พรบ  ICT  พ . ศ . 2550
Today agenda <ul><li>Impact to Enterprise Business </li></ul><ul><li>Computer Related Crime Detail </li></ul><ul><li>Cisco...
Impact to Enterprise Business <ul><li>ผลกระทบจาก พรบ .  ที่ องค์กรจะต้องปฏิบัติตาม </li></ul><ul><li>ปรับปรุงมาตราการรักษา...
Computer Related Crime Act   <ul><li>คำนิยามต่างๆที่ใช้ใน พรบ . </li></ul><ul><li>หมวดที่  1  ความผิดเกี่ยวกับคอมพิวเตอร์ ...
Computer Related Crime Act <ul><li>คำนิยาม   ( มาตรา  3 ) </li></ul><ul><li>ระบบคอมพิวเตอร์ </li></ul><ul><li>ข้อมูลคอมพิว...
Computer Related Crime Act <ul><li>หมวดที่   1   ความผิดเกี่ยวกับคอมพิวเตอร์ </li></ul><ul><li>การกระทำต่อคอมพิวเตอร์ </li...
Computer Related Crime Act   หมวดที่   1   ความผิดเกี่ยวกับคอมพิวเตอร์ การกระทำต่อคอมพิวเตอร์ มาตรา  5 Hacking  มาตรา  6  ...
Computer Related Crime Act   หมวดที่   1   ความผิดเกี่ยวกับคอมพิวเตอร์ การใช้คอมพิวเตอร์ในการกระทำผิด มาตรา  11  การรบกวนผ...
Computer Related Crime Act หมวดที่   2   พนักงานเจ้าหน้าที่ <ul><li>ผู้ให้บริการ </li></ul><ul><ul><li>มาตรา  26  </li></u...
Computer Related Crime Act   แผนภูมิสรุป   พรบ Source from MFEC
หลักเกณฑ์ในการเก็บรักษาข้อมูลการจราจรทางคอมพิวเตอร์ของผู้ให้บริการ <ul><li>ร่างประกาศกฏกระทรวง  ICT  เรื่องการเก็บ  Log </...
หลักเกณฑ์ในการเก็บรักษาข้อมูลการจราจรทางคอมพิวเตอร์ของผู้ให้บริการ <ul><li>วิธีการ   เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์โดย...
หลักเกณฑ์ในการเก็บรักษาข้อมูลการจราจรทางคอมพิวเตอร์ของผู้ให้บริการ <ul><li>การเทียบเวลา  ( Time Setting ) </li></ul><ul><l...
ตัวอย่างข้อมูลจราจรทางด้านคอมพิวเตอร์ ที่ใช้อุปกรณ์  Cisco   ในการทำงานและเก็บ เพื่อให้ถูกต้องและสอดคล้องกับ พรบ  ICT  พ ....
Agenda <ul><li>ข้อมูลจราจรทางด้านคอมพิวเตอร์ </li></ul><ul><li>ข้อมูลอินเตอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย </li></...
ข้อมูลจราจรทางด้านคอมพิวเตอร์
ตัวอย่างของ   Cisco IOS NetFlow  6500>sh mls NetFlow ip detail Displaying NetFlow entries in Supervisor Earl DstIP  SrcIP ...
ตัวอย่าง ข้อมูลจราจรทางคอมพิวเตอร์  (NetFlow)  บน  CS-MARS
ข้อมูลอินเตอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย
อุปกรณ์  Cisco  ที่รองรับ  TACACS+  หรือ  RADIUS <ul><li>Cisco Router product </li></ul><ul><li>Cisco LAN Switch product <...
รายละเอียดบางอย่างของ   AAA   log  บน  Cisco ACS
ตัวอย่าง   Accounting   log  ของ  Cisco ACS <ul><li>Sun Aug  6 03:59:28 2000 </li></ul><ul><li>Acct-Status-Type =  Start <...
ตัวอย่าง  log  ของ  NAC Appliance  ( User/Usage)
ตัวอย่าง  log  ของ  NAC Appliance  ( User/Usage)
ตัวอย่าง  log  ของ  Cisco Router IOS  Firewall Output log: *Mar 17 11:03:02.595: %IPNAT-6-NAT_CREATED: Created icmp 192.16...
ตัวอย่าง  log  ของ  Cisco PIX/ASA  Firewall <ul><li>%ASA-6-106100: access-list inside_access_in permitted udp inside/192.1...
ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์  (cont.)
ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์  (cont.)
ตัวอย่าง  log  ของ  IronPort C Series
ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการเว็บ
ข้อมูล  log  ของ  IronPort S-Series
ตัวอย่าง  log  ของ  IronPort S-Series
Cisco Solution Mapping
CRCA Mapping with Cisco Solution ตาม พรบ  (Optional) SMB Enterprise ISP All Data Traffic 3 DoS attack 10 Improper Content ...
CRCA Mapping with Cisco Solution ตามประกาศกฏกระทรวง  (Mandatory) SMB Enterprise ISP All CSC (Anti-X) Logging Media 8 (1) L...
Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File S...
Time Synchronization <ul><li>When dealing with network telemetry, it is important that dates and times are both accurate a...
CSA Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco  IPS 4200 CSA Web Servers Email Servers File Servers Access Co...
Cisco Identity Based Networking Service <ul><li>Cut-through proxy authentication on  Firewall </li></ul><ul><li>dot1x  aut...
Authenticated User Access  through the Firewall RADIUS/ TACACS+ RADIUS/ TACACS+ Authentication Methods ASA, FWSM Cisco IOS...
Cut Through-Proxy (HTTPS) Internal/ External  User IS Resource 1. The User Makes a Request to an IS Resource 2. The ASA Fi...
IEEE 802.1x  Authentication ACS - AAA Server 2 3 802.1x is a client-server-based access control and authentication protoco...
NAC Framework Architecture AAA Server Vendor Servers Hosts Attempting Network Access Network Access Devices (NAD) Policy S...
Cisco NAC Appliance First, establish ACCESS POLICIES.  Then: NO COMPLIANCE = NO NETWORK ACCESS Authenticate & Authorize <u...
NAC Appliance Use Cases INTERNET Endpoint Compliance Network access only for compliant devices Guest Compliance Restricted...
Legal Disclaimer – Acceptable Use Policy <ul><li>Mandate acceptance of an Acceptable Use Policy before access is allowed <...
Logging Levels and Events ACL logging, AAA events, DHCP activity, TCP/UDP connection and teardown Informational 6 Debug ev...
A Typical Log File <ul><li>%ASA-6-106100: access-list inside_access_in permitted udp inside/192.168.1.200(1563) -> outside...
Capturing Traffic Information <ul><li>Accounting or syslog from gateway Firewall </li></ul><ul><li>Netflow from Router or ...
Collect traffic information with  NetFlow <ul><li>Packet capture is like a  wiretap </li></ul><ul><li>NetFlow is like a  p...
What Constitutes a Flow?  <ul><li>Inspect a packet’s 7 key fields and identify the values  </li></ul><ul><li>If the set of...
NetFlow Key Fields Creating Flow Records  Inspect  Packet <ul><li>Inspect packet for key field values  </li></ul><ul><li>C...
Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File S...
Cisco Security MARS Monitoring for Superior Visibility <ul><li>Cisco Security MARS answers the question WHAT, WHEN and HOW...
Cisco Security Monitoring, Analysis, and Response System (CS-MARS) <ul><li>MARS provides multi-vendor security event monit...
Cisco Security MARS  Report Grouping for Compliance Reports Collected information can be used to generate specific complia...
Retrieve Raw Messages from  CS-MARS
Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File S...
Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File S...
CSA Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers Fi...
IronPort Perimeter Security Appliances Internet EMAIL Security Appliance WEB Security Appliance Security MANAGEMENT Applia...
Product Consolidation at  the Network Perimeter   For Security, Reliability and Lower Maintenance Anti-Spam Anti-Virus Pol...
Innovative Security Platform <ul><li>Layer 4 Traffic Monitor  for network layer inspection of all traffic, at wire speed <...
Low Total Cost of Ownership Scalable, Extensible Solution Proxy Yesterday Users Firewall Anti-Virus /  Anti-Spyware ICAP I...
Intelligent Message Hygiene Effective Removal of Unsolicited Email <ul><li>Highly Effective Anti-Spam Capabilities </li></...
Advanced Content Filtering URL / Content Filtering and Anti-Phishing <ul><li>Blocks inappropriate and non-work-related con...
URL / Content Filtering and Anti-Phishing Comprehensive Content and Message Compliance <ul><li>URL Filtering </li></ul><ul...
Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module Web Servers Email Servers File Serve...
Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File S...
ISR Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers Fi...
Summary <ul><li>ผลกระทบจาก พรบ .  ที่ องค์กรจะต้องปฏิบัติตาม </li></ul><ul><li>ปรับปรุงมาตราการรักษาความปลอดภัยขององค์กร <...
Q and A
 
Upcoming SlideShare
Loading in …5
×

Before You Begin: Assign Information Classification

2,717 views
2,596 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,717
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
27
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • 24 left, 1:45PM - 3:00PM 00:00:00 - 01:15:00, RD
  • 27 left, 9:00AM - 9:30AM 00:00:00 - 00:30:00, PQ
  • Day-zero virus and worm invasions continue to disrupt business, causing downtime and continual patching. Cisco Network Admission Control enables organizations to reduce the risk that worms and viruses will disrupt enterprise operations. This is done by preventing vulnerable hosts from obtaining and retaining normal network access. NAC ensures all hosts comply with the latest corporate anti-virus and operating system patch policies prior to obtaining normal network access. Vulnerable and non-compliant hosts may be isolated and given reduced network access until they are patched and secured, thus preventing them from being the targets of or the sources for worm and virus infections. Cisco Network Admission Control is a unique approach to prevent vulnerable and non-compliant hosts from impacting enterprise resilience, and it enables customers to leverage their existing network and AV infrastructure. Key unique benefits NAC provides include: Comprehensive span of control – all access methods hosts use to connect to the network are covered – campus switching, wireless, router WAN links, IPsec remote access, and dial-up Multi-vendor solution – NAC is a Cisco-led, multi-vendor collaboration with the leading anti-virus vendors Network Associates, Symantec, and Trend Micro Extension of existing technologies and standards – NAC extends the use of existing communication protocols and security technologies, such as Extensible Authentication Protocol (EAP), 802.1X, and RADIUS services Leverage network and anti-virus investment – NAC ties together existing investments in the network infrastructure and anti-virus technology to provide admission control facilities There are four components of the NAC system, 3 are illustrated in the figure. Endpoint Security Software (AV, Cisco Security Agent, Personal Firewall) and the Cisco Trust Agent – The Cisco Trust Agent collects security state information from multiple security software clients, such as Anti-Virus clients, and communicates this information to the connected Cisco network where access control decisions are enforced. Application and operating system status, such as anti-virus and operating system patch levels or credentials, can be used to determine the appropriate network admission decision. Cisco and NAC co-sponsors will integrate the Cisco Trust Agent with their security software clients. Network Access Devices – Network devices which enforce admission control policy include routers, switches, wireless access points, and security appliances. These devices demand host credentials and relay this information to policy servers where network admission control decisions are made. Based on customer-defined policy, the network will enforce the appropriate admission control decision: permit, deny, quarantine, restrict. Policy Server – The policy server is responsible for evaluating the endpoint security information relayed from network devices and determining the appropriate access policy to apply. Cisco Secure ACS server, an Authentication, Authorization, and Accounting RADIUS server, is the foundation of the policy server system. It may work in concert with NAC co-sponsor application servers that provide deeper credential validation capabilities, such as anti-virus policy servers. Management System – Cisco management solutions will provision the appropriate Cisco NAC elements and provide monitoring and reporting operational tools. CiscoWorks VPN/Security Management Solution (CiscoWorks VMS) and CiscoWorks Security Information Manager Solution (CiscoWorks SIMS) form the basis for this capability. Cisco’s NAC co-sponsors will provide management solutions for their endpoint security software. The key characteristics of NAC are: All methods of connecting to the network are covered: interoffice through gateways, campus switches, wireless APs, remote access via IPsec VPN and dial-in. All hosts accessing the network may be validated. The Cisco Trust Agent enables administrators to obtain information about the operating system and applications on the host to be used for the admission control decision (such as AV &amp; OS patch information). Hosts that do not have CTA installed, called non-responsive devices, may also have their privileges set based initially in IP address and later by integration with scanning, fingerprinting, and links to inventory tracking technologies. The basis for NAC is the (re)use of existing investments in Cisco routers, switches, and security appliances, as well as corporate investments in Antivirus technology. An overlay system is not required to perform admission control. The architecture adopted by NAC allows for the integration of a wide variety of application and vendor support. Initially it ties to the leading AV vendor’s products as Cisco’s own CSA (for host OS credentials and to confirm CSA is installed). Over time this set of applications will expand. Quarantining non-compliant hosts allows the staff to bring those system up to compliance before granting normal network access. This allows IT to effectively manage risk. NAC, when adopted by an organization, will need to have a span of control that covers the entire network, not just portions of it. By leveraging centralized AAA facilities, this type of scalability is possible.
  • CS-MARS process all kind of information that comes in in the form of firewall logs, server/host logs, router logs, switch logs, IDS logs and Netflow. Most information comes in via syslog and snmp traps. Majority of the recognized events are parsed and correlated. Unknown events are logged into the database. The main message of this slide is that MARS collects a wide variety and large quantity of information. This information is used primarily for real-time monitoring and threat mitigation. As a by-product of this functionality, MARS provides good visibility into network activity – and hence is extremely useful for organizations looking to archive and report on this data.
  • As such, MARS is designed to take advantage of the data collected to provide some basic pre-packaged compliance reports. The information is the same information that you’re used to seeing – for example, these source IP addresses have attempted to access this destination IP address. It may not mean a lot, but put into the reporting groups, the admin can now see that the destination IP address is a confidential financial server, and the source IP addresses are not authorized IP addresses to access the server. All of a sudden, it’s real information in the reports.
  • Provides opty to discuss the range of services and products that IronPort offers. Network security has moved beyond simple packet filters, and stateful firewalls to truly understand the application. From the X1000, designed for demanding ISP environments to the C100 for companies starting at five users. ESA: Protects port 25. Spam, Viruses, Outbreaks, Phishing and Spoofing inbound. Policy enforcement and encryption outbound. WSA: Protects port 80. Spyware and malware inbound. Acceptable use policy outbound. SMA: ties it all together. Today it acts as a centralized quarantine, in the future it is the centralized reporting and tracking device across both platforms.
  • Many customers come with the problem on the left side of this slide. IronPort solve it with the infrastructure on the right.
  • The Layer 4 Traffic Monitor is able to see &amp;quot;phone home&amp;quot; traffic from infected PCs when they contact servers on the Internet to upload ill-gotten data or request new programs and instructions. This happens on ports other than HTTP port 80, which are not being proxied. It primarily monitors and blocks outbound spyware communications. The Web Proxy is monitoring traffic in both directions, but is primarily used to monitor or block inbound spyware.
  • - URL database constantly updated - Exclusion list can be created for allowed sites - Phishing sites are constantly changing - yesterday&apos;s phishing site may not be a phishing site anymore - Multiple layers of defense against Phishing - anti-spam may tag the email as SPAM, anti-phishing database blocks access attempts to phishing sites Play up the TrendLabs connection here, as they&apos;ve got the folks watching the world for Phishing sites. They update their database pretty regularly - we found some old Phishing sites that the TMEs used in the SEVT demo which were no longer Phishing sites. TrendLabs had detected that and removed them from the list.
  • Before You Begin: Assign Information Classification

    1. 1. พรบ ICT พ . ศ . 2550
    2. 2. Today agenda <ul><li>Impact to Enterprise Business </li></ul><ul><li>Computer Related Crime Detail </li></ul><ul><li>Cisco Solution </li></ul><ul><li>Summary </li></ul>
    3. 3. Impact to Enterprise Business <ul><li>ผลกระทบจาก พรบ . ที่ องค์กรจะต้องปฏิบัติตาม </li></ul><ul><li>ปรับปรุงมาตราการรักษาความปลอดภัยขององค์กร </li></ul><ul><ul><li>ป้องกันการโจมตีจากภายนอกองค์กร </li></ul></ul><ul><ul><li>ป้องกันคนภายในองค์กรออกไปโจมตีคนภายนอก </li></ul></ul><ul><ul><li>แสดงให้เห็นว่าองค์กรให้ความใส่ใจในการป้องกันการกระทำผิดที่อาจเกิดขึ้น และมีมาตรการป้องกันที่เด่นชัด </li></ul></ul><ul><li>ปรับปรุงมาตราการการเก็บรักษา Log file ให้เป็นไปตามที่ พรบ . กำหนด </li></ul><ul><ul><li>ป้องกันความผิดจากการไม่ปฏิบัติตาม พรบ . </li></ul></ul><ul><ul><li>เพื่อเป็นหลักฐานที่น่าเชื่อถือในการเอาผิดผู้กระทำผิดต่อองค์กร </li></ul></ul>
    4. 4. Computer Related Crime Act <ul><li>คำนิยามต่างๆที่ใช้ใน พรบ . </li></ul><ul><li>หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ </li></ul><ul><li>หมวดที่ 2 พนักงานเจ้าหน้าที่ </li></ul>โครงสร้างของ พรบ . ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์
    5. 5. Computer Related Crime Act <ul><li>คำนิยาม ( มาตรา 3 ) </li></ul><ul><li>ระบบคอมพิวเตอร์ </li></ul><ul><li>ข้อมูลคอมพิวเตอร์ </li></ul><ul><li>ข้อมูลจราจรทางคอมพิวเตอร์ </li></ul><ul><li>ผู้ให้บริการ </li></ul><ul><ul><li>ผู้ให้บริการแก่ผู้อื่นในการเข้าสู่อินเตอร์เน็ต </li></ul></ul><ul><ul><li>ผู้ให้บริการเก็บรักษาคอมพิวเตอร์เพื่อประโยชน์กับบุคคลอื่น </li></ul></ul><ul><li>ผู้ใช้บริการ </li></ul>
    6. 6. Computer Related Crime Act <ul><li>หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ </li></ul><ul><li>การกระทำต่อคอมพิวเตอร์ </li></ul><ul><ul><li>มาตรา 5, 6, 7, 8, 9, 10, 12, </li></ul></ul><ul><li>การใช้คอมพิวเตอร์ในการกระทำผิด </li></ul><ul><ul><li>มาตรา 11,13,14,15,16 </li></ul></ul>
    7. 7. Computer Related Crime Act หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ การกระทำต่อคอมพิวเตอร์ มาตรา 5 Hacking มาตรา 6 Unauthorized Access to Computer system มาตรา 7 Unauthorized Access to Computer data มาตรา 8 Sniff Information data มาตรา 9 ทำลาย แก้ไข เปลี่ยนแปลง ข้อมูลคอมพิวเตอร์ มาตรา 10 Dos attack มาตรา 12 การกระทำในมาตรา 9 และ 10 ที่ก่อให้เกิดผลกระทบร้ายแรง
    8. 8. Computer Related Crime Act หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ การใช้คอมพิวเตอร์ในการกระทำผิด มาตรา 11 การรบกวนผู้อื่นโดยการส่ง Spam mail มาตรา 13 จัดจำหน่าย เผยแพร่ tools ที่ใช้ในการกระทำผิด มาตรา 14 ปลอมแปลงข้อมูล เผยแพร่เนื้อหาไม่เหมาะสม รวมทั้งการส่งต่อ มาตรา 15 ความรับผิดชอบของผู้ให้บริการ มาตรา 16 การตัดต่อภาพที่ทำให้ผู้อื่นเสียหายและ เผยแพร่ต่อสาธารณชน
    9. 9. Computer Related Crime Act หมวดที่ 2 พนักงานเจ้าหน้าที่ <ul><li>ผู้ให้บริการ </li></ul><ul><ul><li>มาตรา 26 </li></ul></ul><ul><ul><li>ผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน แต่เจ้าหน้าที่พนักงานสามารถร้องขอให้ผู้ให้บริการเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน 90 วันได้ แต่ไม่เกิน 1 ปี </li></ul></ul>
    10. 10. Computer Related Crime Act แผนภูมิสรุป พรบ Source from MFEC
    11. 11. หลักเกณฑ์ในการเก็บรักษาข้อมูลการจราจรทางคอมพิวเตอร์ของผู้ให้บริการ <ul><li>ร่างประกาศกฏกระทรวง ICT เรื่องการเก็บ Log </li></ul><ul><li>ผู้ให้บริการทั่วไปแบ่งได้เป็น 4 ประเภท </li></ul><ul><ul><li>ผู้ประกอบกิจการโทรคมนาคม </li></ul></ul><ul><ul><li>ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ได้แก่ ISP, หน่วยงานราชการ , บริษัท , สถาบันการศึกษา , ผู้ให้บริการในการเข้าถึงระบบเครือข่ายในหอพัก ร้านอาหาร โรงแรม </li></ul></ul><ul><ul><li>ผู้ให้เช่าระบบคอมพิวเตอร์ Hosting service provider </li></ul></ul><ul><ul><li>ผู้ให้บริการร้าน internet </li></ul></ul><ul><li>ผู้ให้บริการในการเก็บรักษาข้อมูล </li></ul><ul><ul><li>ผู้ให้บริการข้อมูลผ่าน Application </li></ul></ul>
    12. 12. หลักเกณฑ์ในการเก็บรักษาข้อมูลการจราจรทางคอมพิวเตอร์ของผู้ให้บริการ <ul><li>วิธีการ เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์โดยการใช้วิธีการที่มั่นคงปลอดภัย </li></ul><ul><li>Media Integrity และระบุตัวบุคคล ( Identification ) ที่เข้าถึงสื่อดังกล่าวได้ </li></ul><ul><li>ไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ได้ เช่น Centralized Log Server or Data Archive or Data Hashing </li></ul><ul><li>Authentication บน Proxy Server, (NAT) หรือบริการ free internet หรือ บริการ 1222 </li></ul>
    13. 13. หลักเกณฑ์ในการเก็บรักษาข้อมูลการจราจรทางคอมพิวเตอร์ของผู้ให้บริการ <ul><li>การเทียบเวลา ( Time Setting ) </li></ul><ul><li>ผู้ให้บริการต้องดำเนินการเทียบเวลาประเทศไทยให้ตรงกับเครื่องให้บริการเวลา ( Time Server ) ที่เปิดให้บริการสาธารณะกับเวลาอ้างอิง Stratum 0 โดย ผิดพลาดไม่เกิน 10 ms </li></ul>
    14. 14. ตัวอย่างข้อมูลจราจรทางด้านคอมพิวเตอร์ ที่ใช้อุปกรณ์ Cisco ในการทำงานและเก็บ เพื่อให้ถูกต้องและสอดคล้องกับ พรบ ICT พ . ศ . 2550
    15. 15. Agenda <ul><li>ข้อมูลจราจรทางด้านคอมพิวเตอร์ </li></ul><ul><li>ข้อมูลอินเตอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย </li></ul><ul><li>ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์ </li></ul><ul><li>ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการเว็บ </li></ul>
    16. 16. ข้อมูลจราจรทางด้านคอมพิวเตอร์
    17. 17. ตัวอย่างของ Cisco IOS NetFlow 6500>sh mls NetFlow ip detail Displaying NetFlow entries in Supervisor Earl DstIP SrcIP Prot:SrcPort:DstPort Src i/f:AdjPtr -------------------------------------------------------------------- Pkts Bytes Age LastSeen Attributes --------------------------------------------------- QoS Police Count Threshold Leak Drop Bucket Use-Tbl Use-Enable -----------+------------+---------+-----------+----+-------+-------+----------+ 172.87.19.217 171.70.154.90 tcp :10112 :www 1023: 0 3 144 10 00:07:11 L3 - Dynamic 0x0 0 0 0 NO 48 NO NO 171.101.24.123 171.69.89.39 tcp :1303 :139 400 : 0 0 0 39 00:06:42 L3 - Dynamic 0x0 0 0 0 NO 48 NO NO 202.56.200.22 172.19.61.10 icmp:0 :0 1028: 0 26 2028 383 00:07:05 L3 - Dynamic 0x0 0 0 0 NO 78 NO NO
    18. 18. ตัวอย่าง ข้อมูลจราจรทางคอมพิวเตอร์ (NetFlow) บน CS-MARS
    19. 19. ข้อมูลอินเตอร์เน็ตที่เกิดจากการเข้าถึงระบบเครือข่าย
    20. 20. อุปกรณ์ Cisco ที่รองรับ TACACS+ หรือ RADIUS <ul><li>Cisco Router product </li></ul><ul><li>Cisco LAN Switch product </li></ul><ul><li>Cisco Security product </li></ul><ul><li>Cisco WLAN product </li></ul><ul><li>Cisco Storage product </li></ul><ul><li>Etc. </li></ul>
    21. 21. รายละเอียดบางอย่างของ AAA log บน Cisco ACS
    22. 22. ตัวอย่าง Accounting log ของ Cisco ACS <ul><li>Sun Aug 6 03:59:28 2000 </li></ul><ul><li>Acct-Status-Type = Start </li></ul><ul><li>NAS-IP-Address = 172.18.124.157 </li></ul><ul><li>Login-IP-Host = 172.18.124.114 </li></ul><ul><li>Login-TCP-Port = 23 </li></ul><ul><li>Acct-Session-Id = 0x00000004 </li></ul><ul><li>User-Name = cse </li></ul><ul><li>Vendor-Specific = Source-IP=172.18.124.114 </li></ul><ul><li>Vendor-Specific = Source-Port=35937 </li></ul><ul><li>Vendor-Specific = Destination-IP=99.99.99.2 </li></ul><ul><li>Vendor-Specific = Destination-Port=23 </li></ul><ul><li>Sun Aug 6 03:59:32 2000 </li></ul><ul><li>Acct-Status-Type = Stop </li></ul><ul><li>NAS-IP-Address = 172.18.124.157 </li></ul><ul><li>Login-IP-Host = 172.18.124.114 </li></ul><ul><li>Login-TCP-Port = 23 </li></ul><ul><li>Acct-Session-Id = 0x00000004 </li></ul><ul><li>Username = cse </li></ul><ul><li>Acct-Session-Time = 4 </li></ul><ul><li>Acct-Input-Octets = 101 </li></ul><ul><li>Acct-Output-Octets = 143 </li></ul><ul><li>Vendor-Specific = Source-IP=172.18.124.114 </li></ul><ul><li>Vendor-Specific = Source-Port=35937 </li></ul><ul><li>Vendor-Specific = Destination-IP=99.99.99.2 </li></ul><ul><li>Vendor-Specific = Destination-Port=23 </li></ul>User ID, Source, destination Byte count and session duration
    23. 23. ตัวอย่าง log ของ NAC Appliance ( User/Usage)
    24. 24. ตัวอย่าง log ของ NAC Appliance ( User/Usage)
    25. 25. ตัวอย่าง log ของ Cisco Router IOS Firewall Output log: *Mar 17 11:03:02.595: %IPNAT-6-NAT_CREATED: Created icmp 192.168.2.1:5 10.68.116.12:5 64.104.66.123:5 64.104.66.123:5 *Mar 17 11:03:08.899: %IPNAT-6-NAT_CREATED: Created icmp 192.168.1.1:6 10.68.116.12:6 10.68.116.1:6 10.68.116.1:6 *Mar 17 11:03:16.191: %IPNAT-6-NAT_DELETED: Deleted icmp 192.168.2.1:4 10.68.116.12:4 64.104.66.123:4 64.104.66.123:4 *Mar 17 11:03:27.679: %IPNAT-6-NAT_CREATED: Created icmp 192.168.2.1:7 10.68.116.12:7 64.104.66.97:7 64.104.66.97:7 *Mar 17 11:03:55.507: %IPNAT-6-NAT_CREATED: Created tcp 192.168.1.1:24714 10.68.116.12:24714 10.68.116.1:23 10.68.116.1:23 *Mar 17 11:04:02.783: %IPNAT-6-NAT_DELETED: Deleted icmp 192.168.2.1:5 10.68.116.12:5 64.104.66.123:5 64.104.66.123:5 *Mar 17 11:04:08.927: %IPNAT-6-NAT_DELETED: Deleted icmp 192.168.1.1:6 10.68.116.12:6 10.68.116.1:6 10.68.116.1:6
    26. 26. ตัวอย่าง log ของ Cisco PIX/ASA Firewall <ul><li>%ASA-6-106100: access-list inside_access_in permitted udp inside/192.168.1.200(1563) -> outside/10.16.151.94(1029) hit-cnt 1 first hit [0xa925365e, 0x0] </li></ul><ul><li>%ASA-6-305011: Built dynamic UDP translation from inside:192.168.1.200/1563 to outside:142.77.67.190/1644 </li></ul><ul><li>%ASA-6-302015: Built outbound UDP connection 3602 for outside:10.16.151.94/1029 (10.16.151.94/1029) to inside:192.168.1.200/1563 (142.77.67.190/1644) </li></ul><ul><li>%ASA-6-302016: Teardown UDP connection 3544 for outside:171.68.10.143/1029 to inside:192.168.1.200/1530 duration 0:02:02 bytes 0 </li></ul><ul><li>%ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.200/1558 to outside:142.77.67.190/2470 duration 0:00:30 </li></ul><ul><li>%ASA-6-106100: access-list inside_access_in permitted udp inside/192.168.1.200(1563) -> outside/171.70.156.234(1029) hit-cnt 1 first hit [0xa925365e, 0x0] </li></ul><ul><li>%ASA-6-302015: Built outbound UDP connection 3603 for outside:171.70.156.234/1029 (171.70.156.234/1029) to inside:192.168.1.200/1563 (142.77.67.190/1644) </li></ul><ul><li>%ASA-6-305012: Teardown dynamic UDP translation from inside:192.168.1.200/1520 to outside:142.77.67.190/1638 duration 0:02:35 </li></ul><ul><li>%ASA-6-302016: Teardown UDP connection 3545 for outside:171.70.156.234/1029 to inside:192.168.1.200/1530 duration 0:02:04 bytes 0 </li></ul><ul><li>%ASA-6-106100: access-list inside_access_in permitted tcp inside/192.168.1.200(1564) -> outside/171.70.156.234(1029) hit-cnt 1 first hit [0xa925365e, 0x0] </li></ul><ul><li>%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.200/1564 to outside:142.77.67.190/2475 </li></ul><ul><li>%ASA-6-302013: Built outbound TCP connection 3604 for outside:171.70.156.234/1029 (171.70.156.234/1029) to inside:192.168.1.200/1564 (142.77.67.190/2475) </li></ul><ul><li>%ASA-6-302014: Teardown TCP connection 3596 for outside:171.70.156.234/1029 to inside:192.168.1.200/1559 duration 0:00:30 bytes 0 SYN Timeout </li></ul><ul><li>%ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.200/1549 to outside:142.77.67.190/2462 duration 0:01:00 </li></ul>Built and Teardown connection log
    27. 27. ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์ (cont.)
    28. 28. ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์ (cont.)
    29. 29. ตัวอย่าง log ของ IronPort C Series
    30. 30. ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการเว็บ
    31. 31. ข้อมูล log ของ IronPort S-Series
    32. 32. ตัวอย่าง log ของ IronPort S-Series
    33. 33. Cisco Solution Mapping
    34. 34. CRCA Mapping with Cisco Solution ตาม พรบ (Optional) SMB Enterprise ISP All Data Traffic 3 DoS attack 10 Improper Content 14 – 16 CSC (Anti-X) Spam mail, web 11                             Hacking, Malware 9                             Eavesdrop 8                             Unauthorized access 5-7 IronPort Web IronPort Mail CS-MARS CSM VPN CSA IPS/IDS Firewall NAC ISG /SCE AS ACS NTP (all ) Netflow (all) Description Item
    35. 35. CRCA Mapping with Cisco Solution ตามประกาศกฏกระทรวง (Mandatory) SMB Enterprise ISP All CSC (Anti-X) Logging Media 8 (1) Logging System 8(2)                             Time Sync 9                             FTP /Web Log                               Email Log                               Internet Access Log 7(2) IronPort Web IronPort Mail CS-MARS CSM VPN CSA IPS/IDS Firewall NAC ISG /SCE AS ACS NTP (all) Netflow (all) Description Item
    36. 36. Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 26/8(9) - Time Synchronization NAC Appliance CSM NAC , CSA IronPort Web Security IronPort Email Security CSA ASA w/ CSC ISR <ul><li>Synchronize clock to a trusted public NTP server </li></ul><ul><li>Enable NTP on all devices </li></ul>
    37. 37. Time Synchronization <ul><li>When dealing with network telemetry, it is important that dates and times are both accurate and synchronized </li></ul><ul><li>NTP is supported in all Cisco gear, as well as in many if not all operating systems </li></ul><ul><li>NTP is crucial for: </li></ul><ul><ul><li>Accurate logging </li></ul></ul><ul><ul><li>Validating certificates </li></ul></ul><ul><ul><li>Kerberos tickets </li></ul></ul>
    38. 38. CSA Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco IPS 4200 CSA Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 26/7(2) - Internet Access Log NAC Appliance CSM NAC , CSA IronPort Web Security IronPort Email Security ASA w/ CSC ISR 2. Collect traffic log from gateway firewall or Netflow 1. Authenticate users through firewall or on NAC Appliance 3. Export logs or netflow to CS-MARS for analysis and archive
    39. 39. Cisco Identity Based Networking Service <ul><li>Cut-through proxy authentication on Firewall </li></ul><ul><li>dot1x authentication using network infrastructure </li></ul><ul><li>NAC Appliance for authentication and endpoint policy control </li></ul><ul><li>Web authentication for guest access with Wireless Controller </li></ul>
    40. 40. Authenticated User Access through the Firewall RADIUS/ TACACS+ RADIUS/ TACACS+ Authentication Methods ASA, FWSM Cisco IOS FW Platform FTP, Telnet, HTTP, HTTPS FTP, Telnet, HTTP, HTTPS Access Methods Cut Thru Proxy Authentication Proxy
    41. 41. Cut Through-Proxy (HTTPS) Internal/ External User IS Resource 1. The User Makes a Request to an IS Resource 2. The ASA Firewall Intercepts the Connection 3. At the Application Layer, the ASA Firewall Prompts the User for a Username and Password; It Then Authenticates the User Against a RADIUS or TACACS+ Server and Checks the Security Policy (Local DB ) 5. The ASA Firewall Directly Connects the Internal or External User to the IS Resource via ASA; Communication Then Takes Place at a Lower Level of the OSI Model 4. The ASA Firewall Initiates a Connection from the ASA Firewall to the Destination IS Resource Cisco Secure RADIUS 3. PIX Firewall Username and Password Required Enter username for CCO at www.com User Name: Password: OK Cancel student [email_address]
    42. 42. IEEE 802.1x Authentication ACS - AAA Server 2 3 802.1x is a client-server-based access control and authentication protocol that restricts unauthorized devices from connecting to a LAN through publicly accessible ports 4 1 1 User activates link (ie: turns on the PC) 2 Switch requests authentication server if user is authorized to access LAN 3 4 Authentication server responds with authority access Switch opens controlled port (if authorized) for user to access LAN
    43. 43. NAC Framework Architecture AAA Server Vendor Servers Hosts Attempting Network Access Network Access Devices (NAD) Policy Server Decision Points Credentials Credentials EAP/UDP, EAP/802.1x RADIUS Credentials HTTPS Access Rights Notification dot1x 1 Comply? Enforcement 6 4 2 2a 3 5 <ul><li>Ubiquitous solution for all connectivity methods </li></ul><ul><li>Embedded intelligence in NAC-capable Cisco infrastructure </li></ul><ul><li>Architectural extension of RADIUS solution </li></ul><ul><li>Leverage existing network and security management software </li></ul><ul><li>802.1x integration with Meetinghouse Supplicant </li></ul>
    44. 44. Cisco NAC Appliance First, establish ACCESS POLICIES. Then: NO COMPLIANCE = NO NETWORK ACCESS Authenticate & Authorize <ul><li>Enforces authorization policies and privileges </li></ul><ul><li>Supports multiple user roles </li></ul>Update & Remediate <ul><li>Network-based tools for vulnerability and threat remediation </li></ul><ul><li>Help-desk integration </li></ul>Quarantine & Enforce <ul><li>Isolate non-compliant devices from rest of network </li></ul><ul><li>MAC and IP-based quarantine effective at a per-user level </li></ul>Scan & Evaluate <ul><li>Agent scan for required versions of hotfixes, AV, etc </li></ul><ul><li>Network scan for virus and worm infections and port vulnerabilities </li></ul>
    45. 45. NAC Appliance Use Cases INTERNET Endpoint Compliance Network access only for compliant devices Guest Compliance Restricted internet access only for guest users IPSec 802.1Q CAMPUS BUILDING 1 Wireless Compliance Secured network access only for compliant wireless devices WIRELESS BUILDING 2 CONFERENCE ROOM IN BUILDING 3 VPN User Compliance Intranet access only for compliant remote access users Intranet Access Compliance Ensure hosts are hardened prior to connecting to ERP, HRIS, BPM, etc.
    46. 46. Legal Disclaimer – Acceptable Use Policy <ul><li>Mandate acceptance of an Acceptable Use Policy before access is allowed </li></ul><ul><li>Different Acceptable Use Policy (AUP) per User/Group </li></ul>
    47. 47. Logging Levels and Events ACL logging, AAA events, DHCP activity, TCP/UDP connection and teardown Informational 6 Debug events, TCP/UDP request handling, IPSEC and SSL VPN connection information Debugging 7 Denied conns due to ACL, IDS events, fragmentation, OSPF errors Warnings 4 Not used, only for RFC compliance Emergencies 0 User and Session activity and firewall configuration changes Notifications 5 AAA failures, CPU/memory issues, routing issues, some VPN issues Errors 3 Denied packets/connections Critical 2 Mostly failover-related events Alerts 1 Event Messages Alert Log Level
    48. 48. A Typical Log File <ul><li>%ASA-6-106100: access-list inside_access_in permitted udp inside/192.168.1.200(1563) -> outside/10.16.151.94(1029) hit-cnt 1 first hit [0xa925365e, 0x0] </li></ul><ul><li>%ASA-6-305011: Built dynamic UDP translation from inside:192.168.1.200/1563 to outside:142.77.67.190/1644 </li></ul><ul><li>%ASA-6-302015: Built outbound UDP connection 3602 for outside:10.16.151.94/1029 (10.16.151.94/1029) to inside:192.168.1.200/1563 (142.77.67.190/1644) </li></ul><ul><li>%ASA-6-302016: Teardown UDP connection 3544 for outside:171.68.10.143/1029 to inside:192.168.1.200/1530 duration 0:02:02 bytes 0 </li></ul><ul><li>%ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.200/1558 to outside:142.77.67.190/2470 duration 0:00:30 </li></ul><ul><li>%ASA-6-106100: access-list inside_access_in permitted udp inside/192.168.1.200(1563) -> outside/171.70.156.234(1029) hit-cnt 1 first hit [0xa925365e, 0x0] </li></ul><ul><li>%ASA-6-302015: Built outbound UDP connection 3603 for outside:171.70.156.234/1029 (171.70.156.234/1029) to inside:192.168.1.200/1563 (142.77.67.190/1644) </li></ul><ul><li>%ASA-6-305012: Teardown dynamic UDP translation from inside:192.168.1.200/1520 to outside:142.77.67.190/1638 duration 0:02:35 </li></ul><ul><li>%ASA-6-302016: Teardown UDP connection 3545 for outside:171.70.156.234/1029 to inside:192.168.1.200/1530 duration 0:02:04 bytes 0 </li></ul><ul><li>%ASA-6-106100: access-list inside_access_in permitted tcp inside/192.168.1.200(1564) -> outside/171.70.156.234(1029) hit-cnt 1 first hit [0xa925365e, 0x0] </li></ul><ul><li>%ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.200/1564 to outside:142.77.67.190/2475 </li></ul><ul><li>%ASA-6-302013: Built outbound TCP connection 3604 for outside:171.70.156.234/1029 (171.70.156.234/1029) to inside:192.168.1.200/1564 (142.77.67.190/2475) </li></ul><ul><li>%ASA-6-302014: Teardown TCP connection 3596 for outside:171.70.156.234/1029 to inside:192.168.1.200/1559 duration 0:00:30 bytes 0 SYN Timeout </li></ul><ul><li>%ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.200/1549 to outside:142.77.67.190/2462 duration 0:01:00 </li></ul>Built and Teardown connection log
    49. 49. Capturing Traffic Information <ul><li>Accounting or syslog from gateway Firewall </li></ul><ul><li>Netflow from Router or L3 Switch </li></ul>
    50. 50. Collect traffic information with NetFlow <ul><li>Packet capture is like a wiretap </li></ul><ul><li>NetFlow is like a phone bill </li></ul><ul><li>This level of granularity allows NetFlow to scale for very large amounts of traffic </li></ul><ul><ul><li>We can learn a lot from studying the phone bill! </li></ul></ul><ul><ul><li>Who’s talking to whom, over what protocols and ports, for how long, at what speed, for what duration, etc. </li></ul></ul><ul><ul><li>NetFlow is a form of telemetry pushed from the routers/switches — each one can be a sensor </li></ul></ul>
    51. 51. What Constitutes a Flow? <ul><li>Inspect a packet’s 7 key fields and identify the values </li></ul><ul><li>If the set of key field values is unique, create a new flow record or cache entry </li></ul><ul><li>When the flow terminates, export the flow to the collection/analysis system </li></ul>NetFlow Export Packets Reporting NetFlow Key Fields 1 2 3
    52. 52. NetFlow Key Fields Creating Flow Records Inspect Packet <ul><li>Inspect packet for key field values </li></ul><ul><li>Compare set of values to NetFlow cache </li></ul><ul><li>If the set of values are unique create a flow in cache </li></ul><ul><li>Inspect the next packet </li></ul>Inspect Packet Add new flow to the NetFlow Cache Create Flow Record in the Cache Example 1 Example 2 Input Interface TOS Byte Layer 3 Protocol Destination port Source port Destination IP Source IP Key Fields Packet 1 Ethernet 0 0 TCP - 6 1.1.1.1 2.2.2.2 23 22078 2.2.2.2 Dest. IP E1 Dest. I/F 6 Protocol 0 TOS … … 1.1.1.1 Source IP Pkts 11000 Input Interface TOS Byte Layer 3 Protocol Destination port Source port Destination IP Source IP Key Fields Packet 2 Ethernet 0 0 TCP - 6 3.3.3.3 2.2.2.2 23 22078 11000 … 0 6 E1 2.2.2.2 3.3.3.3 2.2.2.2 Dest. IP E1 Dest. I/F 6 Protocol 0 TOS … … 1.1.1.1 Source IP Pkts 11000
    53. 53. Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 26/8(1,2) - Secured and Reliable Logging Infrastructure NAC Appliance CSM NAC , CSA IronPort Web Security IronPort Email Security CSA ASA w/ CSC ISR 1. Consolidate and archive log using CS-MARS
    54. 54. Cisco Security MARS Monitoring for Superior Visibility <ul><li>Cisco Security MARS answers the question WHAT, WHEN and HOW? </li></ul><ul><li>A threat control appliance that monitors logs from multi-vendor network sources including: </li></ul><ul><ul><li>Routing and switching infrastructure withNetflow </li></ul></ul><ul><ul><li>Firewall log data </li></ul></ul><ul><ul><li>IDS/IPS </li></ul></ul><ul><ul><li>AAA authentication servers </li></ul></ul><ul><ul><li>Host and server logs </li></ul></ul><ul><li>Correlates, reduces, and categorizes events enabling users to validate incidents </li></ul><ul><li>Breadth of information collected (Netflow, topology) provides the most complete and accurate story of network activity </li></ul>
    55. 55. Cisco Security Monitoring, Analysis, and Response System (CS-MARS) <ul><li>MARS provides multi-vendor security event monitoring and threat mitigation </li></ul><ul><li>Telemetry sources: SYSLOG, SNMP Traps, Log Files, Device API/CLI and NetFlow </li></ul><ul><li>Near real time incident detection – minimize window of vulnerability/attack </li></ul><ul><li>Superior flow based correlation technology “ sessionization ” reduce false positives and false negatives – saves precious security operations time </li></ul><ul><li>Built-in regulatory compliance reports </li></ul><ul><li>Archives log data from all network devices </li></ul><ul><li>Provides immediate threat identification and mitigation for networks subject to regulations </li></ul><ul><li>Improves the ability of Network and Security Operations to respond to attacks </li></ul>Security Information and Event Monitoring
    56. 56. Cisco Security MARS Report Grouping for Compliance Reports Collected information can be used to generate specific compliance reports
    57. 57. Retrieve Raw Messages from CS-MARS
    58. 58. Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 11 – Prevent Spam Mail NAC Appliance CSM CSA IronPort Web Security IronPort Email Security CSA ASA w/ CSC ISR 2. Using IronPort or ASA w/ CSC module to filter SPAM for both inbound and outbound 1. Control policy on firewall to only allow SMTP from IronPort
    59. 59. Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 14-16 – Filter improper Content NAC Appliance CSM CSA IronPort Web Security IronPort Email Security CSA ASA w/ CSC ISR 1. Control filtering and control using IronPort Web Security or ASA w/ CSC
    60. 60. CSA Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 26/7(2) – Email, Web, File Server Log NAC Appliance CSM NAC , CSA IronPort Web Security IronPort Email Security ASA w/ CSC ISR 2. Collect Email, Web, File Access Log from Server 1. Collect email, web/file access log on content gateway
    61. 61. IronPort Perimeter Security Appliances Internet EMAIL Security Appliance WEB Security Appliance Security MANAGEMENT Appliance IronPort SenderBase
    62. 62. Product Consolidation at the Network Perimeter For Security, Reliability and Lower Maintenance Anti-Spam Anti-Virus Policy Enforcement Mail Routing Before IronPort IronPort Email Security Appliance Internet Firewall MTAs Groupware Users After IronPort Internet Users Groupware Firewall
    63. 63. Innovative Security Platform <ul><li>Layer 4 Traffic Monitor for network layer inspection of all traffic, at wire speed </li></ul><ul><li>Session aware </li></ul><ul><li>Full application proxy powered by IronPort’s AsyncOS Web Security Platform </li></ul><ul><li>Application layer inspection of Web traffic </li></ul><ul><li>Deep content analysis </li></ul><ul><li>Integrated Authentication </li></ul><ul><li>Integrated Caching </li></ul>L4 Traffic Monitor Web Proxy IronPort Web Security Appliance
    64. 64. Low Total Cost of Ownership Scalable, Extensible Solution Proxy Yesterday Users Firewall Anti-Virus / Anti-Spyware ICAP Internet Policy Enforcement Today Users Firewall Internet IronPort Web Security Appliance URL Filtering
    65. 65. Intelligent Message Hygiene Effective Removal of Unsolicited Email <ul><li>Highly Effective Anti-Spam Capabilities </li></ul><ul><li>Integrates heuristic anti-spam engine with a spam signature database and blacklist/whitelist address table to yield accurate detection and low false-positives </li></ul><ul><li>Filters spam from SMTP and POP3 traffic </li></ul><ul><li>Blocks or tags spam at the Internet edge before it reaches the desktop </li></ul><ul><li>Prevents spammers from using your mail server as a relay point for spam </li></ul>The volume of spam has increased exponentially and is leaving lost productivity, company liability and increased IT expenses in its wake. Anti-Spam Email Server Web Server Internet
    66. 66. Advanced Content Filtering URL / Content Filtering and Anti-Phishing <ul><li>Blocks inappropriate and non-work-related content </li></ul><ul><li>Controls email traffic containing key words or phrases and attachments with flagged file types </li></ul><ul><li>Guards against identity theft and protects confidential company information by blocking outbound data </li></ul>Internet Desktop Desktop Desktop ASA 5500 and CSC-SSM Key Benefits <ul><li>Vigilant Updates </li></ul><ul><ul><li>Ever-expanding database of known phishing sites, spyware sites, and disease vectors </li></ul></ul><ul><li>Increases Employee Productivity </li></ul><ul><ul><li>Prevents distractions and non work related use of resources </li></ul></ul><ul><li>Recaptures Network Resources </li></ul><ul><ul><li>Rids the network of superfluous traffic </li></ul></ul><ul><li>Reduces Liability </li></ul><ul><ul><li>Minimizes risk of identity theft, information leakage and inappropriate use </li></ul></ul>“ At least 130 reported breaches have exposed more than 55 million Americans to potential ID theft this year” – USA Today, 1/06 Anti-Phishing URL & Content Filtering
    67. 67. URL / Content Filtering and Anti-Phishing Comprehensive Content and Message Compliance <ul><li>URL Filtering </li></ul><ul><li>Restricts employee Internet usage by category, group, time of day, day of week, and bandwidth quotas </li></ul><ul><li>Filters Web content through an ever-expanding database with millions of URLs categorized to block inappropriate websites </li></ul><ul><li>Employs dynamic rating technology to classify requested Web sites that are not already in the database </li></ul><ul><li>Content Filtering </li></ul><ul><li>Filters inbound and outbound email to ensure message compliance </li></ul><ul><li>Enables IT managers to construct rules using Boolean and regular expressions for complex content filtering </li></ul><ul><li>Reduces legal liability by adding company-specific legal disclaimers to outgoing email based on message characteristics </li></ul><ul><li>Anti-Phishing </li></ul><ul><li>Detects and blocks known phishing sites using PhishTrap technology </li></ul>Internal Users Database of URLs Web Sites <ul><li>Company-prohibited </li></ul><ul><li>Not work related </li></ul><ul><li>Research topics </li></ul><ul><li>Business function </li></ul>URL Filtering <ul><li>Keyword </li></ul><ul><li>True file types </li></ul><ul><li>Attachment names </li></ul><ul><li>File sizes </li></ul>Content Filtering Content Filtering
    68. 68. Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 5-7 Protect from Unauthorized Access NAC Appliance CSM CSA IronPort Web Security IronPort Email Security CSA ASA w/ CSC ISR 1. Stop unauthorized access from outside on gateway firewall 2. Authenticate users before allow network access with NAC and ACS 3. CSA to enforce data access policy on client 4. Monitor network activity with CS-MARS
    69. 69. Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 8 Preventing Man-in-the-Middle (Eavesdrop) NAC Appliance CSM CSA IronPort Web Security IronPort Email Security CSA ASA w/ CSC ISR 1. Enable infrastructure protection on Catalyst switch to prevent spoofing attack 3. Enable SMTP SSL for email with business partners 2. IPSec to secure WAN and remote access connection
    70. 70. ISR Internet Cisco ISR , 7x00 ASA Cisco Catalyst 6500 Cisco 4200 IPS Sensor or AIM module CSA Web Servers Email Servers File Servers Access Control Server CS-MARS Applying CRCA to the Network Sec 9 - Protecting from Hacker and Malware NAC Appliance CSM CSA IronPort Web Security IronPort Email Security ASA w/ CSC CSA 1. Filter unauthorized access on Firewall 2. Identify network threat with IPS 3. CSA for endpoint protection from zero-day attack 4. Block virus/worm from web/email with IronPort or ASA w/ CSC 3. NAC to enforce security policy on endpoint 6. Monitor security event with CS-MARS
    71. 71. Summary <ul><li>ผลกระทบจาก พรบ . ที่ องค์กรจะต้องปฏิบัติตาม </li></ul><ul><li>ปรับปรุงมาตราการรักษาความปลอดภัยขององค์กร </li></ul><ul><ul><li>ป้องกันการโจมตีจากภายนอกองค์กร </li></ul></ul><ul><ul><li>ป้องกันคนภายในองค์กรออกไปโจมตีคนภายนอก </li></ul></ul><ul><ul><li>แสดงให้เห็นว่าองค์กรให้ความใส่ใจในการป้องกันการกระทำผิดที่อาจเกิดขึ้น และมีมาตรการป้องกันที่เด่นชัด </li></ul></ul><ul><li>ปรับปรุงมาตราการการเก็บรักษา Log file ให้เป็นไปตามที่ พรบ . กำหนด </li></ul><ul><ul><li>ป้องกันความผิดจากการไม่ปฏิบัติตาม พรบ . </li></ul></ul><ul><ul><li>เพื่อเป็นหลักฐานที่น่าเชื่อถือในการเอาผิดผู้กระทำผิดต่อองค์กร </li></ul></ul>
    72. 72. Q and A

    ×