Download to read offline
More Related Content
Similar to WatchGuard Firewall & Network Security
WatchGuard Firewall & Network Security
- 1. WATCHGUARD - WatchGuard:Firewall & Network Security. Hackers viseren niet alleen meer de grote multinationals. Met behulp van geautomatiseerde tools slagen ze erin om steeds meer KMO's het slachtoffer te maken. Ontdek hoe WatchGuard omgaat met deze bedreigingen door middel van hun all-in-one security platform. In deze sessie laten we u ook kennismaken met de nieuwe mogelijkheden op het gebied van security, rapportering en beheer.
- 2. WatchGuard Joris Knuts EuroSys B2Baccountmanager Passie voor security Product Specialist WatchGuard
- 3. A WatchGuard FireBox isdeployed every 4 minutes around the world WatchGuard Appliances conduct more than 1 BILLION security scans every hour WatchGuard prevented 22+ BILLION attacks against our customers in 2015 WatchGuard has saved customers more than 16 years of labor with RapidDeploy Founded in 1996 Headquarters: Seattle, WA 4 operations centers and direct presence in 15 countries 470+ employees 100+ distributors and 9,000+ active VARs globally Mission: To bring widely-deployable, enterprise-grade security to small-to-medium sized organizations and distributed enterprises.
- 6. Firebox® T30 &T50: Small offices, branch offices and wireless hotspots Firebox® M200 & M300: Small and Mid-sized businesses M5600: Large enterprises and corporate data centers Virtual Firewall Four virtual software license versions with full UTM features Software Scalability: Single version of WatchGuard Fireware® OS runs on all solutions, including virtual M4600: Large distributed enterprises The strongest UTM performance at all prices points – delivering a solution for organizations of all sizes. Firebox® T10: Small office/home office and small retail environments Firebox® M440: Multi port option Firebox ® M400 & M500: Mid-sized businesses and distributed enterprises Instant Visibility: WatchGuard’s award-winning threat visibility platform, Dimension, comes standard on every appliance. Scalable Wi-Fi: WatchGuard tabletop appliances offer build-in Wi-Fi capabilities, however, every WatchGuard appliance has a built-in wireless gateway controller – making Wi-Fi expansion and centralized management a breeze. Centralized Management: Every appliance comes with built-in features to expedite deployment and simplify ongoing network and appliance management. .
- 8. Devon • fitness guru •online gezondheidstips • voedingsupplementen
- 13. APT: Detection inseconds, Protection in minutes
- 14. ● fitness guru ●online gezondheidstips ● voedingsupplementen ● Antivirus ● HTTPS Content Inspection ● ATP Blocker Devon Onbekende / onbetrouwbare websites
- 15. Jay • Haarproducten enaccessoires • Motorfanaat
- 18. WebBlocker: • Toegang opbasis van categorieën • 130 verschillende categorieën: WebBlocker • Adult content, Gokken, … • Advertenties, … • Nieuw geregistreerde websites
- 19. Reputation Enabled Defense& Botnet Detection
- 20. • Haarproducten enaccessoires • Motorfanaat • WebBlocker • WebBlocker • Reputation Enabled Defense • Botnet Detection Jay Problemen voorkomen is beter dan ze genezen
- 21. Randy • Administratieve medewerker (metdoorgroeimogelijkheden)
- 22. • Preventie lekkenbelangrijke documenten • Bedrijfsschade • Concurrentiepositie • Reputatieschade • Aansprakelijkheden • Wetgeving Data Loss Prevention
- 23. Application Control &Bandbreedte beheer
- 24. • Administratieve medewerker (metdoorgroeimogelijkheden) • Data Loss Prevention • Application Blocker • Beheer Bandbreedte Randy Toegang tot gevoelige data
- 25. Wesley • Management • Inzichtin netwerk
- 26.
- 28. Wesley • Management • Inzichtin netwerk • Dimension Logging en rapportage
- 29. Beveiliging werkt inverschillende lagen •Preventie: – Reputation Enabled Defense – Botnet Detection – WebBlocker – Application Control – Data Loss Prevention •Detectie: – Antivirus – HTTPS inspectie – APT Blocker – Intrusion Prevention Service
- 30. Thread Detection &Respond
- 33. Contact Joris Knuts EuroSys B2Baccountmanager Joris.knuts@eurosys.be
Editor's Notes
- #3 Inleiding: Goeiemiddag iedereen. Mijn naam is Joris, ik ben account manager bij EuroSys met een passie voor security en watchguard product specialist.
- #4 EuroSys werkt al 17 jaar samen met WG, al onze engineers zijn gecertificeerd en we hebben een 500-tal fireboxen in het veld staan. Waarom WatchGuard ? Vandaag bestaat WatchGuard 21 jaar, en doet elk uur 1 miljard security scans wereldwijd. Om een voorbeeldje te geven: vorig jaar werden meer dan 22 miljard aanvallen tegengehouden. Zij doen dit zowel voor de kleine organisaties als de grote enterprise Ze doen dit op exact dezelfde manier voor de hele kleintjes als de hele groten.
- #5 Het is om deze reden dat ze vorig jaar door Gartner als Visionair zijn verkozen En dat ze deze maand nog een de recommended status hebben ontvangen van NSS Labs
- #6 Het is om deze reden dat ze vorig jaar door Gartner als Visionair zijn verkozen En dat ze deze maand nog een de recommended status hebben ontvangen van NSS Labs
- #7 Kijk maar naar de productlijn. Van klein naar groot. Het enige verschil tussen deze boxen is het aantal poorten en de snelheid waarmee ze de gegevens kunnen verwerken. De software en de mogelijkheden zijn hetzelfde op elk toestel. Er is zelfs een virtuele firewall die geschikt is voor het eigen datacenter of in de public cloud zoals Amazon en Azure. WatchGuard werkt ook continue verder aan dit gamma. Op dit moment komen de nieuwe boxen in de 3, 4, 5 en 6 reeks uit. Het is vandaag niet mijn bedoeling om heel dit productgamma te overlopen maar aan de hand van enkele voorbeelden uit de praktijk zou ik willen laten zien hoe dit ook toepasbaar is in het onderwijs. -> Onlangs kregen we een telefoontje van een bedrijf met de vraag om ons te helpen met het beveiligen van hun netwerk en gegevens. Dit was een klein bedrijfje - en VOF eigenlijk - met 4 mensen met elk zijn aparte taak.
- #8 (stilte) Ontmoet de Callboys. Samen hebben ze een bedrijf (vof) en delen ze een website en een kantoorruimte. Heel wat van hun communicatie loopt over internet. Denk daarbij aan een website voor videostreaming (live webcam’s tegen betaling uiteraard), social media (Tinder, Grindr, Facebook, …). Discretie is uiteraard extreem belangrijk in deze omgeving, het lekken van klantengegevens heeft grote gevolgen. Niet alleen voor de klanten maar ook financiëel. De mensen die vandaag de sessies over GDPR gevolgt hebben, weten waarover ik spreek. De callboys hebben een openminded manier van werken voor ogen. Ze willen dat iedereen voldoende toegang heeft tot internet en de internettools volledig kunnen gebruiken. Maar ze willen dit wel zo veilig mogelijk doen. Dat is voor jullie niet anders veronderstel ik.
- #9 Neem nu bijvoorbeeld Devon, een fitness guru, stevig figuur - enfin een beetje zoals mij (stilte). Devon is de fitness goeroe. Hij onderzoekt regelmatig de laatste fitness trends en wil ook steeds op de hoogte blijven van de laatste gezondheidstips, en voedingssuplementen Hoewel hij zich enkel toelegt op legale middeltjes, wordt hij toch regelmatig gelokt naar onbekende websites.
- #10 Dit is zo een voorbeeld. Onbekende websites zijn per definitie onbetrouwbaar. We weten immers weinig af van de makers. We willen zeker zijn dat verkeer van deze website grondig wordt gecontroleerd. En wat is dan het eerste waar we aan denken ? Antivirus, dat is het meest gebruikte voorbeeld. Dit is echter iets wat basisfunctionaliteit hoort te zijn bij elk firewall pfsense heeft dit doorgaans niet. Wat is nu de moeilijkheid van het scannen op virussen ? Indien je gaat doorklikken naar het mandje, kom je op een beveiligde website terecht HTTPS Maar goed, antivirus is iets wat we verwachten van elke firewall. WatchGuard gaat verder.
- #11 Misschien even toelichten wat “beveiligde website” wil zeggen: HTTP-S: de S staat voor secure. De verbinding is beveiligd, niemand kan het verkeer lezen kijk naar het voorbeeldje: http -> kan gelezen worden https: afgeschermd met certificaatje, niemand kan daarin. De techniek om dit verkeer toch te kunnen lezen bestaat, niet alleen in watchguard, maar in elke moderne firewall. Watchguard maakt echter het verschil door dit zeer snel te doen. Waarom laat ik nu dit voorbeeldje van deze webshop zien ? Indien je gaat doorklikken naar het mandje, kom je op een beveiligde website terecht. De bekende HTTPS met het groene slotje. Dit duidt erop dat de verbinding tussen de website en de gebruiker versleuteld is. Niemand kan de inhoud van dit verkeer zien. Dit inhoud van dit verkeer wordt dus niet gescand. Dit wordt steeds meer een probleem, daar er steeds meer websites hun verkeer gaan versleutelen, zelfs de video’s van netflix gaan hierover. Het wordt ook steeds gemakkelijker om dit te doen, nu er een organisatie bestaat Let’s Encrypt die als doel heeft om heel de wereld te versleutelen. Jammer genoeg kan dit ook misbruikt worden door mensen met kwade bedoelingen. Het wordt dus meer en meer belangrijk dat we dit verkeer ook gaan scannen.
- #12 Steeds meer maken virussen gebruik van encryptie. HTTPS scanning wordt echt belangrijk !!
- #13 Dit ontsleutelen en versleutelen vraagt enorm veel rekenkracht, en dat is de reden dat dit op veel firewall’s niet wordt geactiveerd. WatchGuard daarentegen biedt de snelste https scanning in de markt. Dit wordt aangetoont in rapporten van Miercom die dit onafhankelijk testen. Links zie je gegevens van 2015, waarbij je (links) de snelheid ziet van de performantie van het scannen van gewoon verkeer. Meer naar rechts zie je dat de performantie daalt naarmate er versleuteld verkeer bijkomt. Je ziet de Watchguard in het blauw er duidelijk boven steken De rechtse grafiek is van september 2016.
- #14 Maar eigenlijk is de old-school viruscanner niet meer dan een lapmiddeltje. Virusscanners werken op basis van een lijst van bekende virussen. Doorgaans duurt het enkele dagen eer een nieuw virus bekend is. Moderne – geavanceerde – virussen slagen erin om zichzelf om te vormen zodat er telkens een nieuw virus ontstaat. De APT blocker is een speciale techniek die het bestand of de code ervan zal uitvoeren in een simulatie omgeving. Op deze manier wordt het gedrag geanalyseerd, en als blijkt dat dit bestand wil knoeien met het systeem dan kan je zeker zijn dat dit een virus is.
- #15 Kort samengevat, heeft Watchguard een goeie oplossing voor onbekende websites: JA !
- #16 We hebben het tot nu toe gehad over bestanden die op een of andere manier al toegang krijgen tot het interne netwerk. Waarom niet ingrijpen vooraleer ze op het netwerk terecht komen ? Kijk naar Jay, voor hem is zijn haar en zijn uiterlijk heel belangrijk. Hij zoekt dagelijks naar nieuwe trends in haarproducten en verzorging. Dat zijn typische websites met veel advertisments. Ook de herkomst van deze advertenties zijn dikwijls dubieus. Tijdens zijn zoektocht is jay reclame tegengekomen van goedkope rayban zonnebrillen.
- #17 Op zich lijkt dit legitieme reclame te zijn, met een of andere superpromo. Je kan echter al raden dat de beloofde kortingen te mooi zijn om waar te zijn. Je verwacht goedkope chinese namaak en die krijg je ook. Wat je in dit voorbeeld niet verwacht is dat de makers achter deze verkoopssite, aan de haal gaan met je visa-kaart gegevens en op deze manier je rekening plunderen.
- #18 Deze website is ondertussen al geblokkeerd door de bevoegde instanties, maar dit heeft wel een tijdje geduurd.
- #19 Om gebruikers te beschermen tegen dit soort oplichting heeft WatchGuard een eenvoudige tool in handen, namelijk de WebBlocker functie. Via WebBlocker kunnen categoriën van websites geblokkeerd worden, waaronder advertisments, maar dit gaat nog verder, er zijn 130 categorien: De belangrijkste: Uiteraard de adult material, maar het is nogal evident dat de Callboys dit willen doorlaten. Idem voor Streaming Media zoals hun webcam video’s Vooral de standaardzaken zoals gokken en beveiligingszaken worden doorgaans gebruikt, maar het gaat verder: De mogelijkheid om newly registered websites te blokkeren is ook een goed voorbeeld dit is een lijst van websites die jonger zijn dan 48u. Cryptolockers maken gebruik van automatische creatie van websites en urls om hun software te verspreiden, via een link in een pdf document bijvoorbeeld. Doorgaans duurt het 1 tot 2 dagen eer deze website wereldwijd herkend wordt, en afgesloten wordt. Door alle nieuwe websites te blokkeren, vormt dit al geen risico meer. Dit is ook de eerste service die watchguard toevoegde aan zijn firewalls.
- #20 Maar waarom niet nog gemakkelijker ? Waarom niet gewoon een lijst maken van adressen die gekend zijn omwille van verspreiding van malware ? WatchGuard gebruikt de kennis die ze vergaren bij het scannen van de websites om een reputatielijst op te bouwen. Deze lijst wordt wereldwijd geupdate en bevat een goed beeld of bepaalde sites te vertrouwen zijn of niet. Sinds kort is daar ook een lijst van Botnets bijgekomen. Een botnet is een verzameling van miljoenen zombie-pc’s. De eigenaars van deze pc’s hebben doorgaans niet in de gaten dat er malware op hun toestel staat. Hackers hebben wel toegang tot deze netwerken en kunnen massale aanvallen lanceren. Dit aantal groeit elke dag en er komen toestellen bij zoals gameconsoles (XBOX) en IOT devices (koelkast, wasmachines, webcams, …) Via de reputation enabled defense EN de botnet detection ip list kan de communicatie tussen deze pc’s gewoon verhinderd worden. Dit zijn zeer eenvoudige instellingen in de firewall en is nogmaals een voorbeeld van hoe eenvoudig een watchguard te configureren is. Dit zal veel mogelijke problemen al tegenhouden voor ze op het netwerk geraken. Problemen voorkomen is beter dan ze genezen.
- #22 Randy is de administratieve medewerker. Hij staat in voor de afspraken, de planning, de website en doet de betalingen. Hij heeft dus toegang tot klantengegevens en de bankrekeningen.
- #23 De callboys willen absoluut voorkomen dat er klantgegevens naar buiten lekken. We hebben al gezien hoe we met een WatchGuard de hackers kunnen buitenhouden, maar we kunnen nog verder gaan. We kunnen namelijk voorkomen dat gegevens zoals visakaartnummers, telefoonnr’s, e.d. verspreid kunnen worden. Stel dat Randy - bewust of onbewust - een mail met een excel lijst van klanten probeert te sturen. De WatchGuard herkend dat er visakaart gegevens in dat excel bestand zitten en zal de mail blokkeren. De Data Loss Prevention optie bevat een groot aantal voorgedefinieerde velden zoals bankgegevens, telefoonnr’s, rijksregisternr’s en dit voor verschillende landen. En deze lijst wordt regelmatig geupdate. Je kan zelf een lijst samenstellen van gegevens die gevoelig zijn. Indien een van deze velden voorkomt in een bestand kan de firewall ingrijpen. Watchguard kan een 30-tal bestanden lezen, waaronder Word, Excel, PDF.
- #24 Een andere manier om met beveiliging om te gaan is op basis van de toepassing. De Callboys hebben ook een aparte pc voor tijdsregistratie, de prikklok. Dit is een pc die vrij beschikbaar staat in de kantoor omgeving, maar we willen niet dat deze pc zomaar op het internet kan. We willen wel dat deze pc zijn windows updates en antivirus updates kan downloaden en als er een probleem is met de pc, moet de remote helpdesk wel toegang kunnen krijgen. We kunnen met WatchGuard de toegang tot internet blokkeren, maar specifieke applicaties toch toelaten: teamviewer adobe microsoft windows antivirus andere toepassing kunnen zijn dat facebook wordt toegelaten, maar we willen niet dat medewerkers tijd verliezen met het spelen van farmville. of omgekeerd, bepaald verkeer voorrang geven op ander verkeer. Bijvoorbeeld Callboys doen ook aan live webcamming, dus voor de livestreaming via de skype webcam kunnen we een minimum van bandbreedte reserveren. De belangrijkste applicatie krijgt dus voorrang op het andere verkeer.
- #26 Als laatste zijn we toegekomen bij Wesley. Hij is de manager van de Callboys en heeft graag inzicht op wat er op zijn netwerk gebeurd. Dankzij de logging van Dimension kan Wesley perfect zien wat er op het netwerk gebeurd. Logfiles zijn doorgaans een saaie opvolging van regels tekst en cijfertjes. WatchGuard Dimension geeft daar een zinvolle betekenis aan. Het is mogelijk om via rapporten inzicht te krijgen in het gebruik van het netwerk.
- #27 Dankzij de logging van Dimension kan Wesley perfect zien wat er op het netwerk gebeurd. Logfiles zijn doorgaans een saaie opvolging van regels tekst en cijfertjes. WatchGuard Dimension geeft daar een zinvolle betekenis aan. Het is mogelijk om via rapporten inzicht te krijgen in het gebruik van het netwerk.
- #28 Ik heb niet meer voldoende tijd om de logging volledig te demonstreren, maar hier zien jullie een voorbeeldje ervan. Je kan hier als het ware de hele datastroom zien: Van waar het verkeer komt Waar het naar toe gaat Of het verkeer toegelaten is of niet. Je kan hier bijvoorbeeld zien dat er toch nog iemand probeert om toegang te krijgen die verboden is, hier vanonder in de rode kleur. Je kan dan hier op verder klikken tot op het niveau van de pc of persoon zelf. Op deze manier kan je nagaan wat de reden is van deze toegang, en eventueel je policies aanpassen of je medewerker op de vingers tikken. WatchGuard Dimension is een heel uitgebreide rapporteringstool die bovendien gratis bij de firewall zit.
- #30 Om samen te vatten werkt de security vandaag niet meer op één niveau. Het is belangrijk om een verdedingsmuur te bouwen in verschillende lagen. Elke laag kan zo de andere laag aanvullen. In eerste instantie willen we de mogelijke risico’s zo veel mogelijk gaan beperken door preventief in te grijpen. Via RED, WebBlocker e.d. wordt alle ongewenste zaken al geblokkeerd voor ze een bedreiging vormen. Het verkeer dat we moeten doorlaten, gaan we analyseren via de Antivirus met HTTPS scanning, APT Blocker, eventueel de Spamfilter en Intrusion Prevention waar ik het niet over gehad heb, maar dit gaat ons te ver leiden. Jullie snappen het plaatje wel. Wat als er ondanks al deze verschillende beveiligingsniveau’s toch nog iets door de firewall geraakt ? Dan biedt geen enkele firewall nog bescherming. Behalve de WatchGuard !!
- #31 WatchGuard heeft namelijk sinds begin dit jaar de service Thread Detection and Response. Hierbij wordt een sensor geïnstalleerd op de client-pc’s. Op deze manier kan de pc in de gaten gehouden worden. Wat is nu de sterkte van de TDR ? De events die op de pc gebeuren worden samengevoegd met events van de firewall en ook van de cloud.
- #32 Hiervoor heeft watchguard een bijkomende techniek ontwikkeld. Dit is een tooltje dat we op de client pc’s gaan installeren. Deze tool houdt jouw systeem in de gaten en gaat processen in de gaten houden. Op basis hiervan wordt een score toegekend. Indien er een applicatie geinstalleerd wordt, dan zal bekeken worden wat deze software allemaal uitspookt op jouw pc. Stel, er wordt een applicatie geinstalleerd: dat betekend toegang tot systeembestanden, wijzigingen in de registry en dat soort zaken. Op basis hiervan is het moeilijk om uit te maken of dit kwaadaardig is of niet. Opgepast, het gaat hier over onbekende installatiebestanden. Van gekende bestanden weten we uiteraard of ze goed of slechts zijn, daar hebben we al een antivirus voor op de pc’s, en de check van de firewall’s. Wat doet deze dienst dan meer ? Wel, we gaan de informatie van de pc’s combineren/correleren/samenvoegen met de informatie van de firewall. Als de bewuste applicatie ook nog toegang gaat proberen te krijgen met een website die verboden is door de firewal (bijvoorbeeld een botnet) dan hebben we voldoende info om te beslissen of het bestand kwaadaardig is.
- #33 Dankzij deze techniek kan watchguard niet alleen preventief optreden, maar ook detecteren als iets niet in in orde. Deze info kan samen met andere info van het netwerk en pc’s gecombineerd worden en daar kan ook een actie aan gekoppeld worden. Met name, het bewuste process dat een risico vormt kan wordt afgesloten en wijzigingen aan het systeem kunnen terug gedraaid worden Op deze manier beschermd watchguard je hele netwerk, zowel aan de buitenkant als de binnenkant.
- #34 Besluit - call to action Tot slot wil ik nog even meegeven dat EuroSys als enige in de Benelux Platinum partner is en dat we samen aan jullie beveiliging kunnen werken. Als jullie nog meer willen weten, spreek mij sffs gerust aan of nodig mij uit voor een tas koffie. Dankuwel.