT, 2000, XP – Другие ОС: Macintosh, Linux, Solaris, HP-UX, IBM AIX – КПК: Palm, Pocket PC через MovianVPN клиенты от Certicom Защита на уровне конечного пользователя – TunnelGuard: Проверка пользователей на предмет политик и используемых приложений – API совместимость с ведущими персональными firewallами – Свободно распространяемый firewall доступен от Sygate Надежность –Архитектура виртуально адаптера позволяющая использовать любые приложения поверх VPN –VPN сессии могут оставаться активными на любой промежуток времени Простота использования – Соединение одним щелчком мыши – Поддержка Microsoft dialerа – Сплит туннелирование – Конфигурация загружается с Contivity – Возможность блокировки функций, чтобы пользователи не могли их поменять – Изменяемые баннеры/иконки

Интернет Аутентификации, балансировка, отказоустойчивость Внешний LDAP Сервер Внутренний LDAP SecurID/Axent или NT Сервер RADIUS Сервер Во внешней или внутренней сети Запрос соединения Contivity Contivity Contivity Распределение туннельных соединений несколькими Contivity Распределение туннельных соединений несколькими Contivity – IPSec Перенаправление: перенаправление IPSec туннелей на другой шлюз Contivity при высокой нагрузке – Выбор наименее загруженного шлюза Contivity Защита доступа Защита доступа – Если Contivity выходит из строя, IPSec клиент автоматически соединяется с резервным шлюзом Contivity

Contivity Файл сервер 3 Пользователь 2 Интернет Пользовательская аутентификация на Firewall Обеспечивает аутентификацию пользователей для доступа : Обеспечивает аутентификацию пользователей для доступа : – К трафику Офисных VPN туннелей – К трафику Интернет (не туннельному) FWUA позволяет повысить контроль над пользователями FWUA позволяет повысить контроль над пользователями – Туннель защищен, но … – Кто проходит через туннель? – К каким ресурсам пользователи имеют доступ? Расширение к Contivity Stateful Firewall (требуется лицензия на CSF) Расширение к Contivity Stateful Firewall (требуется лицензия на CSF) Интуитивно понятный WEB портал для пользователей Интуитивно понятный WEB портал для пользователей Используется SSL соединения Используется SSL соединения Удаленный офис HTTPS FWUA FWUA Session Аутентификация для не туннельного трафика Contivity Сервер Аутентификации Пользователь 1 Файл сервер 1 Файл Сервер 2 Пользователь 3 Аутентификация для туннельного трафика FWUA Сессии HTTPS FWUA

Туннельный страж Персональная защита пользователей Механизм для контроля VPN клиента Механизм для контроля VPN клиента – приложения/файлы могут быть проверены перед соединением – Дополнительные уровни пользовательских политик – Используемые политики передаются клиенту – Теперь мы можем узнать что есть у пользователя Совместимость с третьими приложениями Совместимость с третьими приложениями – Персональные межсетевые экраны – Антивирусное ПО – ПО определения вторжений – Файлы данных Contivity Агент Агент – Запускается на клиенте – Принимает сообщения от ПО управления ПО Управления ПО Управления – Работает на сервере – Обменивается сообщениями с Агентом SRS механизм SRS механизм – Необходимый набор ПО – Создает политики для ПО Управления чтобы контролировать клиента

Интернет Туннельный страж Как это работает… ТС Агент Агент Шаг 2 Посылка SRS агенту ПерсональныйМЭ Шаг 3 проверка приложений. Дополнительно API опрашивает Персональный МЭ на предмет последних обновлений политик безопасности Сервер управления МЭ Шаг 4 Запрет выхода в сеть организации снят, пользователь получает доступ VPN Клиент Шаг 1 создается VPN туннель (с запретом выхода в сеть организации) VPN Туннель Contivity

Contivity Stateful Firewall Полностью совместим с/VPN функциональностью Полностью совместим с/VPN функциональностью Инспекция на базе правил Инспекция на базе правил Фильтрация по: Фильтрация по: – Источнику/Назначения адреса – Источнику/Назначения интерфейса – Приложениям Активируется лицензией Активируется лицензией Интуитивно понятный WEB интерфейс Интуитивно понятный WEB интерфейс Простота эксплуатации Простота эксплуатации Поддержка командной строки CLI Поддержка командной строки CLI Поддержка SSL управления Поддержка SSL управления

Инсталлировано более 1,000,000 Contivity шлюзов Установлено более 70,000,000 IPSec клиентов Установлено более 70,000,000 IPSec клиентов 7 из 8 именитых Сервис Провайдеров предлагают клиентам Contivity Более 200 из Top 500 предприятий используют Contivity Source: Synergy Research Group (Y2001) Лидерство Contivity 3 years of leadership Gartner Magic Quadrant Cisco Check Point Others NORTEL.. Ability to Execute Completeness of Vision Security Product of the YEAR Network Computing Testers Choice Award for VPN Solutions 2004

Сервисы предоставляемые Contivity Встроенный МЭ Маршрутизация Приложения Аутентификации VPN Услуги Взаимодействие с другими продуктами Nortel/3-их Вендоров IP/WAN Услуги Единое управление *RIP v1/v2 *OSPF *Dynamic routing over VPN over VPN *VRRP *ABOT *Stateful Inspection *Over 100 ALGs *Packet Filters *Entrust*GRIC *Verisign*iPass *Sygate*InfoExpress *Intel*RSA *ISS*Certicom *HiFn*Microsoft *NetID *RADIUS *X.509 *Smart cards *External LDAP *Tokens *Shasta *BCM * Passport *PP 8600 *Wireless *Alteon * Optical *PPP *Frame Relay *T1/E1 *Dial-up (V.90) *ISDN *HSSI *QoS/BWM/SLA *IPsec*3DES *PPTP*AES *L2TP*IKE *L2TP/IPsec*Elliptic Curve *DES*MD5 *RC4*SHA-1 Поддержка ПО от 3 их производителей Contivity

Firewall решения Nortel Networks ПродуктASFContivity Назначение Firewall для центра обработки данных VPN концентратор с Firewall возможностями Производи- тельность 4.2 Gbps 4.2 Gbps400Mbps Сегмент рынка Корпоративные сети, операторы хостинга Корпоративные сети, ISP Область применения Центр обработки данных Клиентское оборудование

Наше решение… Интернет VPN IPsec клиент i2050 Contivity Succession 1000 Alteon SSL Безопасность & Гибкость мобильный сотрудников Интернет DSL Филиал ы Штаб квартира Contivity 1000 Contivit y 2700 Защищен Аутентифицирован Надежен Защищенный обмен данными с филиалами ASF ASA Contivity Optera Metro Защищенный Центр Обработки Данных Интернет

Централизованное решение проблем для конвергированных IP сетей Централизованное решение проблем для конвергированных IP сетей Беспрецедентная масштабируемость: 10,000 IP устройств, 1,000 multicast сессий Беспрецедентная масштабируемость: 10,000 IP устройств, 1,000 multicast сессий Голос, Кампусное ядроe, Оптический Ethernet, Коммутация на уровне приложений, VPN, Маршрутизация Голос, Кампусное ядроe, Оптический Ethernet, Коммутация на уровне приложений, VPN, Маршрутизация Nortel Optivity Network Management System Ошибки Правка Восстанов ление Конфигурация Обзор Модификация Сбор статистики Аудит Класс Сервиса Производи тельность Анализ Возможный план Безопасность Привилегии Приватность Решение для конвергенции Кампуса Архитектура централизованного сетевого управления

Alteon Overview Slide 51 Nortel Networks Confidential Почему Nortel Networks? Проверенный ведущий производитель в телекоммуникационных технологиях проверенный временем, предлагающий наивысший уровень надежности в индустрии – % надежность – 100 стран – 70M+ пользователей удаленных офисов по всему миру Решения разработаны с учетом уникальной стратегии защиты инвестиций – Решения которые включают в себя как традиционную так и IP телефонию гарантирует мягкую миграцию и защиту инвестиций – Широкий спектр продуктов & решений для каждого элемента конвергенции Nortel Networks has the solutions that make the benefits of convergence a reality - supporting real-world applications and focusing on helping enterprise customers boost productivity, enhance services, and increase revenues. Zeus Kerravala, Yankee Group, January 2004

Более 50 млн. телефонных линий для предприятий Более 50 млн. Ethernet портов With over a century of delivering innovation and communication services to our customers, Nortel Networks maintains our emphasis on leveraging today's networks while providing cost-effective evolution strategies in over 150 countries.

Управление: Alteon Security Manager Упрощает сетевое управление предоставляя единую точку администрирования для защищенных решений Alteon Упрощает сетевое управление предоставляя единую точку администрирования для защищенных решений Alteon – Alteon Switched Firewall – Alteon SSL Accelerator – Alteon Application Switches – Будущих решений…. Обеспечивает единое администрирование устройств/кластеров Обеспечивает единое администрирование устройств/кластеров – Ошибки, Конфигурирование, Производительность, и Защищенное управление Гарантирует защищенное управление, защита трафика между управляющей станцией и устройствами Гарантирует защищенное управление, защита трафика между управляющей станцией и устройствами