Единая Архитектура Безопасности Minakov Anton +7 (095)

Программа Безопасность на уровне доступа Безопасность на уровне доступа BayStack & PassportBayStack & Passport Безопасность на уровне приложений Безопасность на уровне приложений Alteon Switched FirewallAlteon Switched Firewall IP VPNIP VPN Шлюзы услуг IP безопасности Contivity Шлюзы услуг IP безопасности Contivity

Разумный баланс сотрудников работающих в офисе и дома Разумный баланс сотрудников работающих в офисе и дома Доступные сотрудники независимо от места положения Доступные сотрудники независимо от места положения Сотрудники работающие везде, где только можно, но не там где их принуждают Сотрудники работающие везде, где только можно, но не там где их принуждают Работа это активность и РЕЗУЛЬТАТ, а не определенное место сотрудника Динамика условий ведения бизнеса

Рост трафика: WAN трафикаWAN трафика Широкополосные подключения Широкополосные подключения B-to-B транзакцииB-to-B транзакции Рост: Атак из Интернет Атак из Интернет Потеря конфиденциальной Потеря конфиденциальной корпоративной информации Потеря прибыли Потеря прибыли Больше возможностей доступа в Интернет Больше Атак Постоянная дилемма

Единая Архитектура Безопасности Защита сетевого управления Защита на уровне доступа к сети Защита на уровне сети Защита на уровне приложений Защита управления доступом Управление на базе политик безопасности Passport 8600 BayStack / BPS Shasta 5000 BSN Contivity Secure IP Services Gateway / Business Communications Manager Alteon Switched Firewall Optivity Alteon SSL Accelerator Alteon Web Switches

Безопасное управление через SSL VPN Порталы Active /Active Кластер со Statefull фильтрацией и с IDS балансировкой EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация Защита от DoS атак, L2-L7 фильтрация, Управление П/П, и P2P контроль Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG All core links active Unified clients with Multimedia SoftPhones, IP Voice, Wireless, Analog and Digital Voice Signaling Media Gateways Call Servers Secured Voice Zone Switched Firewall WAN WAN/VPN PSTN Wireless Защищенные беспроводные решения с поддержкой полного роуминга Решение для конвергенции Кампуса Безопасность

Гостевой домен/ Интернет ЛВС предприятия Защита на уровне доступа к сети BayStack/Passport Сервер Политик Radius Сервер Extended Authentication Protocol Предприяти е партнера

Избавляет от необходимости останавливать сеть, позволяя ИТ администраторам сфокусироваться на «излечении» инфицированных устройств. Обеспечивая безопасность 1. Доступ блокируется неавторизованным пользователям 2. Несанкционированные приложения блокируются на входе 3. Предотвращение дальнейшего распространения «Червей» 4. Сетевые администраторы получают уведомление об инфицированном устройстве Optivity Policy Server

Безопасное управление через SSL VPN Порталы Active /Active Кластер со Statefull фильтрацией и с IDS балансировкой EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация Защита от DoS атак, L2-L7 фильтрация, Управление П/П, и P2P контроль Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG Все соединения активны Унифицированные клиенты с Мультимедиа программ. Телефонами, IP Голос, Беспроводные, Цифровые и Аналоговые Voice Signaling Media Gateways Gateways Call Servers SecuredVoiceZone Switched Firewall WAN/VPN Беспроводные Защищенные беспроводные решения с поддержкой полного роуминга Решение для конвергенции Кампуса. Безопасность Интернет ТфОП Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис

Открытая Архитектура Безопасности Интернет/ЛВС предприятия 2 Switched Firewall Accelerator ЛВС предприятия 1 Switched Firewall Director Возможность масштабирования производительности без перебоев в работе Возможность масштабирования производительности без перебоев в работе –Базирование на Firewall Director и добавление Accelerator –Director автоматически конфигурируется, и присоединяется к кластеру –Как только политики будут созданы, они автоматически будут действовать на всех устройствах и балансировать нагрузку –До 6 Directors на кластер, сессий/сек Возможность реализации отказоустойчивых схем без перебоев в работе Возможность реализации отказоустойчивых схем без перебоев в работе –Подключаемый Accelerator становится автоматически второстепенным и управляется с Accelerator мастера –Конфигурирование кластера под резервирование + использование VRRP информации –Использование VRRP для отказоустойчивости –2 Accelerators на кластер в режиме Active- Standby Единое управление кластером Единое управление кластером –Изменения конфигурации, а также обновления ПО пропагандируются на все устройства Directors и Accelerators в кластере Простое защищенное управление Простое защищенное управление –WEB Интерфейс управления с использованием HTTP и/или HTTPS –Командная строка (CLI) с использованием консоли, Telnetа и/или SSH –Аутентификация администраторов,пользователей, и управляющих станций

ЛВС предприятия До 90% пакетов может быть обработано высокопроизводительным SFA, под управлением политик SFD … Switched Firewall Accelerator Switched Firewall Director Пакет принадлежащий существующей сессии 1 SFA проверяет соответствующую запись в таблице сессий для определения необходимости использования stateful инспекции 2 До 6 Firewall Directors могут участвовать в балансировке нагрузки 3 Пакеты являющиеся частью проинспектированной сессии передаются на выход SFA в ЛВС предп., параллельно проходя SFD инспекцию Интернет К Центру обработки данных Switched firewall acceleration Как это работает

Решение для обеспечения безопасности следующего поколения гарантирующего защиту + Фильтрация контента Защита от DoS атак Защита от атак UDP blast Листы доступа по IP Ограничение П/П для приложений Разгрузка трафика с ASD до 90% 16 Гбит/с коммутационная матрица с/ отличной производительностью при обработки малых пакетов Stateful инспекция пакетов на уровне 4-7 за счет Check Point NG с/ Интеллектом на уровне приложений Шлюз уровня приложений для обработки динамических портов для H.323 и SIP VoIP трафика Устройство по обработки данных Устройство по инспекции данных глубокий анализ пакетов+stateful firewall+анализ на уровне приложений

Приложения безопасности имеющиеся на устройствах Firewall Accelerator IDS балансировка Port Mirroring Multi-Group Support Сложная фильтрация Инспекция контента на уровне L2-L7 Балансировка сетевых устройств До 6 Firewall Directors в кластере Балансировка шлюзов FW Сетевые сервисы Network Address Translation VLAN Tagging Multi-Link Trunking Встроенные механизмы безопасности Защита от DoS атак Акселерация Firewall Управления трафиком Контроль П/П (на базе сессий)

Интернет Защита приложений управления с использованием фильтрации с контролем состояния сессий Защита приложений управления с использованием фильтрации с контролем состояния сессий Обеспечивает единый портал для администрирования и запуска приложений Обеспечивает единый портал для администрирования и запуска приложений Включает в себя централизованный сбор статистики по доступу к элементам управления Succession Включает в себя централизованный сбор статистики по доступу к элементам управления Succession Легко конфигурируется / Малая стоимость Легко конфигурируется / Малая стоимость Nortel SSL Шлюз Element Manager Unified Manager OTM Web Client CLI/Overlays Call Pilot Admin My Call Pilot Решение для конвергенции Кампуса Безопасность и управление

Оптимальное использование решения RAS VPN Мобильность/Гибкость Высокая Маленькая Приложений Мало Много Сотрудник работающий на дому (полное время) Точка-Точка Мобильный сотрудник Мобильный сотрудник Сотрудник работающий на дому (не полное время) С помощью IPSec можно получить слишком многое SSL может не поддерживать приложения Партнерский Extranet Партнерский Extranet (в собственном владении) SSL может ограничивать приложения IPSec может ограничить мобильность

Режимы работы Web Браузер в Киоске Интернет Основной режим На основе Браузера, не используя клиента Стандартные приложения: Web серфинг Доступ к файл серверу Intranet Outlook Web Доступ Lotus iNotes Citrix nFuse Web Браузер с поддержкой туннелирования аплетов Интернет SSL & Порт Туннелирование Расширенный режим Расширенное без клиента – На основе Браузера, используется Java Applet Стандартные приложения: Терминальный доступ Windows терминальные службы Lotus Notes Citrix ICA MS Outlook Java Applet Прозрачный режим Xnet клиент На базе клиента Стандартные приложения Любое TCP/IP или UDP приложение Интернет SSL & Порт Туннелирование

Alteon SSL линейка Производительность Функции Полный спектр продуктов для удовлетворения всех SSL потребностей ASA 310 FIPS FIPS Уровень 3 совместимый SSL 400 т/с ASA 410 Наивысшая производительность SSL 2000 т/с AAS 2424-SSL Коммутатор контента с акселерацией SSL 300/1000 т/с SSL VPN SSL Акселерация Криптование туннелированных приложений Встроенное управление трафиком 8661 SAM Наивысшая производительность SSL акселерации 3000 т/с Только SSL акселерация NVG 3050 SSL и IPSec VPN RAS Шлюз 1000 т/с SSL VPN SSL Акселерация Криптование туннелированных приложений Встроенное управление трафиком IPSec VPN

ТфОП Мобильные пользователи Партнеры Модемный пул Интернет Web Сервер Клиенты ЛВС предприятия Директории Маршрутизато р Традиционная ИТ инфраструктура предприятия Дорогой RAS Dial-in network (+7-095, ISDN, LD)Дорогой RAS Dial-in network (+7-095, ISDN, LD) Ограничение технологий доступа

WEB сервер Мобильные пользователи Деловые Партнеры Contivity 1100 Филиалы Снижение TCOСнижение TCO Единая инфраструктура Единая инфраструктура Надежно и защищено Надежно и защищено Открытые стандарты (основано на IP)Открытые стандарты (основано на IP) Потребности предприятий / Соответствие потребностям со стороны провайдеров Потребности предприятий / Соответствие потребностям со стороны провайдеров Интернет IP VPNs ИТ инфраструктура ЛВС предприятия Файл сервер Contivity IP маршрутизация VPN/Security Firewalling

Услуги IP предлагаемые для предприятий Динамическая маршрутизация не являются частью спецификации IPsec Большинство IPsec VPNов статические Как вы масштабируете VPNы? Статические VPNы сегодня Динамические VPNы завтра Virtual Private Networks Определенно предоставляют защиту корпоративного трафика …но есть еще некоторые вопросы которые требуют решения … ? + + Открытая маршрутизация Услуги Безопасности Выделенный канал/открытая маршрутизация L3 VPN маршрутизация Интернет Требуется новое решение Secure Dynamic Routing

Проблемы на предприятиях… Высокая цена и риски связанные с обновлением аппаратного обеспечения маршрутизаторов для поддержки IPsec Высокая цена и риски связанные с обновлением аппаратного обеспечения маршрутизаторов для поддержки IPsec Простои и неполадки связанные с обновлением аппаратного обеспечения Простои и неполадки связанные с обновлением аппаратного обеспечения Множество устройств увеличивают TCO & делают управление комплексным Множество устройств увеличивают TCO & делают управление комплексным Ужасные IP Услуги и безрадостное управление Ужасные IP Услуги и безрадостное управление Политики Безопасность Много устройств требуют большего внимания администраторов Дополни тельно: Модуль безопасн ости Дополнительно : Модуль безопасности $ Site 1 Site 2 Удаленный доступ Директории Различные системы управления $$$ Корпоративный маршрутизатор $$ Интернет WAN маршрутизатор $ VPN Устройство Firewall IP доступ $ Firewall QOS устройство $ VPN Устройство $ IP доступ $

Интернет Contivity & Secure Routing Technology (SRT) Одно устройство - много сервисов Одно устройство - много сервисов –Динамическая маршрутизация внутри VPN –Единые правила безопасности –Гибкая система лицензирования Простота инсталляции, Низкая TCOПростота инсталляции, Низкая TCO –Безопасность заложена в дизайне –Сервисы по потребностям VPN Услуги Услуги маршрутизации Аутентификация Firewall услуги QOS/ Управление П/П Клиентские политики Аудит/Сбор статистики IP услуги Contivity VPNы к удаленным филиалам Открытая Интернет маршрутизация Повсеместный защищенный доступ пользователей

Поддержка динамических протоколов – VRRP & OSPF Интернет OSPF и/или RIP работают внутри VPN туннелей VRRPMasterVRRPBackup OSPF Area 1 LAN ALAN B VPNшлюзы LAN CLAN D OSPF Area 2

Интернет WANContivityContivity Резервные критичные интерфейсы Гибкая, автоматическая процедура восстановления после сбоев для критических интерфейсов Гибкая, автоматическая процедура восстановления после сбоев для критических интерфейсов Позволяет определять любые критические интерфейсы Позволяет определять любые критические интерфейсы –Физические интерфейсы –Туннель(и) –Маршруты –Любые комбинация из вышеперечисленного Резервное соединение автоматически устанавливается в случае когда критический интерфейс перестанет быть активным Резервное соединение автоматически устанавливается в случае когда критический интерфейс перестанет быть активным Поддерживаются Dial UP интерфейсы Поддерживаются Dial UP интерфейсы Поддерживаются не-Dial IP интерфейсы, например. 2 nd Ethernet Поддерживаются не-Dial IP интерфейсы, например. 2 nd Ethernet Критичный интерфейс, Критичный туннель Критичные соединения Не критичное соединение VPN соединение через Интернет Резервное соединение через Dial up местного ISP Резервное соединение Аналоговый Модем Резервные критичные интерфейсы X X

Интернет Сервис Провайдер Филиалы Партнеров 56 KB/s Филиалы компании 256 KB/s Мобильные Партнеры 28 KB/s Мобильныесотрудники W/ client 128 KB/s Advanced Routing – BWM& Diff-Serv ADSL Профиль 3 Профиль 2 E1 Соединение E1 Соединение Cable Modem Contivity

VPN Услуги Услуги маршрутизации Аутентификация Firewall услуги QOS/ Управление П/П Клиентские политики Аудит/Сбор статистики IP услуги Линейка шлюзов безопасности IP услуг Contivity Contivity 1700 Contivity 2700 Contivity 4600 Малые/Средние организации 50 фиксированных туннелей 15 Mбит/с 3DES VPN 160 Мбит/с Firewall - $2,495 Средние организации Туннелей Мбит/с 3DES VPN 200 Мбит/с Firewall - $3,600 - $7K Сред/Большие Организации Туннелей Мбит/с 3DES VPN 300 Мбит/с Firewall - $7,300 – $20K Большие организации 5000 Фиксированных туннелей Мбит/с 3DES VPN 400 Мбит/с Firewall - $50K Семейство Contivity 1000 Contivity 1010 Малые учреждения 5-30 Туннелей Мбит/с 3DES VPN 100 Мбит/с Firewall - $999-$1,499 Единый VPN Клиент Contivity 1050 Contivity 1100 Contivity 600 Единое управление Contivity 251 ADSL Contivity 221 Домашние пользователи/ мобильные сотрудники 5 Туннелей 5 Мбит/с 3DES VPN $449-$599

Contivity VPN Клиент Используется 70 миллионов клиентов Contivity Поддержка ОС – ОС Microsoft: Win 95, 98, Me, NT, 2000, XP – Другие ОС: Macintosh, Linux, Solaris, HP-UX, IBM AIX – КПК: Palm, Pocket PC через MovianVPN клиенты от Certicom Защита на уровне конечного пользователя – TunnelGuard: Проверка пользователей на предмет политик и используемых приложений – API совместимость с ведущими персональными firewallами – Свободно распространяемый firewall доступен от Sygate Надежность –Архитектура виртуально адаптера позволяющая использовать любые приложения поверх VPN –VPN сессии могут оставаться активными на любой промежуток времени Простота использования – Соединение одним щелчком мыши – Поддержка Microsoft dialerа – Сплит туннелирование – Конфигурация загружается с Contivity – Возможность блокировки функций, чтобы пользователи не могли их поменять – Изменяемые баннеры/иконки

Contivity Файл сервер 3 Пользователь 2 Интернет Пользовательская аутентификация на Firewall Обеспечивает аутентификацию пользователей для доступа :Обеспечивает аутентификацию пользователей для доступа : –К трафику Офисных VPN туннелей –К трафику Интернет (не туннельному) FWUA позволяет повысить контроль над пользователямиFWUA позволяет повысить контроль над пользователями –Туннель защищен, но … –Кто проходит через туннель? –К каким ресурсам пользователи имеют доступ? Расширение к Contivity Stateful Firewall (требуется лицензия на CSF)Расширение к Contivity Stateful Firewall (требуется лицензия на CSF) Интуитивно понятный WEB портал для пользователей Интуитивно понятный WEB портал для пользователей Используется SSL соединения Используется SSL соединения Удаленный офис HTTPS FWUA FWUA Session Аутентификация для не туннельного трафика Contivity Сервер Аутентификации Пользователь 1 Файл сервер 1 Файл Сервер 2 Пользователь 3 Аутентификация для туннельного трафика FWUA Сессии HTTPS FWUA

Интернет Туннельный страж Как это работает… ТС Агент Агент Шаг 2 Посылка SRS агенту ПерсональныйМЭ Шаг 3 проверка приложений. Дополнительно API опрашивает Персональный МЭ на предмет последних обновлений политик безопасности Сервер управления МЭ Шаг 4 Запрет выхода в сеть организации снят, пользователь получает доступ VPN Клиент Шаг 1 создается VPN туннель (с запретом выхода в сеть организации) VPN Туннель Contivity

Contivity Stateful Firewall Полностью совместим с/VPN функциональностью Инспекция на базе правил Фильтрация по: –Источнику/Назначения адреса –Источнику/Назначения интерфейса –Приложениям Активируется лицензией Интуитивно понятный WEB интерфейс Интуитивно понятный WEB интерфейс Простота эксплуатации Простота эксплуатации Поддержка командной строки CLIПоддержка командной строки CLI Поддержка SSL управления Поддержка SSL управления

Инсталлировано более 1,000,000 Contivity шлюзов Установлено более 70,000,000 IPSec клиентов Установлено более 70,000,000 IPSec клиентов 7 из 8 именитых Сервис Провайдеров предлагают клиентам Contivity Более 200 из Top 500 предприятий используют Contivity Source: Synergy Research Group (Y2001) Лидерство Contivity 3 years of leadership Gartner Magic Quadrant Cisco Check Point Others NORTEL.. Ability to Execute Completeness of Vision Security Product of the YEAR Network Computing Testers Choice Award for VPN Solutions 2004

Более 50 млн. телефонных линий для предприятий Более 50 млн. Ethernet портов With over a century of delivering innovation and communication services to our customers, Nortel Networks maintains our emphasis on leveraging today's networks while providing cost-effective evolution strategies in over 150 countries.