Thjeshtësia e Përdorimit
Download
Report
Transcript Thjeshtësia e Përdorimit
Avancimi i
Sigurisë
progresi dhe përkushtimi
Vigan Budima
System Engineer
Pronet, Prishtinë
[email protected]
www.pronet-ks.com
Agjenda
Pasqyra e Sigurisë
Besueshmëria në TI dhe Menaxhimi i Rrezikut
Windows XP SP2 / Windows Server 2003 SP1 / R2
Menaxhimi i arnave (patches)
Firewall-ët / ISA Server 2004
Përmbledhje
Çështjet Aktuale të Sigurisë
Industria
Rreziqet
1 Burimi: Forrester Research
2 Burimi: Information Week, 26 November 2001
3 Burimi: Netcraft summary
4 Burimi: CERT, 2003
14 miliardë pajisje të kyçura në Internet deri në 2010 1
2
35 milion shfrytëzues nga larg në 2005
65% ngritje në numrin e web faqeve dinamike 3
Nga viti 2000 deri më 2002, numri i incidenteve të
raportuara u ngrit nga 21,756 në 82,094 4
Nga 445 kompani të anketuara, gati 80% e tyre thanë se
Interneti ka qenë pika e rëndomtë e sulmit, nga 57% sa
ishin para dy viteve 5
90 % zbuluan ndërhyrje në sistem 6
85 % zbuluan sulme të viruseve kompjuterike 6
95 % e të gjitha ndërhyrjeve kanë qenë të shmangshme
me konfigurim alternativ 7
Rreth 70 % e të gjitha Web sulmeve ndodhin në shtresën
e aplikacioneve 8
5 Burimi: CSI/FBI Computer Crime and Security Survey
6 Burimi: Computer Security Institute (CSI) Computer Crime and Security Survey 2002
7 Burimi: CERT, 2002
8 Burimi: Gartner Group
Aftësi ripërtëritëse në
sulme
Kontrolli individual në të
dhënat personale
Mbron fshehtësinë, Produktet dhe online
integritetin, mundësinë
shërbimet mbështeten në
e qasjes në të dhëna
parime të drejta informatike
dhe sisteme
Mbron të drejtën e
individëve për tu mos
penguar nga askush
Përsosmëri Inxhinierie
I besueshëm,
funksionon në nivele
të pritura
I hapur, bashkëveprim
transparent me klientë
I adreson çështjet me
produkte dhe shërbime
I ndihmon klientët të gjejnë
zgjedhjen e përshtatshme
Në dispozicion kur
nevojitet
Biznesi me Siguri në funksion
Ndikimi
në Biznes
Gjasat e
Sulmit
Niveli i
Rrezikut
Zvogëlo Rrezikun
Vlerëso Rrethanat
Përmirëso izolimin dhe aftësitë
ripërtëritëse
Zhvillo dhe zbato kontrollet
Ngrit Vlerën e Biznesit
Kyçu me klientët
Integrohu me partnerët
Jepi mundësi të reja
punëtorëve
ROI
Të ndërlidhur
Produktiv
Bindjet që qojnë në Besueshmëri
1.
2.
Identiteti im nuk është rrezikuar.
Të dhënat që më duhen janë të sigurta dhe të gatshme, me
këtë definim:
3.
4.
5.
Të sigurta. Të sigurta nga mashtrimet, të sigurta nga qasjet e
paautorizuara.
Të gatshme. Në dispozicion dhe pa mangësi të sigurisë, në
dispozicion sipas marrëveshjeve të shërbimit.
Qarkullimi i të dhënave të mija është konfidencial / privat
Jam i vetëdijshëm për rolin tim dhe jam përgjegjës për
detyrat e mija për të siguruar ambient të sigurt.
Unë pranoj raport me kohë për rreziqet që mund të kenë
efekt tek unë.
Menaxhimi i Rrezikut
Lartë
Rrezik i
Papranueshëm
Ndikimi
Implementimi i
kontrolleve për të
zvogëluar rrezikun
Rrezik i
Pranueshëm
Ulët
Gjasat e Ndikimit
Rreziku
Aktual
Lartë
Struktura e Menaxhimit të Rrezikut
Vlerëso
Rrezikun
Verifiko
&
Menaxho
Defino
Politikat
Zbato
Kontrollet
Komponentet e Vlerësimit të Rrezikut
Vlera
Kërcënimi
Çka vlerësoni
në biznesin
tuaj?
Çka frikoheni se
mund të
ndodhë?
Pikat e
dobëta
Si mund të
ndodhë
sulmi?
Zbutja
Çka është
duke e
zvogëluar
rrezikun?
Gjasat
Ndikimi
Çfarë ndikimi
ka në
biznes?
+
Sa është i mundshëm sulmi
duke pas
parasysh
kontrollet?
=
Niveli Aktual i
Rrezikut
Çfarë janë gjasat që kërcënimi do ti tejkaloj
kontrollet për të shfrytëzuar me sukses pikat
e dobëta dhe të ketë ndikim në vlerat tona?
Ekosistemi i
Sigurisë së TI
Keqpërdorimi i konfigurimit të
gabuar, buffer overflows,
share folderë të hapur,
NetBIOS sulme
Ndikimet Eksterne
(njerëzit, bug-at, etj.)
Pajisja
Aplikacioni
Përgjimi i të
dhënave nëpër
rrjetë,
fingerprinting
Rrjeti
Siguria e
Sistemit të TI
Llogaria
Besimi
Ndikimet Eksterne
(njerëzit, bug-at, etj.)
Qasje e paautorizuar në
aplikacione, alokim i
pakontrolluar i memories
Trustet e pamenaxhuara
lejojnë lëvizjen ndërmjet
mjediseve të ndryshme
Rrezikim i integritetit
dhe fshehtësisë së
llogarisë
Windows XP SP2
Mbrojtja e Rrjetit
Email & IM më të sigurt
Web Browsing më i
sigurt
Mbrojtje kundër
Buffer Overruns
Komunikoni dhe bashkëpunoni në mënyrë më të sigurtë
pa sakrifikuar produktivitetin e punëtorëve
Windows Server 2003
SD3 + Communications
Secure by
Design
Secure by
Default
Secure in
Deployment
Communications
Arkitekturë e Sigurt
Mundësi të reja por me Siguri në mëndje
Reduktim i pikave të dobëta në vet kod-in prog.
Reduktim i fushave të sulmit: IIS 6
Mundësitë e papërdorura të shkyçura në fillim
Privilegje minimale të nevojshme për punë
Politika kufizuese të softverit
Vegla për shikimin e Politikave Efektive
Wireless 802.1X
Përkushtim i plotë në Siguri
Anëtarë i komunitetit për siguri
Microsoft Security Response Center
Windows Server 2003 SP1
Pasqyra e produktit
Misioni i Windows Server 2003 SP1 është që të shtoj
sigurinë, besueshmërinë dhe performansat e Windows
Server 2003 në mënyrë që të ulë shpenzimet e klientëve si
dhe të ngrisë nivelin e përmbushjes së kërkesave të tyre
Windows Server 2003 SP1 është një koleksion i versioneve
të reja të veglave si dhe shumë përmirësimeve të sigurisë
për versionin aktual të sistemit operativ Windows Server
2003
Version i ri i Windows Server 2003
“Codename R2”
I ndërtuar mbi bazën e Windows Server 2003 SP1
Motivet Kyçe dhe Skenarët
Qasje e Efektshme dhe e Sigurt e Informatave
Qasje e Padukshme për shfrytëzues që mund të gjenden kudo
Identitet unik ndërmjet kompanive të lidhura
Mbrojtja e Zgjeruar e Rrjetit
Optimizim i Punëve në Zyrat e Degëve
Mënyrë e thjeshtësuar e shpërndarjes dhe menaxhimit të serverëve të
degëve
Shfrytëzim i optimizuar i WAN
R2- Qasje e Padukshme për shfrytëzues që mund të
gjenden kudo
Qasje në file-a, Web dhe Terminal Services në mënyrën Point to point
Shpërndarje e lehtë
Punon kudo që gjenden shfrytëzuesit
Më i sigurt se VPN
Anywhere Access
Server
File Shares
Aplikacionet
nëpërmjet TS
https://
Outlook nëpërmjet
Exchange
R2 - Identitet unik ndërmjet
kompanive të lidhura
Active Directory Federation Services
Bën zgjerimin e Active Directory për të lejuar një sign-on të vetëm ndërmjet kompanive
Eliminon nevojën që IT-të të menaxhojnë llogari të ndara për shfrytëzues të jashtëm
Bashkëvepron me platforma tjera bazuar në standarde
AD
Kompania A
AD
Kompania B
R2- Mbrojtje e Zgjeruar e Rrjetit
Nga Shtëpitë
(VPN, Dial up)
Laptop Kompjuterë
Kompjuterë jo të
shëndoshë
Konsultantë
Mysafirë
Kontrolli ‘Shëndetësor’
Bën kontrollin e “shëndetin” të
klientit
Kontrolli i Qasjes në Rrjetë
Klientët që kalojnë testin do të
kenë qasje në rrjet
Klientët që nuk kalojnë testin do
të futën në karantinë
Mirëmbajtja e “shëndetit”
Klientëve nga karantina iu
mundësohet qasja në resurse të
nevojshme për tu bërë të
“shëndoshë”
R2 - Optimizim i Punëve në Zyrat e Degëve
WAN apo
INTERNET
Optimizim i WAN trafikut
Përmbajtja ruhet si Cache/Mirror nëpër degë
Menaxhim qendror, backup i të dhënave nga qendra
Dega plotësisht funksionale nëse ka problem në lidhje
Menaxhimi i Arnave (Patches)
Më pak i ndërlikuar
Eksperiencë unike
Reduktim i Rrezikut
Arna më kualitative
Mundësi e deinstalimit për të gjitha arnat
Reduktim i Madhësisë
Përmirësime përmbledhëse për 30-80% të
arnave të vogla
10-30% më pak ristartime
Reduktim i kohës
joproduktive
Windows Update > Microsoft Update
SUS > Windows Update Services
SMS 2003
Shtegu i “Update”
Sistemit
“Microsoft Update”
(Windows Update)
Office
Update
Windows Download
Update
Center VS Update
Sot
Nesër
AutoUpdate
Windows,
SQL,
Vetëm
Windows
Exchange, Office…
Vetëm Windows
Windows,
SQL,
Exchange, Office…
Windows
SUS
Update
Services
SMS
Windows, SQL,
Exchange, Office…
Roli i Firewall-ëve
Firewall-i bllokon sulmet para se ato të arrijnë cakun
e tyre
Firewall-ët mund të mbrojnë sisteme të ndryshme
Mbrojtja me Firewall mund të ‘blejë’ kohë derisa të gjithë
serverët e mbrojtur të sigurohen
Firewall-ët ndihmojnë në mbrojtjen e kompjuterëve të
klientëve që nuk janë siguruar si duhet
Firewall-ët mund të shërbejnë si pikë qendrore e
qasjes
Kombinim i firewall-it dhe VPN gateway-it
Firewall-ët mundësojnë raporte qendrore rreth
përdorimit të rrjetit
Kufizimet e Firewall-ëve Tradicional
Të hapur kundrejt
sulmeve të
avancuara
Menaxhim i vështirë
Shkëmbim i
performansës
kundrejt sigurisë
Kapacitet i kufizuar i
rritjes
Sulmet e nivelit të Aplikacioneve: Code-Red, Nimda
Anashkalimi i zbulimit nëpërmjet enkriptimit: SSL
Siguria është e ndërlikuar
Ekipi i TI tanimë është i stërngarkuar
Bandwidth-i është i kufizuar dhe i shtrenjtë
Inspektimi i trafikut ulë performansat
Rritja kërkon hardver të ri, i vjetri nuk mund të
përdorët diku tjetër
Rritja kërkon blerjen e licencave të reja
Evoluimi i Perimetrit të Sigurisë
Të hapur kundrejt
sulmeve të
avancuara
Mbrojtje në nivelin e
Aplikacioneve
Menaxhim i vështirë
Përdorim i Thjeshtëzuar
Shkëmbim i
performansës
kundrejt sigurisë
Siguria dhe Performansa
Kapacitet i kufizuar i
rritjes
Zgjerueshmëria dhe Skalabiliteti
Microsoft ISA Server 2004
“Firewall i avancuar i nivelit të aplikacioneve, VPN dhe Web Cache zgjedhje e
cila i mundëson klientëve të risin investimet e TI duke përmirësuar sigurinë dhe
performansën e rrjetit”
Mbrojtje e Avancuar
Siguri e nivelit të aplikacioneve e dizajnuar të mbrojë aplikacionet e Microsoft-it
Thjeshtësia e Përdorimit
Shpërndarja, menaxhimi dhe mundësia e skenarëve të rinj të përdorimit në
mënyrë sa më të efektshme
Qasje e Shpejtë dhe e Sigurt
Fuqia e kyçjes së shfrytëzuesve në informatat relevante në rrjetë dhe atë në
mënyrë sa më racionale ekonomike
Si e sheh Firewall-i Tradicional një
paketë?
Vetëm Header-i i paketës kontrollohet
Përmbajtja e nivelit të Aplikacioneve paraqitet si një “kuti e zezë”
IP Header
TCP Header
Source Address,
Dest. Address,
TTL,
Checksum
Sequence Number
Source Port,
Destination Port,
Checksum
Përmbajtja e Nivelit të
Aplikacioneve
??????????????????????
??????????????????????
Vendimet e përcjelljes së paketave bazohet në numrat e porteve
Trafiku legjitim dhe sulmet e nivelit të aplikacioneve përdorin portet e njëjta
Interneti
HTTP Trafik i pritur
HTTP Trafik i papritur
Sulmet
Trafik jo-HTTP
Rrjeti i
Ndërmarrjes
Si e sheh ISA Server një paketë?
Përveç header-it të paketës kontrollohet edhe përmbajtja e nivelit të aplikacioneve
IP Header
Source Address,
Dest. Address,
TTL,
Checksum
TCP Header
Sequence Number
Source Port,
Destination Port,
Checksum
Application Layer Content
<html><head><meta httpquiv="content-type"
content="text/html; charset=UTF8"><title>MSNBC - MSNBC Front
Page</title><link rel="stylesheet"
Vendimet e përcjelljes së paketave bazohet në përmbajtje të vet paketit
Vetëm trafiku legjitim dhe i lejuar procesohet më tutje
Interneti
HTTP Trafik i pritur
HTTP Trafik i papritur
Sulmet
Trafik jo-HTTP
Rrjeti i
Ndërmarrjes
Mbrojtja e OWA
Dërgimii iNivelit
shënimeve
me Basic authentication
Filtrimi
të Aplikacioneve
nëpërmjet ISA
ISA Server mund të
Server
ISA Server bën autentifikimin e OWA serveri bën kërkesën
ISAdhe
Server
ndalon Web sulmet në
dekodoj
inspektoj
për
autentifikim
– çdo
shfrytëzuesit, eliminon nevojën
eskaj
…gjë
që
lejon
viruset
dhe
të rrjetit
edhe
nëse
janë të
SSL
trafikun
ISA
Server
shfrytëzues
i Internetit
përsëritjes së login dritares sulmet
dhe tjera
të kalojnë
të
koduar
me
SSL
mund
të
ketë
qasje
në
lejon vetëm trafikun legal
pavërejtura…
FNA
këtë dritare
SSL
SSL
SSL apo HTTP
Interneti
klienti
ISA Firewall-i
Server 2004
Tradicional
OWA
SSL tuneli kalon nëpër
firewall tradicional pasi
që i kontrolluar
trafiku
mund
të përcjellët
tek serverët
…dhe
të infektojnë
serverët
e
është i koduar...e brendshëm i ri-koduar brendshëm…
apo në mënyrë të thjeshtë
Thjeshtësia e Përdorimit
Vegla të reja dhe të thjeshta për përdorim
ISA Server 2004 Management Console tërësisht e
ridizajnuar nga versionet e mëparshme
Të gjitha veglat për ndonjë detyrë të caktuar gjenden në
një vend
Mësohet lehtë
Thjeshtësia
e përdorimit mund të zvogëlojë gjasat e sulmeve
për shkak të konfigurimit të gabuar
Administrim lokal apo nga largësia
Veglat e njëjta për konfigurim dhe monitorim të
firewall-it, cache-it dhe VPN gateway
Thjeshtësia e Përdorimit
Pasqyra
Vegla të thjeshtëzuara për administrim
Zvogëlim i shpenzimeve të trajnimit
Parandalon konfigurimet e gabuara
Firewall politikat e unifikuara
Ndihmon që shpenzimet e administrimit të jenë të ulta
Thjeshtësia e Përdorimit
Administrim i bazuar në detyra
Qasje e
lehtë në
detyrat e
zakonshme
Të gjitha veglat
për ndonjë
detyrë të
caktuar janë në
dispozicion kur
nevojiten
Thjeshtësia e Përdorimit
Monitorimi
Monitorim Real-time
Lloje të ndryshme të raporteve që përmbledhin
aktivitetet dhe performansat e përdorimit të
Internetit
Dashboard
është pikënisje
për çfarëdo lloj
monitorimi
Thjeshtësia e Përdorimit
Raportimi
Gamë e gjerë e mundësive të raportimit
Thjeshtësia e Përdorimit
Instalim i lehtësuar
Përkrahje për më shumë rrjete
Punon në infrastrukturën tuaj të mëparshme të rrjetit
Përforcon investimet e mëparshme të TI
Përkrahje e gjerë për klientë
Përkrahë çdo pajisje që përdorë TCP/IP
Firewall Client shton mundësi të reja për Windows klientë
Ngarkesë e ulët administrative gjatë instalimit
dhe mirëmbajtjes së rrjetit.
Thjeshtësia e Përdorimit
I përshtatet ndryshimeve të rrjetit
Fleksibil në përkrahjen e llojeve të ndryshme të rrjetave
Shabllone për instalim sa më të thjeshtë
Thjeshtësia e Përdorimit
Mundësi e Zgjerimit
Zgjerimi
Kalim në hardver më të mirë dhe përdorimi i serverëve
aktual për nevoja tjera pa pasur nevojë të blihet licencë
tjetër e ISA Server 2004
Klonimi i konfigurimit
Konfigurimi i definuar mund të kopjohet lehtë me XML
eksport
Ruhen të gjitha rregullat dhe konfigurimet aktuale
Zgjerim i lehtë me rritjen e kërkesave të ndërmarrjes.
Thjeshtësia e Përdorimit
Alarmimi
Metoda të Alarmimit në numër të madh të ngjarjeve
Mundësi fleksibile të Alarmimit
Risi: Verifikimi i Lidhjeve
Linja e Produkteve
ISA Server 2004 Standard Edition
ISA Server 2004 Enterprise Edition
Lëshuar në treg në Korrik 2004
Windows 2000 Server apo Windows Server 2003
Lëshuar në treg në Mars 2005
Menaxhim i Centralizuar, High-Availability, array caching (CARP)
Windows Server 2003
ISA Server appliances nga HP, Celestix, RimApp, Network
Engines
Orari i ngjarjeve (siguria)
< H2 04
Microsoft Baseline Security Analyzer (MBSA) v1.2
Virus Cleaner Tools
Systems Management Server (SMS) 2003
Software Update Services (SUS) SP1
Internet Security and Acceleration (ISA) Server 2004 Standard Edition
Windows XP Service Pack 2
Patching Technology Improvements (MSI 3.0)
Systems Management Server 2003 SP1
Microsoft Operations Manager 2005
Internet Security and Acceleration (ISA) Server 2004 Enterprise Edition
Windows Server 2003 Service Pack 1
Audit Collection Services (ACS)
Security Configuration Wizard (SCW)
Sot
H2 05
Windows Update Services
Windows Rights Management Services SP1
System Center 2005
Windows Server 2003 “R2”
E Ardhmja
Vulnerability Assessment and Remediation
Active Protection Technologies
Visual Studio “Whidbey”
Longhorn
Ju faleminderit!
[email protected]
www.pronet-ks.com
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.