Upload
conradine-leffert
View
107
Download
1
Embed Size (px)
Citation preview
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview
Security im SMB Markt erfolgreich verkaufen
Sprecher
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 2
Inhalt
Marktopportunitäten und Trends
Die Cisco Security Story
Grundlagen der Sicherheit
Verkaufen von Cisco Produkten
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 3
Marktopportunitäten und Trends
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 4
Definition SMB
SMB
Mittlere (Medium-Sized) Unternehmen
100–249 Angestellte
Kleine (small) Unternehmen5–99 Angestellte
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 5
SMB Profil
Source: Cisco Focus Groups, 2007
Gleiche Technologie-anforderungen und Herausforderungen wie Großunternehmen
Kaum oder kein internes IT-Wissen oder Kompetenz
Frustriert durch Probleme und Produktivitätsverluste durch:
- Viren, Würmer
- Spyware
- Benutzerfehler
Technologie wird als Geschäftsgrundlage gesehen, und nicht als Bürokosten!
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 6
SMB Entscheidungsträger verstehen
Wie schütze ich meine
Ressourcen?
Wie können wir produktiver sein?
Wie kann ich meine
Profitabilität steigern?
Wie kann ich mich besser an sich ver-ändernde Bedingungen anpassen?
UND all das mit begrenztem Personal
und Budget erreichen?
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 7
Einschätzung der SMB Situation
Marktforschung weist auf starke Nachfrage nach ASA 5500- und Integrated Services Router-Funktionen bei SMBs hin:
- IPS: 39% Forrester, 25% Gartner
- Content Security: 36% Forrester, 35% Gartner
- SSL: 25% Gartner
Handhabbarkeit (“Manageability”) ist die wichtigste Funktion für SMBs
Source: Forrester, Dec 2006
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 8
Infrastruktur-Einführung und Ausgaben*
SMBs wollen Sicherheitstechnologien jeder Art kaufen oder upgraden
Netzwerk Firewalls
Intrusion Detection
Content Sicherheit
Gateway Anti-Spyware Appliance
Gateway Anti-Virus Appliance
*December 2006, Data Overview “The State Of Security In SMBs And Enterprises”
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 9
Die Cisco Security Story
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 10
Ein Systemansatz wird benötigt
Komplexe Umgebung Lücken und
Uneinheitlichkeit Geringere Visibilität Schwierigeres
Management Höhere TCO
Vereinfachte Umgebung
Enge Integration, enge Sicherheit
Bessere Visibilität
Einfacher zu implementieren und zu managen
Niedrigere TCO
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 11
Cisco Self-Defending NetworkEin Systemansatz für die IT Sicherheit
Jedes Element kann ein Punkt sein, an dem
Verteidigung und die Durchsetzung von
Richtlinien stattfinden
Integriert
Proaktive Sicherheits- technologien, die
Bedrohungen automatisch verhindern
Anpassbar
Zusammenarbeit zwischen den Services
und Geräten im gesamten Netzwerk, um
Netzwerkangriffe zu vereiteln
Kollaborativ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 12
Die Alternative…
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 13
Ein Marktführer, dem es um Sicherheit geht
Innovative Produkte und Technologien
1500+ Ingenieure mit Schwerpunkt Sicherheit
Neun Übernahmen haben unser Lösungsportfolio in den letzten zwei Jahren erweitert
Auf Mittelstand ausgerichtete Sicherheitsprodukte
“ Da das Netzwerk eine strategische Ressource des Kunden ist, ist der Schutz der geschäftskritischen Anwendungen und Ressourcen eine der Prioritäten.”
John Chambers, Chairman & CEO, Cisco
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 14
Warum ist Cisco der richtige Partner?
Differenzierung Setzen Sie sich von der großen Masse ab
Nutzen Sie die MarkeCisco
Cisco SMB Lösungen
Cisco Support
werden Sie Teil des Cisco Partner Programms
Spezifische Cisco-Produkte für den SMB Sicherheitsmarkt Cisco Adaptive Security Appliance und Integrated Service Router
Zugang zu SMB Marktopportunitäten und Trends Support durch Distributionspartner Vertriebs- und Marketing-Tools und Ressourcen
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 15
Grundlagen der Sicherheit
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 16
Bedrohungen der Netzwerksicherheit
Bedrohungen der Netzwerksicherheit umfassen:
- Network Service-Angriffe
- Diebstahl und Abfangen von Daten
- Software-basierte Viren, Würmer und trojanische Pferde
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 17
Denial of Service
Die häufigste Form von Network Service-Angriff:
Eine Kette von völlig überflüssigen Befehlen oder Anfragen, die an ein Netzwerkgerät geschickt werden, um das Gerät aus dem Service zu nehmen
Beispiel: Ein Angreifer “pingt” einen Router mit Anfragen, bis der Router zu ausgelastet ist, um auf legitime Netzwerkanfragen zu reagieren
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 18
Diebstahl und Abfangen von Daten
Kann so einfach sein wie ein Eindringling, der eine Datei mit vertraulichen Informationen stiehlt.
Daten können auch während der Übertragung abgefangen werden, so dass die Informationen eingesehen und eventuell geändert werden können.
Ein großer Prozentsatz des Datendiebstahls geschieht aus der Organisation heraus.
Angreifer
Autorisierter Benutzer
Server Gehaltsbuchhaltung
HR Server
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 19
Angriffe durch Würmer, Viren und trojanische Pferde
Die primären Schwachstellen von Endbenutzer Workstations:
Ein Wurm führt willkürlichen Code aus und installiert Kopien von sich selbst im Hauptspeicher des infizierten Computers, der dann andere Hosts infiziert.
Ein Virus ist böswillige Software, die an ein anderes Programm angehängt ist, um eine bestimmte ungewollte Funktion auf der Workstation eines Benutzers auszuführen.
Ein trojanisches Pferd unterscheidet sich hiervon nur in sofern, als die gesamte Anwendungen mit dem Ziel geschrieben wurde, wie eine andere auszusehen, obwohl es sich um einen Angriff handelt.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 20
Was ist eine Firewall?
Firewalls stellen den ersten Verteidigungswall dar, indem sie:
unautorisierten Zugriff auf ein Netzwerk verhindern und autorisierte Benutzer zulassen.
die Fähigkeit bieten, Internet Services zu einem’ begrenzten Grad der Außenwelt zur Verfügung zu stellen, und zwar über ein DMZ.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 21
Firewalls sind äußerst wirkungsvoll wenn es darum geht, unautorisierten Zugriff auf das Netzwerk und viele Angriffe zu verhindern, und zwar indem sie eine Barriere zwischen “Trusted” und “Untrusted” Netzwerken aufbauen
Unternehmensnetzwerk
“Trusted” Seite“Untrusted” Seite
State TableVon “Trusted”
Benutzern initiierte Sessions und
Reaktionen
Firewall
Versuch, unautorisierten
Zugang zu erlangen
Wie funktioniert eine Firewall?
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 22
Tunneling Technologie
Tunneling ist eine Methode, bei der das Internet dazu verwendet wird, Daten von einem Netzwerk zum anderen zu übertragen. Hierbei wird das Datenpaket mit einer schützenden Encryption Shell gesichert.
Tunnel
VPN
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 23
Was ist ein VPN?
VPNs sorgen dafür, dass die Vertraulichkeit und Integrität von Daten in dynamischen Umgebungen geschützt werden.
VPNs bieten Schutz vor dem Abfangen von ungeschützten Ressourcen, und zwar mit Hilfe von sicherer Vernetzung, Verschlüsselung und Authentifizierung von Datenverkehr.
Unternehmens-LANs und Remote Benutzer können über die gleichen Internetzugangsmethoden auf das Netzwerk zugreifen: Einwahl, (DSL), Kabel, ISDN und Wireless.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 24
Wie funktionieren VPNs?VPNs sichern die Kommunikation durch: Authentifizierung…..Verifiziert Benutzer/Geräte
Verschlüsselung.….Sorgt für Vertraulichkeit von Nachrichten
Hashing……………..Bestätigt die Integrität von Nachrichten
Hashing 42
&t2 o7Sa
Hash aus Nachricht entfernt
Hash = 42Hashing
Algorithmus
Verifizierung
Bei Erhalt der
Nachricht
Unverschlüsselte Nachricht
Key“Hallo” “@p 1J”Verschlüsselte
Nachricht
Verschlüsselung
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 25
Was ist Intrusion Prevention (IPS)
IPS bietet eine zusätzliche Schutzschicht, die Firewalls allein einfach nicht bieten können. Es folgen einige der zentralen Bedrohungen, gegen die IPS zusätzlichen Schutz bietet:
- Würmer
- Trojanische Pferde
- Bots
- Anwendungsangriffe
- Port Scans und Hacking-Versuche
- Covert Channel Kommunikation
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 26
Wie funktioniert IPS?
IPS schützt ein Netzwerk, indem es Pakete daraufhin überprüft, ob sie bestimmten identifizierbaren Eigenschaften (Signaturen) böswilliger Aktivität entsprechen.
Pakete IPS
Passt?
Signatur Datenbank
Event protokollieren
Paket fallen lassen
Session beenden
Ja
Pakete
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 27
Was ist Content Security?
Content Security steht für eine Vielzahl von Schutzmaßnahmen der Netzwerksicherheit, die Informationen, Benutzer und Geräte vor gemeinsamen Bedrohungen schützen sollen
Umfassender Schutz vor Malware
Integriert Antivirus und Malware-Technologie, um praktisch alle Bedrohungen zu stoppen
Stoppt Viren, Spyware, Adware, Jokeware, Hacking Tools, etc.
Advanced Content Filtering
Sichert die Produktivität der Mitarbeiter und reduziert rechtliche Haftungsprobleme
Stoppt Phishing, Spyware Downloads, Spyware “Phone home” Versuche, unangemessenes Browsing
Integrierte Message Security
Entfernt unerwünschte Emails (Spam)
Stoppt trojanische Pferde, Viren, Spyware, etc. die per Email übertragen werden
VIREN
SPAM
SPYWARE
URL FILTERING
PHISHING
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 28
StorageNetworking
StorageNetworking
Sicherheit ist jetzt Teil der grundlegenden Architektur einer IT-Infrastruktur
IP TelephonyIP Telephony
Wireless LANWireless LANNetworked
HomeNetworked
Home
RoutingRoutingSwitchingSwitching
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 29
Verkaufen von Cisco Security Produkten
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 30
Sicherheitsoptionen für SMBsCisco ASA 5500 Serie und Cisco Integrated Services Router
Präferenz für dedizierte Sicherheitsgeräte
Bietet neuste Innovationen im Bereich Threat Mitigation
Funktionsreichste Remote Access VPN-Lösung
Eigene Funktion sorgt für möglichst einfaches Software Versioning
Präferenz für dedizierte Sicherheitsgeräte
Bietet neuste Innovationen im Bereich Threat Mitigation
Funktionsreichste Remote Access VPN-Lösung
Eigene Funktion sorgt für möglichst einfaches Software Versioning
Präferenz für und Vertrautheit mit IOS-basierten Geräten
Bietet neuste Innovationen im Bereich Networking und Security Collaboration
Funktionsreichste Site-to-Site VPN-Lösung
Konsolidiert maximale Anzahl von Netzwerk- und Sicherheitsfunk-tionen auf einer einzigen Plattform
Nutzt Router-Investitionen
Präferenz für und Vertrautheit mit IOS-basierten Geräten
Bietet neuste Innovationen im Bereich Networking und Security Collaboration
Funktionsreichste Site-to-Site VPN-Lösung
Konsolidiert maximale Anzahl von Netzwerk- und Sicherheitsfunk-tionen auf einer einzigen Plattform
Nutzt Router-Investitionen
Maßgeschneiderte Lösungen für jede ImplementierungsumgebungMaßgeschneiderte Lösungen für jede Implementierungsumgebung
Adaptive Security Appliance
Integrated Services Router
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 31
Cisco ASA 5500 Adaptive Security AppliancesBieten führende Threat Defense und VPN Services
Bietet konvergente Threat Defense, flexible und sichere Vernetzung, minimale Beriebskosten und einmaliges Adaptive Design gegen zukünftige Bedrohungen
Integriert und erweitert die führende implementierte Gateway Content Sicherheitstechnologie, um vor Viren, Spyware, Spam, Phishing und Websites zu schützen,die sich auf die Produktivität der Mitarbeiter auswirken
Integriert und erweitert die führende implementierte IPS und IDS Techno-logie aus der Cisco IPS 4200 Serie
Bietet umfassenden Schutz vor direkten Angriffen und vielen anderen Bedrohungen
Integriert und erweitert die führende implementierte Remote Access VPN-Technology der Cisco VPN 3000 Concentrator und Cisco PIX Security Appliances und bietet dabei SSL und IPsec VPN Services
Marktführende VPN Services
Integriert und erweitert die führende implementierte Firewall-Technologie von Cisco PIX Security Appliances
Baut auf der Erfahrung von mehr als 1 Million weltweit installierten PIX und mehr als 10 Jahren Innovation auf
Marktführende sichere Unified Communications Umfassende Zugangskontrolle, Threat Protection, Network Policies, Service-Schutz und
Vertraulichkeit von Sprache/Video für Unified Communications Echtzeitverkehr
Marktführende Firewall Services
Marktführende Content SecurityMarktführende IPS Services
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 32
CiscoASA 5520
CiscoASA 5540
Cisco ASA 5500 Serie ProduktüberblickLösungen für SMBs bis hin zu Großunternehmen
CiscoASA 5550
CiscoASA 5510
CiscoASA 5505
Zielmarkt
Empf. VK
SMB und SME Enterprise Mittleres
Enterprise
Beginnt bei$3,495
Beginnt bei$7,995
Beginnt bei$16,995
GroßesEnterprise
Beginnt bei$19,995
Telearbeiter / Filiale /SMB
Beginnt bei$595
LeistungMax FirewallMax Firewall + IPSMax IPSec VPNMax IPSec/SSL VPN Peers
300 Mbps300 Mbps170 Mbps250/250
450 Mbps375 Mbps225 Mbps750/750
650 Mbps450 Mbps325 Mbps5000/2500
1.2 GbpsN/A
425 Mbps5000/5000
150 MbpsFuture
100 Mbps25/25
Plattform-FähigkeitenMax Firewall Verb.Max Verb./Sek.Pakete/Sek. (64 Byte)Base I/OVLAN-UnterstützungHA -Unterstützung
50,000/130,0006,000
190,0005 FE
50/100A/A und A/S
(Sec Plus)
280,0009,000
320,0004 GE + 1 FE
150A/A und A/S
400,00020,000
500,0004 GE + 1 FE
200A/A und A/S
650,00028,000
600,0008 GE + 1 FE
250A/A und A/S
10,000/25,0003,000
85,0008-port FE switch
3/20 (trunk)Stateless A/S
(Sec Plus)
SMB Portfolio
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 33
Breite Palette von Security Service Modulen (SSMs) der Cisco ASA 5500 Serie
• Bietet IPS und IDS Services mit vollem Funktionsumfang zum Schutz von geschäftskritischen Netzwerkressourcen• In zwei Modellen verfügbar: SSM-10 und SSM-20• Bietet bis zu 450 Mbps an IPS-Durchsatz• Daumenschrauben für Einsatz/Entfernung• 10/100/1000 Out-of-Band Management Port• Supported on ASA 5510, 5520, and 5540
IPS Security Services Modul (AIP SSM)
Content Security Services Modul (CSC SSM) • Bietet Anti-X Services mit vollem Funktionsumfang (Anti-virus, Anti-spyware, Anti- spam, Anti-phishing, URL filtering etc.)• In zwei Modellen: SSM-10 und SSM-20• Anti-virus und Anti-spyware Services nach Anzahl der Benutzer lizenziert, weitere Add-ons• Auf ASA 5510, 5520 und 5540 unterstützt
4-Port GE Services Modul (4GE SSM) • I/O Modul bietet vier Kupfer 10/100/1000 Ports zusätzlich zu vier SFP Ports für bessere Flexibilität und Netzwerksegmentierung• Kunden können bis zu vier dieser acht Ports benutzen und dabei Kupfer- und optische GE Ports vermischen• Wird auf ASA 5510, 5520 und 5540 unterstützt
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 34
Integrierte Firewall auf Cisco ASA 5500Anwendungsinspektion und Kontrolle für gesamten Verkehr
Leistungsfähige Anwendungsinspektion für ganz unterschied-lichen Verkehr wie HTTP, FTP, MTP/ESMTP, DNS, SIP, H.323 etc (mehr als 30 Inspection Engines verfügbar)
Application-layer Policies auf der Basis von flexiblen, granularen Richtlinien
Überprüfung der Konformität, State Tracking, Sicherheits-Checks, NAT/PAT, dynamische Zuweisung von Ports
Desktop
Legitimer Geschäftsverkehr
DMZ
Internet
Desktop
Desktop
E-mailServer
File/WebServer
Cisco ASA 5500
Anwendungs-Firewall & Zugangskontrolle:Anwendungs-Firewall & Zugangskontrolle:Anwendungsinspektion / Kontrolle
Stateful Traffic Filtering
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 35
SSL/IPSec VPN auf Cisco ASA 5500Sichere Vernetzung für Remote- und Site-to-Site Benutzer
Sicherer Zugriff für Remote- und Site-to-Site Benutzer, sichere und ungesicherte Endpunkte
Nutzt alle Möglichkeiten der Threat Defense-Funktionen, um Bedrohungen vor und während der VPN-Vernetzung zu stoppen
Einschätzung der Position vor der Verbindung, um Würmer und Viren am Endpunkt zu stoppen
Session Vault und Auf-räumen nach der Session
Anwendung von FW Application Inspection Policies, IPS und Content Security auf VPN-Verkehr
Begrenzter Zugriff auf bestimmte VLANs
Cisco ASA 5500
Threat Mitigation:Threat Mitigation:Kontrolliert Würmer,
Viren, Spyware
Würmer/Viren
UnerwünschteAnwendung
Spyware
Illegaler Zugriff
Exploit
Application Firewall & Access Control:Application Firewall & Access Control:Inspektion/Kontrolle von Applikationen
Cisco Secure Desktop Endpoint Cisco Secure Desktop Endpoint Security:Security:
Einschätzung der Position vor der Verbindung
Session/Daten SicherheitAufräumen nach der Session
Remote AccessVPN Benutzer
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 36
Ergänzt FW-Services durch Inspektion und Überwachung des von den Security Policies erlaubten Netzwerkverkehrs
Identifiziert Würmer, Viren, Spyware, Adware, direkte Angriffe und Ausbrüche
Identifiziert Anomalien auf der Basis von “normalen” Verkehrsmustern
Unterstützt gleiche Signaturdatenbank wie Cisco IPS 4200 Appliances
Erlaubt benutzerdefinierte Signaturen und Aktionen, um schnell auf neue Bedrohungen zu reagieren
Risk Rating für besseren Bedrohungskontext
Internet
Cisco ASA 5500
FW lässt legalen FW lässt legalen Geschäftsverkehr Geschäftsverkehr
durchdurch
IPS verwendet IPS verwendet Signaturdatenbank, Signaturdatenbank,
um legalen um legalen Geschäftsverkehr Geschäftsverkehr
auf Anomalien, auf Anomalien, Würmer, Viren und Würmer, Viren und
Angriffe zu Angriffe zu überprüfenüberprüfen
Legaler Geschäfts-
verkehr
Legaler Geschäftsverkehr zu Server, frei von Würmern, Viren,
etc.
Intrusion Prevention auf Cisco ASA 5500Multi-Vector Threat Identification
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 37
Netzwerkbasierter Anti-x Schutz (Anti-spam, Anti-malware, Anti-phishing, Anti-virus) für Web- und Email-Verkehr
URL Filtering für unangemessenen Webzugriff
Verfolgung, Protokollierung und Kontrolle von Internet URL Access; erlaubt Überwachung und Durchsetzung von Security Policy
Content Security auf Cisco ASA 5500Email- und Web-Schutz, URL Filtering und vieles mehr
Internet
E-mailServer
File/WebServer
Cisco ASA 5500
E-Mail/Web Scanning: Ein- und ausgehend Handhabung von komprimierten Dateien Filtering große Nachrichten Filtering viele Empfänger Anhänge und Key Words
Spyware/Viren Scanning nach: Spyware Dialers Hacking Tools Password Crackers Adware Jokes Remote Access Identifiziert und entfernt datei- basierte Viren u. böswilligen Code Inspiziert SMTP, HTTP, POP3 und FTP Internetverkehr
URL Filtering: Gewalt, Pornografie,
Glücksspiele, etc URL FILTERING
HTTP://
DMZ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 38
Einsatz von Intrusion Prevention versus Content Security
Lösungen, die von mittleren bis zu großen Unternehmen skaliert werden können
- Große Zahl von Benutzern
- Bis zu 450 Mbps Fokus auf Schutz von Servern;
geschäftskritischen Ressourcen Stoppt Netzwerkwürmer,
Haching-Versuche, trojanische Pferde, Bots, Zombies und verdeckte Channel-Kommunikation
Lösungen, die für kleine und mittlere Unternehmen und Filialen gedacht sind
- Bis zu 1000 Benutzer- Bis zu 120 Mbps
Schwerpunkt auf Schutz von Clients; Internet Edge
Stoppt Netzwerk-Viren, Spyware/Adware/Grayware, böswillige Dateien, Spam, Phishing und unangebrachte URLs/Inhalte
Cisco ASA mit IPS AIP-SSM Modul (IPS Edition)
Cisco ASA mitCSC-SSM Modul (Content Security Edition)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 39
Innovative Unified Communications SecuritySicherheit für Sprach- und Video-Anwendungen
Unterstützt Cisco Call Manager Express und Cisco Communication Manager
Dynamische und granulare Zugangskontrolle, um unautorisierten Zugriff auf UC Services zu verhindern
Threat Protection für die UC-Infrastruktur
Durchsetzung von Network Security Policies, um Sicherheitsrichtlinien für UC Anwendungen und Benutzer zu bieten
Vertraulichkeit von Sprache-Video, damit Kunden Signaling/Media verschlüsseln können, während sie Security Policies aufrechterhalten**
Inspektion von Inspektion von Voice Signaling, Voice Signaling,
Encrypted Encrypted Signaling und Signaling und
Media, Protokoll-Media, Protokoll-Konformität, Konformität,
Policy Policy Enforcement für Enforcement für Anrufe (Blacklist, Anrufe (Blacklist,
Whitelist etc)Whitelist etc)
Cisco ASA 5500
Internet WAN
Schützt UC Schützt UC Infrastruktur, Infrastruktur, Telefone, Call Telefone, Call Control und Control und
AnwendungenAnwendungen
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 40
Verkaufen von Cisco ASA im Bereich SMB Security
Identifizieren Sie SMBs, deren Sicherheitsbedürfnisse sich weiterentwickelt haben
Zunehmende Zusammenarbeit mit Partnern/Kunden über das Internet
Benötigen Schutz vor zunehmender Anzahl von komplexen Angriffen
Höhere Erwartungen an Zugangsniveau von Remote-Benutzern und mobilen Geräten
Einhaltung von Standards wie PCI (Payment Card Industry), die fordern, dass alle Unternehmen, die mit Kreditkartendaten umgehen, ein sicheres Netzwerk haben (einschließlich VoIP Netzwerk)
Identifizieren Sie existierende Cisco PIX-Kunden, für die Migration Sinn machtKunden mit expandierenden Standorten (Läden, Büros, Lager)
Schutz von neuen Anwendungen wie Unified Communications
Es wird mehr Leistung benötigt
Es werden mehr Schutz- und Sicherheitsservices benötigt, wie Intrusion Prevention Services, Content Security usw.
SSL VPN für sichere Vernetzungsservices für Remote-Mitarbeiter und Partner
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 41
Vergleich: Cisco ASA 5500 & Cisco PIX 500
Cisco ASA 5500 bietet im Vergleich zu Cisco PIX 500 eine Obermenge von Funktionalität
Optical GE Support (kein Kupfer) auf PIX 525/535, bis zu 100 VLANs auf 525
und 200 VLANs auf PIX 535
Kupfer und Optical GE Support, bis zu 8 GE Interfaces auf ASA 5520, 5540, 5550,
bis zu 200 VLANs auf 5540/5550I/O Fähigkeiten
3 bis zu 425 Mbps100 bis zu 425 MbpsMaximale IPSec VPN-Leistung pro Appliance (3DES / AES-256)
60 Mbps bis zu 1,65 Gbps150 Mbps bis zu 1,2 GbpsMaximale Firewall-Leistung pro Appliance
Nur auf PIX 515E, 525, 535 verfügbar Auf allen ASA 5500 Appliances verfügbar Support für Hochverfügbarkeit
Advanced Firewall Services, mit Application Layer Firewall
Advanced Firewall Services, mit Application Layer FirewallFirewall Services
keineContent Security, IPSZusätzliche Security Services
Nur IPSec VPN Services fürSite-to-Site und Remote Access
SSL und IPSec VPN Services, mit VPN Clustering/Load Bal.
VPN Services* (Break out SSL and IPSec)
Cisco PIX 500 SerieCisco ASA 5500 Serie
Vorteile von Cisco ASA 5500 gegenüber Cisco PIX 500: Besseres Preis-/Leistungsverhältnis im Vergleich zu ähnlichen Cisco PIX Modellen Mehr Hochverfügbarkeitsoptionen Mehr Vernetzungsoptionen mit SSL VPN Zusätzliche Security Services mit Content Security und IPS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 42
Empfohlener Migrationspfad für Cisco PIX Security Appliance Kunden
Cisco PIX 515ESerie
Cisco PIX 525Serie
CiscoPIX 506E
Serie
CiscoPIX 501
Serie
Cisco PIX 535Serie
Migrationsvorteile• 1.5 - 2.5X Firewall-Durchsatz• 3 - 33X VPN Durchsatz• 8 Port Switch mit 2 PoE Ports• VLAN Support (20 mit Sec+)• Unterstützt SSL VPN• Modular für zuk. Upgrades
Migrationsvorteile• 1.6 - 2.4x Firewall-Durchsatz• 2.3 - 3x Skalierbarkeit (conns/sec)• Gigabit Ethernet Support • A/A Lösung kostet 30% weniger• VPN Clustering/Load Balancing• Unterstützt IPS, CSC, SSL VPN
Migrationsvorteile• 1.5 - 2x Firewall-Durchsatz• 1.3 - 2.7x Skalierbarkeit• Unterstützt 3X GigE Dichte• A/A Lösung kostet 30% weniger• VPN Clustering/Load Balancing• Unterstützt IPS, CSC, SSL VPN
Migrationsvorteile• 2 - 20x Real-World FW Durchsatz• 2 - 8x Skalierbarkeit (conns/sec)• Unterstützt SSL VPN, mit Clus/LB• 10GE I/O Support (5580)• Unterstützt 2.5x GE Dichte (5580)• A/A Lösung kostet 35% weniger
Cisco ASA 5510 / 5520Serie
Cisco ASA 5505Serie
Cisco ASA 5520 / 5540Serie
Cisco ASA 5550 / 5580Serie
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 43
1800 Serie
Kleine Büros und Telearbeiter
Cisco Integrated Services Router Portfolio
Mittlere/große FilialeKleine Filiale
Eingebaute, fortgeschrittene Wireless, Security und Daten Services
800 Serie
2800 Serie
3800 Serie
1861 Serie
NEW
Das Integrated Services Router Portfolio
Hohe Dichte und Leistung für gleichzeitige Services
Eingebaute, fortgeschrittene Voice, Video, Daten und Security ServicesL
eis
tun
g u
nd
Ser
vic
edic
hte
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 44
Marktakzeptanz - mehr als 3 Millionen Cisco ISRs
Drei MillionenRouter verkauft!
Mill
ion
en v
on
ver
kau
ften
Ro
ute
rn
0
1.5
2.5
27 Monate
19 Monate
34 Monate3.0
2.0
1.0
7 Monate später!
Gesamtbetriebskosten
Dire
ct a
nd
In
dire
ct C
ost
s$0
$10,000
$20,000
$30,000
$40,000
$50,000
$60,000
$70,000
$80,000
Cisco Integrated Services Router
Overlay Appliances
der Konkurrenz
Umsatzverlust
Mitarbeiterproduktivität
Ungeplante Downtime-Verluste
Geplante Downtime-Verluste
Wartungsverträge
Implementierungskosten
NMS Kosten
Anlagen(Platz, Strom, Kühlung)
Service Interoperabilität Betriebliche Effizienz Systems Support Investitionsschutz
Cisco ISR Service Integration – Bis zu 70% OpEx Reduzierung
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 45
Wie verkauft man Secure WAN?
Jeder Router-Verkauf, z.B. Netzwerk-erweiterung
Auf der grünen Wiese, neue Anwendungen nutzen
Installierte Basis von $ 10 Mllrd
Geschäfts-anforderungen identifizieren – verwenden Sie Secure WAN Qualifizierungs-fragen
Benutzen Sie ROI-Tools, Fallstudien
Benutzen Sie TDM-Präsentation, Flash-Demos, Not-for-resale Kits, Demo Vans und VoDs
Gelegenheiten identifizieren
Kunden qualifizieren
Den Wertbeweisen
Abschluss tätigen
Jetzt vs später – Security Bundles reduzieren Gesamt-betriebskosten und Risiko
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 46
Was verkaufen:Cisco 800–3800 Security Router Bundles
Security Keine Voice DSPs Embedded IPsec
Acceleration
Grundlegende Security (SEC)
Security Keine Voice DSPs High Performance
IPsec Acceleration und Komprimierung
High Performance Security (HSEC)
Security Voice DSPs und
Gateway Embedded IPsec
Acceleration
Secure Voice (VSEC)† ‡
Security Voice DSPs und Voice Gateway High Performance IPsec Acceleration und Komprimierung Cisco CallManager Express / Survivable Remote Site
Telephony Lizenz
High Performance Security and Voice (V3PN)†
Alle Sicherheitsbundles haben:
Site-to-Site VPN und Remote Access VPN
Embedded IPsec Beschleunigung
SSL VPN*
ICSA & EAL4 zertifizierteAdvanced Firewall
IPS
SDM, NetFlow
Network Admission Control
WAN Backup, Router Verfügbarkeit und Service Schutz
* 10-25 user license included free on HSEC; additional licenses $30 per user† Survivable Remote Site Telephony (SRST) version available
‡ Cisco CallManager Express (CCME) version available
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 47
Qualifizieren Sie den Kunden:Sichere Vernetzung
Wollen Sie die zusätzlichen Kosten vermeiden, die mit Anschaffung und Management von separaten VPN Devices verbunden sind?
Haben Sie mehr und mehr Benutzer und Geräte, die nahtlosen Remote-Access fordern?
Möchten Sie Clientless SSL VPN-Lösungen implementieren?
Überprüfen Sie die laufenden Kosten von Leased Line, Frame Relay oder denken Sie über einen Umstieg auf VPN nach?
Qualifizierende Fragen
Niedrigere TCO Separates VPN Device
führt zu zusätzlichen Kapital- und Betriebskosten
Remote Access VPN Komplexe Remote
Access VPN Implementierung
Site-to-Site VPN Höhere Kosten von
Frame Relay, Leased Line vis-a-vis IP VPN
“Pain”-Punkte der Kunden
Kauf und Management von einzelnem WAN / VPN Device
Easy VPN bietet einfach zu implementierendes IPsec VPN für mobile Benutzer
SSL VPN auf dem gleichen Router für Partner, mobile Geräte oder öffentliche Kioske
WAN und VPN Schnittstellen – bieten flexiblen Wechsel von Frame Relay, Leased Line zu VPN
Secure WAN Wertangebote
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 48
Qualifizieren Sie den Kunden:Integrierte Threat Control
IPS und FPM schränken die Ausbreitung von Würmern und Viren ein
NAC und 802.1x schränken Schaden durch infizierte Laptops ein
Wollen Sie den Würmer- und Virenverkehr über das WAN reduzieren?
Würmer und Viren Zusätzliche
Bedrohungen und Verschwendung von kostbarer WAN Bandbreite
Zone Firewall erlaubt es dem Router, als Internet Gateway zu fungieren
IPS und FPM bieten Intrusion Prevention und Day Zero-Schutz
Benötigen Sie in der Filiale sicheren Internetzugang?
Secure Branch Internet Sicherer Internetzugang
für Filiale, ohne zusätzliche Geräte
Sind Ihre Netzwerkgeräte vor DoS-Angriffen geschützt?
Qalifizierende Fragen
Hacking, DoS Schutz des Routers vor
Hacking und DoS
“Pain”-Punkte der Kunden
One Touch Router Lockdown, Control Plane Protection, Firewall und IPS härten den Router ab
Secure WAN Wertangebote
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 49
Beweisen Sie den Wert:All-in-One Security für das WAN
IPsec VPNSSL VPN
Sichere VernetzungSichere Vernetzung
GET VPN DMVPN SDM NetFlow IP SLARollen-basierter Zugriff
Management und InstrumentierungManagement und Instrumentierung
Sichere NetzwerklösungenSichere Netzwerklösungen
Secure Voice ComplianceSecure
MobilityGeschäfts-kontinuität
Network Admission
Control
Advanced Firewall
Intrusion Prevention
Integrated Threat ControlIntegrated Threat Control
URL Filtering 802.1x
Network Foundation Protection
Flexible Packet
Matching
011111101010101011111101010101
Nur Cisco® Security Router bieten all dies
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 50
Beweisen Sie den Wert:Gründe dafür, Security-Router zu kaufen
1. SCHÜTZEN SIE DEN ROUTER SELBST: Ihre erste Verteidigungslinie
2. EIN EINZIGER VERSTOSS kann sich ernsthaft auf das Unternehmen auswirken
3. Advanced Backup und Telearbeit für GESCHÄFTSKONTINUITÄT
4. EINHALTUNG von Daten- und Netzwerkschutzgesetzen
5. SICHERE Konsolidierung von Sprache/Video/Daten und Wired/Wireless
6. Leistungsstarke VERSCHLÜSSELUNG für Sprache und Signaling
7. Neue ISRs bieten Wire-Rate LEISTUNG MIT SERVICES
8. Einfaches MANAGEMENT einer Single-Box Router/VPN/Firewall/IPS Lösung
9. NIEDRIGERE KOSTEN für Service und Subscription: nur ein Vertrag
10. 30-40% EINSPARUNGEN in Security Router Bündel eingebaut
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 51
Reaktionen auf mögliche Einwände
Hinter dem Router ist bereits eine Firewall
Der geschäftskritische Router wird von der Firewall nicht geschützt – der Router ist dem Internet ausgesetzt und die Firewall ist erst hinter dem Router
Auf den meisten existierenden Firewalls gibt es kein IPS, IPsec VPN, SSL VPN, URL Filtering, etc. – hierfür sich mehrere Geräte nötig
Die fortlaufenden Support- und Wartungskosten existierender Firewalls können für lebenslange Kosten eines Cisco Router Security-Bündels zahlen
Einwand: Einwand:
Reaktion: Reaktion:
Kann der Router Sicherheit und Routing handhaben und dabei noch angemessene Leistung bringen?
JA – ISRs wurden von Grund auf so ausgelegt, dass sie WAN, LAN, WLAN, Security und IPC Services gleichzeitig betreiben können
Etwa 2 Millionen Cisco ISRs sind jetzt weltweit implementiert
Ich kann den Router später upgraden, um Sicherheit hinzuzufügen
Sie sparen typischerweise 30 - 40%, indem Sie jetzt Security Router Bündel kaufen, verglichen zu einem späteren Upgrade des Routers
Sie gehen Risiken ein – ein einzelner Sicherheitsverstoß kann mehrmals so teuer sein wie ein Security Router Bundle
Einwand: Einwand:
Reaktion: Reaktion:
Einwand: Einwand:
Reaktion: Reaktion:
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 52
Zusammenfassung
Cisco ist Marktführer im Bereich Network Security – mit 41%*
Adaptive Security Appliances bieten bestmögliche Security Services
Secure Integrated Services Router bieten Ihren Kunden hervorragenden Mehrwert, indem sie Routing und Sicherheit auf einer einzelnen Plattform kombinieren
Hier finden Sie weitere Informationen: http://www.cisco.com/web/partners/sell/technology/security/smb.html
*Infonetics Q3 2007 Report *Infonectics 3Q, 2007 Report
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSDN Overview 53