Successfully reported this slideshow.
Moderní vzdálený přístup Martin Koldovský mkoldov @checkpoint.com SE Manager Eastern Europe
Výzvy <ul><li>poskytnout vzdálený přístup  většímu množství uživatelů </li></ul><ul><ul><li>nové role uživatelů   </li></u...
Vzdálený přístup dříve a dnes <ul><li>Dříve </li></ul><ul><ul><li>pomalé připojení na omezenou dobu </li></ul></ul><ul><ul...
Agenda <ul><li>Kdo p řistupuje vzdáleně  - autentizace </li></ul><ul><li>Za jak ých podmínek přistupuje  - NAC </li></ul><...
Kdo přistupuje  - autentizace <ul><li>nové způsoby autentizace </li></ul><ul><ul><li>DynamicID –  jednor ázová hesla zasíl...
Za jakých podmínek přistupuje  - NAC <ul><li>pravidla na papíře a ve skutečnosti  – za čít bezpečnostní politiky sledovat ...
Clientless NAC
Nezanechat stopy  na sd íleném PC <ul><li>ve sdíleném prostředí  -  SecureWorkspace </li></ul><ul><ul><li>bezpečné zpracov...
Clientless nemus í znamenat bez možnosti plné IP konektivity <ul><li>podpora nativních aplikací vyžadujících  plnou IP kon...
Mobilní zařízení <ul><li>SecureClient Mobile </li></ul><ul><li>iConn  – VPN klient pro iPhone </li></ul><ul><li>ActiveSync...
Nov ý rezidentní  VPN klient <ul><li>nov á generace řešení SecureClient = Check Point  Endpoint Connect </li></ul><ul><li>...
Dva extrémní přistupy jsou kombinovány <ul><li>“ ode zdi ke zdi”? </li></ul><ul><li>IPSec vs SSL VPN </li></ul><ul><li>org...
Ochrana na stran ě VPN brány <ul><li>integrované bezpečnostní brány </li></ul><ul><ul><li>integrace řízení přistupu (firew...
VPN br ány <ul><li>Connectra </li></ul><ul><ul><li>univerzální VPN koncentrátor pro SSL VPN i rezidentní IPSec klienty a m...
Total Security from Check Point Only with Check Point can you   achieve total end-to-end security   with a single line of ...
ActiveSync support <ul><li>Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy)  <...
Upcoming SlideShare
Loading in …5
×

PPT prezentace

725 views

Published on

  • Be the first to comment

  • Be the first to like this

PPT prezentace

  1. 1. Moderní vzdálený přístup Martin Koldovský mkoldov @checkpoint.com SE Manager Eastern Europe
  2. 2. Výzvy <ul><li>poskytnout vzdálený přístup většímu množství uživatelů </li></ul><ul><ul><li>nové role uživatelů </li></ul></ul><ul><ul><li>nová zařízení (mobiln í zařízení, ... ) </li></ul></ul><ul><ul><li>nová prostředí (sd ílené počítače, domácí PC, ...) </li></ul></ul><ul><li>více mo žností řízeného vzdáleného přístupu bez ko m promisů v zabezpečení a s rozumnými nároky na administraci </li></ul>
  3. 3. Vzdálený přístup dříve a dnes <ul><li>Dříve </li></ul><ul><ul><li>pomalé připojení na omezenou dobu </li></ul></ul><ul><ul><li>relativně nízká míra rizika </li></ul></ul><ul><ul><li>připojení na veřejné IP adrese , bez překážek </li></ul></ul><ul><li>Dnes </li></ul><ul><ul><li>stálé rychlé připojení, vysoká míra rizika </li></ul></ul><ul><ul><li>broadband a bezdrátové sítě </li></ul></ul><ul><ul><li>wifi ho t spoty – captive port ály </li></ul></ul><ul><ul><li>dal ší překážky - překlad adres, firewall, proxy </li></ul></ul>
  4. 4. Agenda <ul><li>Kdo p řistupuje vzdáleně - autentizace </li></ul><ul><li>Za jak ých podmínek přistupuje - NAC </li></ul><ul><li>Odkud přistupuje – VPN klienti a “bezklientsk ý přístup ” </li></ul><ul><li>Přístup ze sdíleného klientského PC </li></ul><ul><li>Mobilní přístup </li></ul><ul><li>Přes co přistupuje – VPN br ány </li></ul>
  5. 5. Kdo přistupuje - autentizace <ul><li>nové způsoby autentizace </li></ul><ul><ul><li>DynamicID – jednor ázová hesla zasílaná přes SMS </li></ul></ul><ul><ul><ul><li>vzd. přístupem umožní vybavit v íce uživatelů a okamžitě se silným způsobem autentizace bez nákladů na autentizační zařízení pro každého uživatele (ka ždý uživatel již token má – jeho mobil) </li></ul></ul></ul><ul><ul><ul><li>vhodné i pro scénář přístupu ze sdíleného PC, kde nelze použít smartcard, USB aut.tokeny apod. (nen í čtečka, nejsou drivery) </li></ul></ul></ul>
  6. 6. Za jakých podmínek přistupuje - NAC <ul><li>pravidla na papíře a ve skutečnosti – za čít bezpečnostní politiky sledovat a technicky vynucovat </li></ul><ul><li>Network Access Control (NAC) - integrov áno do VPN klienta </li></ul><ul><li>clientless NAC – na vy žádání, z webového prohlížeče </li></ul><ul><li>jde o cooperative enforcement – pod ílí se na něm brána na základě znalostí o konfiguraci a stavu klienta </li></ul>
  7. 7. Clientless NAC
  8. 8. Nezanechat stopy na sd íleném PC <ul><li>ve sdíleném prostředí - SecureWorkspace </li></ul><ul><ul><li>bezpečné zpracování firemních dat na sdíleném PC – šifrované prostředí, které je odstraněno s koncem relace </li></ul></ul><ul><ul><li>zabránit úniku informací přes sdílený počítač (zapomenuté interní dokumenty v internetové kavárně, nebezpečí spyware) </li></ul></ul><ul><ul><li>zabezpečení clipboardu, kontrola tisku </li></ul></ul><ul><ul><li>zabránit exportu dat ze zabezpečené relace </li></ul></ul><ul><ul><li>Program Control – jen autorizovan é aplikace a ochrana před malware </li></ul></ul><ul><ul><li>na vy žádání ze sítě nebo na USB </li></ul></ul>
  9. 9. Clientless nemus í znamenat bez možnosti plné IP konektivity <ul><li>podpora nativních aplikací vyžadujících plnou IP konektivitu </li></ul><ul><ul><li>SSL Network Extender </li></ul></ul><ul><li>IP konektivita bez nutnosti administrátorských práv na straně klienta </li></ul><ul><ul><li>SSL Network Extender Application Mode </li></ul></ul>
  10. 10. Mobilní zařízení <ul><li>SecureClient Mobile </li></ul><ul><li>iConn – VPN klient pro iPhone </li></ul><ul><li>ActiveSync přes SSL - “bezklientsk ý ” zabezpe čený e-mail </li></ul>
  11. 11. Nov ý rezidentní VPN klient <ul><li>nov á generace řešení SecureClient = Check Point Endpoint Connect </li></ul><ul><li>nyn í i v balíku Endpoint Security – od verze R72 </li></ul>
  12. 12. Dva extrémní přistupy jsou kombinovány <ul><li>“ ode zdi ke zdi”? </li></ul><ul><li>IPSec vs SSL VPN </li></ul><ul><li>organizací spravovaný koncový bod vs. koncové zařízení, o kterém v íme jen velmi málo </li></ul><ul><li>rezidentní klient vs. clientless přístup </li></ul>
  13. 13. Ochrana na stran ě VPN brány <ul><li>integrované bezpečnostní brány </li></ul><ul><ul><li>integrace řízení přistupu (firewall), intrusion prevention, webového aplikačního firewallu, content inspection (AV) </li></ul></ul><ul><ul><li>cooperative enforcement – integrace NAC do VPN br ány </li></ul></ul>Hacker/ Infected PC Normal User Normal User Security Gateway / Connectra Application Server Email Server Web Server
  14. 14. VPN br ány <ul><li>Connectra </li></ul><ul><ul><li>univerzální VPN koncentrátor pro SSL VPN i rezidentní IPSec klienty a mobilní zařízení </li></ul></ul><ul><ul><li>k instalaci jako appliance, software nebo na VMware ESX </li></ul></ul><ul><li>VPN -1 (UTM-1/Power-1) </li></ul><ul><ul><li>integrovan á bezpečnostní brána </li></ul></ul><ul><ul><li>nov ý SSL VPN Blade (“Connectra na platform ě VPN -1”) </li></ul></ul>Connectra 9072
  15. 15. Total Security from Check Point Only with Check Point can you achieve total end-to-end security   with a single line of unified security gateways, a single agent for all endpoint security needs, all managed by our single integrated security management console. Unified Gateways Single Endpoint Security Agent Single Security Management Console total security from Check Point
  16. 16. ActiveSync support <ul><li>Secure Microsoft Exchange access for users with smart-phones (SSL VPN Blade - reverse proxy) </li></ul><ul><li>Leveraging native built-in mail client </li></ul><ul><li>Any mobile phone supporting ActiveSync (WM, iPhone, Android, Symbian) </li></ul><ul><li>Basic and client certificate based authentication </li></ul><ul><li>Auto-enrollment from the SSL VPN gateway </li></ul><ul><li>Access policy based on users groups </li></ul><ul><li>Support for multiple Exchange servers </li></ul>ActiveSync over SSL <ul><li>MS Exchange server is decoupled from the internet </li></ul><ul><li>Centrally managed remote-access strong authentication </li></ul><ul><li>Control endpoint security through ActiveSync with additional options (Device lock , encryption, remote wipe, </li></ul>Security Gateway w/ SSL VPN Blade MS Exchange Mail Server Active Directory Native ActiveSync over SSL Internet Internet

×