The question is not if you are paranoid, it is if you are paranoid enough. Anonymous

Transkript

1 The question is not if you are paranoid, it is if you are paranoid enough. Anonymous

2 ATT BYGGA SÄKRARE NÄT VARFÖR DET INTE RÄCKER MED EN VALLGRAV LÄNGRE Martin Englund Senior Security Engineer Sun IT Security Office

3 Agenda Introduktion & bakgrund Problemställning Lösningar Summering

4 Sun IT och SWAN Sun IT > Sköter Suns IT-drift i över 170 länder SWAN (Sun Wide Area Network) > Suns intranät > Började som ett labnät för utvecklingen av TCP/IP till SunOS > Användarvänlighet har fått gå före säkerhet > Har växt mycket fort!

5 SWAN 1985: Pre-SWAN > Bara lokala nätverk 1987: SWAN Phase I > 14.4 kbps ring: Milpitas, Washington, Chelmsford, Dallas 1991: SWAN Phase I > 20 fler städer och snabbare länkar 1993: SWAN Phase II > T1 stamnät, två transatlantiska länkar till England 1995: SWAN Phase III > Outsourcat till MCI, byte från Sun-utrustning till Cisco

6 x 4 M T A 2 x BUR SWAN 6 M e g GMP02 AFT02 SIN05 SUN MRK07 2 x SCA 2 3 M e g A T M vnc01 AUS08 MPK BRM 2 x ASH01 CLT NWK GigE OC3 DS3 E1 DS1 AS AS65001 AS65002 AS65003 AS65005 AS65006 AS65007 AS65008 AS65009 SWAN-BGP Connections 1 of 1 Rev 8 Marble 05/09/05

7 Agenda Introduktion & bakgrund Problemställning Lösningar Summering

8 Problemställning Vi har ett nästan platt nätverk utan segregation och med otillräcklig behörighetskontroll Hur får vi bättre kontroll på: > Vem som har tillgång till nätverket? > Vem som är vem? > Vem som har tillgång till vad? Mitt jobb: > Undersök hur vi förhindrar anonym åtkomst till nätverket

9 Hotbilder Börja med att analysera hotbilderna > Interna > Externa > Processer > Personer > Teknologier >...

10 Hotbild #1 Anställda kopplar in otillåtna (och felkonfigurerade) WLAN som ger alla inom räckvidd full tillgång till nätverket

11 Hotbild #2 Anställda jobbar hemma och använder sig av dåligt underhållna datorer

12 Hotbild #3 Outsourcing firmor ges (full) tillgång till nätverket för att kunna sköta drift och administration

13 Hotbild #4 Partners tillåts att hämta data direkt ifrån interna system

14 Vad gör vi åt de nya hotbilderna? VPN WLAN Partners Outsourcing

15 Traditionell nätverksstruktur fungerar inte längre Borg och vallgrav (castle and moat) > Fungerar bara om man har en tydligt definierad in- och utsida Vad gör man när man har för många på insidan som man inte litar på? > NIDS? HIDS? WIDS? IPS? > Åtgärdar bara symptomen inte problemet Vi har tagit bort portarna i ringmuren!

16 Agenda Introduktion & bakgrund Problemställning Lösningar Summering

17 Lösningar Många sätt att lösa problemet Viktiga faktorer > Kostnad > Tid att implementera > Platformsoberoende > Skalbarhet

18 Lösning #1: Ny nätverkslayout Riktig segregering av nätverket Fördelar > Eliminerar grundproblemet > Nätverket blir motståndskraftigare > Lätt att lägga till filtrering Nackdelar > Kräver mycket resurser att implementera > Tar lång tid att implementera

19 Segregering av nätverket Ingen gräns mellan nätverken Tydligt definierade snittytor Servrar Servrar Lab Transportnät Lab DHCP DHCP

20 Lösning #2: IPsec Kräv IPsec med ett CA-utfärdat certifikat för att komma åt datorerna på det interna nätverket Fördelar > Reducerar behovet av perimeterskydd > Ger en logisk segregation av nätverket > IPsec finns till de flesta operativsystem Nackdelar > Svårt att göra en gradvis driftsättning > Komplicerad certifikathantering

21 Lösning #3: 802.1x Kräver autentifiering av enheter som ansluts innan de ges full tillgång till nätverket Fördelar > Delvis segregation av nätverket Nackdelar > Saknar klientprogramvara för vissa platformar > Kräver stöd i switcharna (uppgradering/inköp)

22 Delvis segregation av nätverket m.h.a x Ingen gräns mellan nätverken Tydligt definierad snittyta Servrar Servrar Lab Lab DHCP DHCP

23 Lösning #4: Blackbox (hotell-lösning) Installera en blackbox mellan varje nätverk och SWAN som kontrollerar åtkomsten Fördelar > Enkel att driftsätta > Delvis segregation av nätverket Nackdelar > Dyr lösning när man har hundratals kontor > Mest inriktad på web-traffik > Leverantörsspecifik lösning

24 Agenda Introduktion & bakgrund Problemställning Lösningar Summering

25 Hur bygger man ett säkert nätverk? Segregera nätverket ordentligt från början > Det är svårt och dyrt att göra i efterhand Var försiktig om ni outsourcar > Se till att ha säkerhet med i kontraktet Filtrera i skärningspunkterna > Använd t.ex. AppGate Lite inte på klienterna > Anta att alla kommer från Internet

26 Frågor?

27 ATT BYGGA SÄKRARE NÄT VARFÖR DET INTE RÄCKER MED EN VALLGRAV LÄNGRE Martin Englund