SlideShare a Scribd company logo

Biztonságos vállalati kollaborációs

Gloster telekom Kft.
Gloster telekom Kft.

Primmer Gábor előadásának prezentációja ami a Gloster telekom Kft Nagyvállalati Tűzfalak szakmai nap rendezvényen hangzott el 2015.11.19-én.

Technology
1 of 29
Biztonságos vállalati kollaboráció Primmer Gábor vezető rendszermérnök Gloster telekom Kft.
A collaboráció kilépett az „telephelyről” …és bárhol használható
… de a collaborációt is meg kell védeni!
Miért van szükség védelemre? • Céges környezetben érzékeny információk mozognak • SIP áthívás költséget jelent • Fontos az üzletmenet folytonosság
Hol van szükség védelemre? kintről érkező támadások belső irányból érkező támadások Meg kell védeni a voice hálózatot…
Mi védi a hálózatot a külső irányokból?
Miért Cisco ASA?
ASA által támogatott szolgáltatások Telefonok VPN koncentrátoraként működik MRA határvédelmi eszközeként Phone proxy Social Miner (Chat, Facebook) proxy
Telefonok ssl vpn-en keresztül • A telefonokat be lehet regisztráltatni távolról, vpn-en keresztül. • Autentikáció módja lehet user/password vagy certifikáció alapú • Certifikációnál önaláírt nem használható, csak publikus
VPN beállítása Call Managerben létre kell hozni, illetve be kell állítani az alábbiakat: -VPN Profilt -VPN Groupot -VPN Gatewayt (ASA) -VPN Feature Configuraton Common Phone Profile Configuration létrehozása ahol a VPN groupot és Profilt meg kell adni. A telefonokat először inside hálózaton kell a Call Managerre csatlakoztatni! SSL vpn konfiguráció a ASA-ban
Cisco MRA Csak erős idegzetűeknek!
Mit tud a Cisco MRA? Jabberek távoli regisztrációja VPN nélkül Akár messiging and presence mode-ban Akár voice access mode-ban Tényleges mobilitás Mobil device inside/outside networkből MRA képes asztali telefonok beregisztrálására vpn nélkül
MRA (Mobile Remote Access) egyszerűen • Egy szerver inside zonába (vagy clouster) • Egy a dmzbe (vagy clouster) • SRV recordok a dns szolgáltatóhoz • Tűzfalszabályok, és NAT reflection • Hozzáillesztés a jelenlegi UC rendszerhez • Konfigurálás InternetUC
NAT reflection Belső DNSben a VCS címe nem a 10.0.10.0/24-es tartományból hanem a 64.100.0.10 nat (inside,DMZ) source static obj-10.0.30.2 interface destination static obj-64.100.0.10 obj-10.0.10.2 8.2 és előtte: access-list IN-DMZ-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10 static (inside,DMZ) interface access-list IN-DMZ-INTERFACE access-list DMZ-IN-INTERFACE extended permit ip host 10.0.10.2 host 10.0.10.1 static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
Phone proxy Már nem használatos, csak régi típusú telefonok esetében jelenthet megoldást.
Expressway E/C TURN Server inside zona Csak HTTPs és TURNs protokolon érhető el JABBER GUEST
UCCX remote elérések
SocialMiner Chat Adatforgalom HTTPs protokolon Custom API vagy HTML tag UCCX riportokban megjelenik
Social Miner social media • Csatlakozás a céges Facebook és Twitter oldalhoz • Közösségi hálón keresztüli kapcsolattartás • Riportolható válasz • ASA oldalról csak szabálylista, csak el kell érni a szerverről a weboldalakat • Figyelni kell az url filteringre
Voice és ASA (1) • Eddig jellemzően tűzfal megkerülésével csatlakozik a a sip szolgáltató a voice hálózathoz • ACL szűrés az interfacen • Külön IP szolgáltatói hálózat
• SIP vizsgálat kihagyás • Ismeri az RFC szabványokat • SIP: Session Initiation Protocol, RFC 3261 • SDP: Session Description Protocol, RFC 2327 • Az ASA-n átfolyó SIP adatfolyam monitorozható • Hibakeresési lehetőségek Voice és ASA (2)
Belső támadások • A behatoló fizikálisan az inside zonába kerül • BYOD elterjedésével előtérbe került
Jellemző belső támadási formák Lehallgatás Másnak adja ki magát Üzletmenet akadályozás
• Port tükrözés • DHCP Snooping • SIP kliens üzemeltetése • A lista bővül… Belső támadások jellemző technológiája
• Cisco CNF file • Midcall signaling tiltása • MAC autentikáció a call manageren • 3rd party telefonok esetében digest user • SRTP • SIPs protokoll • Port security • Nem használt PC portok tiltása • Nem használt switch portok tiltása Megoldások belső támadások ellen
De a biztonsági kockázat bentről is érkezhet
A biztonság ára/értéke
Összefoglalva Cisco ASA kollaborációs szolgáltatásai • Cisco MRA • SSL VPN IP telefonok alá • Phone Proxy, Social Moner Jellemző külsős és belsős támadások • Port tükrözés • DHCP snooping • SiP kliens beregisztrálása Védekezési módszerek • SRTP • Port tiltás • MAC autentikáció
Köszönöm figyelmet!

Recommended

Hogyan méretezzünk tűzfalat?
Hogyan méretezzünk tűzfalat?Hogyan méretezzünk tűzfalat?
Hogyan méretezzünk tűzfalat?
Gloster telekom Kft.
 
Netacademy magyar
Netacademy magyarNetacademy magyar
Netacademy magyar
Gloster telekom Kft.
 
Vezeték nélkül de biztonsagosan kompromisszum nelküli wireless megoldások v1.1
Vezeték nélkül de biztonsagosan kompromisszum nelküli wireless megoldások v1.1Vezeték nélkül de biztonsagosan kompromisszum nelküli wireless megoldások v1.1
Vezeték nélkül de biztonsagosan kompromisszum nelküli wireless megoldások v1.1Gloster telekom Kft.
 
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young BTS Kommunikációs rendszerek
 
WLAN Biztonság és Megfelelőségi Irányelvek
WLAN Biztonság és Megfelelőségi IrányelvekWLAN Biztonság és Megfelelőségi Irányelvek
WLAN Biztonság és Megfelelőségi Irányelvek
Zsolt Kecskemeti
 
Ahogy mindenhol lennie kéne álmaink telefonos ügyfélszolgálata közelebb mint ...
Ahogy mindenhol lennie kéne álmaink telefonos ügyfélszolgálata közelebb mint ...Ahogy mindenhol lennie kéne álmaink telefonos ügyfélszolgálata közelebb mint ...
Ahogy mindenhol lennie kéne álmaink telefonos ügyfélszolgálata közelebb mint ...
Gloster telekom Kft.
 
Cisco uc tobb_telephely_2010_2
Cisco uc tobb_telephely_2010_2Cisco uc tobb_telephely_2010_2
Cisco uc tobb_telephely_2010_2
Gloster telekom Kft.
 
Egy óra cisco ip telefon készülékekről
Egy óra cisco ip telefon készülékekrőlEgy óra cisco ip telefon készülékekről
Egy óra cisco ip telefon készülékekről
Gloster telekom Kft.
 

Recommended

Hogyan méretezzünk tűzfalat?
Hogyan méretezzünk tűzfalat?Hogyan méretezzünk tűzfalat?
Hogyan méretezzünk tűzfalat?
Gloster telekom Kft.
 
Netacademy magyar
Netacademy magyarNetacademy magyar
Netacademy magyar
Gloster telekom Kft.
 
Vezeték nélkül de biztonsagosan kompromisszum nelküli wireless megoldások v1.1
Vezeték nélkül de biztonsagosan kompromisszum nelküli wireless megoldások v1.1Vezeték nélkül de biztonsagosan kompromisszum nelküli wireless megoldások v1.1
Vezeték nélkül de biztonsagosan kompromisszum nelküli wireless megoldások v1.1Gloster telekom Kft.
 
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young BTS Kommunikációs rendszerek
 
WLAN Biztonság és Megfelelőségi Irányelvek
WLAN Biztonság és Megfelelőségi IrányelvekWLAN Biztonság és Megfelelőségi Irányelvek
WLAN Biztonság és Megfelelőségi Irányelvek
Zsolt Kecskemeti
 
Ahogy mindenhol lennie kéne álmaink telefonos ügyfélszolgálata közelebb mint ...
Ahogy mindenhol lennie kéne álmaink telefonos ügyfélszolgálata közelebb mint ...Ahogy mindenhol lennie kéne álmaink telefonos ügyfélszolgálata közelebb mint ...
Ahogy mindenhol lennie kéne álmaink telefonos ügyfélszolgálata közelebb mint ...
Gloster telekom Kft.
 
Cisco uc tobb_telephely_2010_2
Cisco uc tobb_telephely_2010_2Cisco uc tobb_telephely_2010_2
Cisco uc tobb_telephely_2010_2
Gloster telekom Kft.
 
Egy óra cisco ip telefon készülékekről
Egy óra cisco ip telefon készülékekrőlEgy óra cisco ip telefon készülékekről
Egy óra cisco ip telefon készülékekről
Gloster telekom Kft.
 
[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelese[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelese
hackersuli
 
Young Enterprise Day – Adatvédelem a VoIP hálózatban
Young Enterprise Day – Adatvédelem a VoIP hálózatban Young Enterprise Day – Adatvédelem a VoIP hálózatban
Young Enterprise Day – Adatvédelem a VoIP hálózatban
Young BTS Kommunikációs rendszerek
 
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
Zoltan Balazs
 
Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)
Csaba Krasznay
 
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
Gloster telekom Kft.
 
Cisco UCCX használata külsős szoftverrel
Cisco UCCX használata külsős szoftverrelCisco UCCX használata külsős szoftverrel
Cisco UCCX használata külsős szoftverrel
Gloster telekom Kft.
 
NETaudIT
NETaudITNETaudIT
NETaudITAttila Suba
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Gloster telekom Kft.
 
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
S&T Consulting Hungary
 
Biztonságos videókapcsolat VPN nélkül
Biztonságos videókapcsolat VPN nélkülBiztonságos videókapcsolat VPN nélkül
Biztonságos videókapcsolat VPN nélkül
Gloster telekom Kft.
 
Merre tovább kollaboráció a vállalati kollaboráció jövője
Merre tovább kollaboráció a vállalati kollaboráció jövőjeMerre tovább kollaboráció a vállalati kollaboráció jövője
Merre tovább kollaboráció a vállalati kollaboráció jövője
Gloster telekom Kft.
 
Gloster leaflet 2014 március
Gloster leaflet 2014 márciusGloster leaflet 2014 március
Gloster leaflet 2014 március
Gloster telekom Kft.
 
Vmware v-sphere
Vmware v-sphereVmware v-sphere
Vmware v-sphereGloster telekom Kft.
 
Desktop virtualizáció
Desktop virtualizációDesktop virtualizáció
Desktop virtualizációGloster telekom Kft.
 
Hatékonyságnövelő megoldások
Hatékonyságnövelő megoldásokHatékonyságnövelő megoldások
Hatékonyságnövelő megoldásokGloster telekom Kft.
 
Vmware alapú virtualizáció
Vmware alapú virtualizációVmware alapú virtualizáció
Vmware alapú virtualizációGloster telekom Kft.
 
vSphere
vSpherevSphere
vSphere
Gloster telekom Kft.
 
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalambaRedundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
Gloster telekom Kft.
 
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
Gloster telekom Kft.
 
Uj vizeken
Uj vizekenUj vizeken
Uj vizeken
Gloster telekom Kft.
 
Új vizeken - Virtualizált szerver megoldások a Cisco-tól
Új vizeken - Virtualizált szerver megoldások a Cisco-tólÚj vizeken - Virtualizált szerver megoldások a Cisco-tól
Új vizeken - Virtualizált szerver megoldások a Cisco-tól
Gloster telekom Kft.
 
13 plusz egy legnépszerubb tipp
13 plusz egy legnépszerubb tipp13 plusz egy legnépszerubb tipp
13 plusz egy legnépszerubb tipp
Gloster telekom Kft.
 

More Related Content

Similar to Biztonságos vállalati kollaborációs

[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelese[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelese
hackersuli
 
Young Enterprise Day – Adatvédelem a VoIP hálózatban
Young Enterprise Day – Adatvédelem a VoIP hálózatban Young Enterprise Day – Adatvédelem a VoIP hálózatban
Young Enterprise Day – Adatvédelem a VoIP hálózatban
Young BTS Kommunikációs rendszerek
 
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
Zoltan Balazs
 
Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)
Csaba Krasznay
 
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
Gloster telekom Kft.
 
Cisco UCCX használata külsős szoftverrel
Cisco UCCX használata külsős szoftverrelCisco UCCX használata külsős szoftverrel
Cisco UCCX használata külsős szoftverrel
Gloster telekom Kft.
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Gloster telekom Kft.
 
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
S&T Consulting Hungary
 

Similar to Biztonságos vállalati kollaborációs (9)

[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelese[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelese
 
Young Enterprise Day – Adatvédelem a VoIP hálózatban
Young Enterprise Day – Adatvédelem a VoIP hálózatban Young Enterprise Day – Adatvédelem a VoIP hálózatban
Young Enterprise Day – Adatvédelem a VoIP hálózatban
 
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
 
Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)
 
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
Te kit választanál - Ip telefonközpontot de milyet választék 10 - 500 felhas...
 
Cisco UCCX használata külsős szoftverrel
Cisco UCCX használata külsős szoftverrelCisco UCCX használata külsős szoftverrel
Cisco UCCX használata külsős szoftverrel
 
NETaudIT
NETaudITNETaudIT
NETaudIT
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
 
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
Információbiztonság: Hálózati hozzáférés szabályozás /Bring Your Own Device/
 

More from Gloster telekom Kft.

Biztonságos videókapcsolat VPN nélkül
Biztonságos videókapcsolat VPN nélkülBiztonságos videókapcsolat VPN nélkül
Biztonságos videókapcsolat VPN nélkül
Gloster telekom Kft.
 
Merre tovább kollaboráció a vállalati kollaboráció jövője
Merre tovább kollaboráció a vállalati kollaboráció jövőjeMerre tovább kollaboráció a vállalati kollaboráció jövője
Merre tovább kollaboráció a vállalati kollaboráció jövője
Gloster telekom Kft.
 
Gloster leaflet 2014 március
Gloster leaflet 2014 márciusGloster leaflet 2014 március
Gloster leaflet 2014 március
Gloster telekom Kft.
 
vSphere
vSpherevSphere
vSphere
Gloster telekom Kft.
 
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalambaRedundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
Gloster telekom Kft.
 
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
Gloster telekom Kft.
 
Uj vizeken
Uj vizekenUj vizeken
Uj vizeken
Gloster telekom Kft.
 
Új vizeken - Virtualizált szerver megoldások a Cisco-tól
Új vizeken - Virtualizált szerver megoldások a Cisco-tólÚj vizeken - Virtualizált szerver megoldások a Cisco-tól
Új vizeken - Virtualizált szerver megoldások a Cisco-tól
Gloster telekom Kft.
 
13 plusz egy legnépszerubb tipp
13 plusz egy legnépszerubb tipp13 plusz egy legnépszerubb tipp
13 plusz egy legnépszerubb tipp
Gloster telekom Kft.
 
A meglévő rendszer Voip-osítása
A meglévő rendszer Voip-osításaA meglévő rendszer Voip-osítása
A meglévő rendszer Voip-osítása
Gloster telekom Kft.
 
Gloster telekom Cisco Partner certification
Gloster telekom Cisco Partner certificationGloster telekom Cisco Partner certification
Gloster telekom Cisco Partner certification
Gloster telekom Kft.
 

More from Gloster telekom Kft. (15)

Biztonságos videókapcsolat VPN nélkül
Biztonságos videókapcsolat VPN nélkülBiztonságos videókapcsolat VPN nélkül
Biztonságos videókapcsolat VPN nélkül
 
Merre tovább kollaboráció a vállalati kollaboráció jövője
Merre tovább kollaboráció a vállalati kollaboráció jövőjeMerre tovább kollaboráció a vállalati kollaboráció jövője
Merre tovább kollaboráció a vállalati kollaboráció jövője
 
Gloster leaflet 2014 március
Gloster leaflet 2014 márciusGloster leaflet 2014 március
Gloster leaflet 2014 március
 
Vmware v-sphere
Vmware v-sphereVmware v-sphere
Vmware v-sphere
 
Desktop virtualizáció
Desktop virtualizációDesktop virtualizáció
Desktop virtualizáció
 
Hatékonyságnövelő megoldások
Hatékonyságnövelő megoldásokHatékonyságnövelő megoldások
Hatékonyságnövelő megoldások
 
Vmware alapú virtualizáció
Vmware alapú virtualizációVmware alapú virtualizáció
Vmware alapú virtualizáció
 
vSphere
vSpherevSphere
vSphere
 
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalambaRedundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
Redundans lan halozatok_kialakitasanak_alapjai_v4_2_webgalamba
 
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
Tombol a nyar_kiprobalt_es_bevalt_tavmunka_megoldasok_2011_junius_9
 
Uj vizeken
Uj vizekenUj vizeken
Uj vizeken
 
Új vizeken - Virtualizált szerver megoldások a Cisco-tól
Új vizeken - Virtualizált szerver megoldások a Cisco-tólÚj vizeken - Virtualizált szerver megoldások a Cisco-tól
Új vizeken - Virtualizált szerver megoldások a Cisco-tól
 
13 plusz egy legnépszerubb tipp
13 plusz egy legnépszerubb tipp13 plusz egy legnépszerubb tipp
13 plusz egy legnépszerubb tipp
 
A meglévő rendszer Voip-osítása
A meglévő rendszer Voip-osításaA meglévő rendszer Voip-osítása
A meglévő rendszer Voip-osítása
 
Gloster telekom Cisco Partner certification
Gloster telekom Cisco Partner certificationGloster telekom Cisco Partner certification
Gloster telekom Cisco Partner certification
 

Biztonságos vállalati kollaborációs

  • 2. A collaboráció kilépett az „telephelyről” …és bárhol használható
  • 3. … de a collaborációt is meg kell védeni!
  • 4. Miért van szükség védelemre? • Céges környezetben érzékeny információk mozognak • SIP áthívás költséget jelent • Fontos az üzletmenet folytonosság
  • 5. Hol van szükség védelemre? kintről érkező támadások belső irányból érkező támadások Meg kell védeni a voice hálózatot…
  • 6. Mi védi a hálózatot a külső irányokból?
  • 8. ASA által támogatott szolgáltatások Telefonok VPN koncentrátoraként működik MRA határvédelmi eszközeként Phone proxy Social Miner (Chat, Facebook) proxy
  • 9. Telefonok ssl vpn-en keresztül • A telefonokat be lehet regisztráltatni távolról, vpn-en keresztül. • Autentikáció módja lehet user/password vagy certifikáció alapú • Certifikációnál önaláírt nem használható, csak publikus
  • 10. VPN beállítása Call Managerben létre kell hozni, illetve be kell állítani az alábbiakat: -VPN Profilt -VPN Groupot -VPN Gatewayt (ASA) -VPN Feature Configuraton Common Phone Profile Configuration létrehozása ahol a VPN groupot és Profilt meg kell adni. A telefonokat először inside hálózaton kell a Call Managerre csatlakoztatni! SSL vpn konfiguráció a ASA-ban
  • 11. Cisco MRA Csak erős idegzetűeknek!
  • 12. Mit tud a Cisco MRA? Jabberek távoli regisztrációja VPN nélkül Akár messiging and presence mode-ban Akár voice access mode-ban Tényleges mobilitás Mobil device inside/outside networkből MRA képes asztali telefonok beregisztrálására vpn nélkül
  • 13. MRA (Mobile Remote Access) egyszerűen • Egy szerver inside zonába (vagy clouster) • Egy a dmzbe (vagy clouster) • SRV recordok a dns szolgáltatóhoz • Tűzfalszabályok, és NAT reflection • Hozzáillesztés a jelenlegi UC rendszerhez • Konfigurálás InternetUC
  • 14. NAT reflection Belső DNSben a VCS címe nem a 10.0.10.0/24-es tartományból hanem a 64.100.0.10 nat (inside,DMZ) source static obj-10.0.30.2 interface destination static obj-64.100.0.10 obj-10.0.10.2 8.2 és előtte: access-list IN-DMZ-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10 static (inside,DMZ) interface access-list IN-DMZ-INTERFACE access-list DMZ-IN-INTERFACE extended permit ip host 10.0.10.2 host 10.0.10.1 static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
  • 15. Phone proxy Már nem használatos, csak régi típusú telefonok esetében jelenthet megoldást.
  • 16. Expressway E/C TURN Server inside zona Csak HTTPs és TURNs protokolon érhető el JABBER GUEST
  • 18. SocialMiner Chat Adatforgalom HTTPs protokolon Custom API vagy HTML tag UCCX riportokban megjelenik
  • 19. Social Miner social media • Csatlakozás a céges Facebook és Twitter oldalhoz • Közösségi hálón keresztüli kapcsolattartás • Riportolható válasz • ASA oldalról csak szabálylista, csak el kell érni a szerverről a weboldalakat • Figyelni kell az url filteringre
  • 20. Voice és ASA (1) • Eddig jellemzően tűzfal megkerülésével csatlakozik a a sip szolgáltató a voice hálózathoz • ACL szűrés az interfacen • Külön IP szolgáltatói hálózat
  • 21. • SIP vizsgálat kihagyás • Ismeri az RFC szabványokat • SIP: Session Initiation Protocol, RFC 3261 • SDP: Session Description Protocol, RFC 2327 • Az ASA-n átfolyó SIP adatfolyam monitorozható • Hibakeresési lehetőségek Voice és ASA (2)
  • 22. Belső támadások • A behatoló fizikálisan az inside zonába kerül • BYOD elterjedésével előtérbe került
  • 23. Jellemző belső támadási formák Lehallgatás Másnak adja ki magát Üzletmenet akadályozás
  • 24. • Port tükrözés • DHCP Snooping • SIP kliens üzemeltetése • A lista bővül… Belső támadások jellemző technológiája
  • 25. • Cisco CNF file • Midcall signaling tiltása • MAC autentikáció a call manageren • 3rd party telefonok esetében digest user • SRTP • SIPs protokoll • Port security • Nem használt PC portok tiltása • Nem használt switch portok tiltása Megoldások belső támadások ellen
  • 26. De a biztonsági kockázat bentről is érkezhet
  • 28. Összefoglalva Cisco ASA kollaborációs szolgáltatásai • Cisco MRA • SSL VPN IP telefonok alá • Phone Proxy, Social Moner Jellemző külsős és belsős támadások • Port tükrözés • DHCP snooping • SiP kliens beregisztrálása Védekezési módszerek • SRTP • Port tiltás • MAC autentikáció