Upload
ibm-software-polska
View
466
Download
0
Embed Size (px)
Citation preview
© 2012 IBM Corporation
IBM Collaboration Solutions,a bezpieczeństwo systemów teleinformatycznychMarek KuchciakICS/Lotus Client Technical Professional
© 2012 IBM Corporation 2 Akademia Lotus Software 2012
Temat przypomniany przez aktualne wydarzenia
● Sprawa ACTA > ataki na serwery rządowe > wytyczne MAiC
● CERT.GOV.PL > Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej wprowadzone przez Ministra Administracji i Cyfryzacji http://cert.gov.pl/portal/cer/9/514/Wytyczne_w_zakresie_ochrony_portali_informa
cyjnych_administracji_publicznej_wpro.html
● Formalnie dotyczy to tylko administracji publicznej, ale w praktyce analogiczne problemy dotykają wszystkich firm i instytucji
© 2012 IBM Corporation 4 Akademia Lotus Software 2012
Lotus Mobile Connect
● Umożliwia budowę sieci VPN (Virtual Private Network) na potrzeby aplikacji wykorzystywanych przez użytkowników mobilnych łączących się z różnych miejsc i poprzez różne sieci komputerowe, przewodowe i bezprzewodowe
● Bezpieczne połączenia mogą być zestawiane na potrzeby komputerów, urządzeń mobilnych czy też przeglądarek WWW (z klientem VPN lub bez)
● Nie wymaga wyłączania i włączania w przypadku przemieszczania się użytkownika pomiędzy różnymi lokalizacjami
© 2012 IBM Corporation 5 Akademia Lotus Software 2012
Komponenty Lotus Mobile Connect
● Connection Manager (serwer) oprogramowanie serwerowe kontrolujące dostęp do zasobów firmowych wsparcie dla protokołów sieciowych IP i non-IP Mobile Network Connections (MNC) dla obsługi prywatnych i publicznych sieci
● Mobility Client (klient) oprogramowanie uruchamiane na komputerach bądź urządzeniach mobilnych uwierzytelnia się i zestawia połączenie VPN z serwerm (CM) prawo użycia klienta VPN jest zawarte w licencji Domino Enterprise CAL
● Gatekeeper (narzędzie administracyjne) konsola administracyjne (Java) zarządzanie poprzez polityki np. profile, sieci zastrzeżone, routing, filtrowanie IP
© 2012 IBM Corporation 6 Akademia Lotus Software 2012
Dopasowana architektura rozwiązania
● Kompletne rozwiązanie VPN zapewniające uwierzytelnianie, szyfrowanie transmisji danych, optymalizację ruchu sieciowego i nieprzerwaną pracę w razie przemieszczania się
● Architekura niezależna od platformy systemowej, wykorzystywanych aplikacji oraz dostawców i technologii sieciowych
Lotus Mobile Connect
ServerMobility client
© 2012 IBM Corporation 7 Akademia Lotus Software 2012
Typowy scenariusz: bezpieczny dostęp zdalnydla użytkownika mobilnego
at Home
at Office
On the Road
Ability to connect to company Intranet from different locations
Cafe / Restaurant / Hotel at the Customer
Application 1
Application 2
Application n
Maintain Logical Connection to Applications and Data
Application 3
Ability to Roam
physical break
physical break physical
breakphysical breakchange of
media
change of media change of
media
change of media
Ability to Cross
Firewalls
© 2012 IBM Corporation 8 Akademia Lotus Software 2012
Uruchom i zapomnij
● Logowanie tylko raz● Podtrzymanie połączenia TCP/IP po zmianie miejsca pracy (sieci)
Mobile Network Interface (MNI)● Dobór optymalnego protokołu komunikacyjnego
UDP
HTTP
HTTPS Connection Manager
MobilityClient
© 2012 IBM Corporation 9 Akademia Lotus Software 2012
Uwierzytelnianie użytkowników, szyfrowanie
● Wybór spośród uznanych standardów RADIUS, SecurID, LDAP, Active Directory, certyfikaty X.509, LMC
● Opcjonalnie uwierzytelnianie dwoma metodami● Mechanizmy Single Sign-On
np. integracja z logowaniem Windows, tokeny LTPA
● Certyfikacja FIPS na na algorytm szyfrowania AES, DES, TripleDES, DSA, SHA-1
© 2012 IBM Corporation 10 Akademia Lotus Software 2012
Protokół LMC kontra IPSec
● LMC Wireless Link Protocol (WLP) zaprojektowany na potrzeby zdalnego dostępu z uwzględnieniem takich zjawisk jak: straty pakietów w sieciach przewodowych i bezprzewodowych niska przepustowość czy duże opóźnienia transmisji
● IPSec nie został zaprojektowany dla dostępu zdalnego, lecz raczej dla: połączeń pomiędzy lokalizacjami czy sieciami LAN sieci przewodowych z stałymi adresami IP sieci o wysokiej przepustowości czy małych opóźnieniach transmisji
● LMC i produkty oparte o IPSec zwykle używają tych samych algorytmów kompresji i szyfrowania
© 2012 IBM Corporation 12 Akademia Lotus Software 2012
Hasło mało podatne na ataki słownikowe... ;-)
Password Strengthhttp://xkcd.com/936/
© 2012 IBM Corporation 13 Akademia Lotus Software 2012
Model bezpieczeństwa Lotus Notes Domino
● Bezpieczeństwo fizyczne ograniczenie fizycznego dostępu do serwera (i jego zawartości)
● Bezpieczeństwo infrastruktury (logiczne) zabezpieczenie platformy systemowej i sieci komputerowej
● Bezpieczeństwo Notes/Domino (logiczne) zabezpieczenie serwera Domino, baz Notes i zawartych w nich danych
Bezpieczeństwoinfrastruktury
Bezpieczeństwofizyczne
BezpieczeństwoNotes/Domino
Serwer Bazadanych
Dane
© 2012 IBM Corporation 14 Akademia Lotus Software 2012
Bezpieczeństwo w Lotus Notes Domino
● Środowisko znane z wysokich standardów bezpieczeństwa identyfikacja - uwierzytelnianie - kontrola dostępu
● Certyfikaty użytkowników w plikach ID● Szyfrowanie i cyfrowe podpisywanie treści● Wielopoziomowa kontrola dostępu (ACL)
serwer, kartoteka na dysku, baza danych, widok/folder, dokument, sekcja, pole
● Kontrolowane wykonywanie kodu (ECL) określone typy operacji możliwe do wykonania tylko przez
fragment kodu podpisany upoważnionym identyfikatorem● Szyfrowanie transmisji sieciowej● Szyfrowanie lokalnych replik baz danych● Kontrolowana moc haseł● Unieważnianie utraconych identyfikatorów● ...
© 2012 IBM Corporation 15 Akademia Lotus Software 2012
Dobre praktyki w zakresie bezpieczeństwa
● Certyfikator organizacji (plik cert.id) jest kluczem do zabezpieczenia tożsamości użytkowników i serwerów
● Wykorzystanie CA Process do rejestracji użytkowników● Wzmocnienie kluczy szyfrowania (key rollover) po przejściu na nowsze
wersje oprogramowania (R8 - 4096 bitów)● Wymuszanie mocy i częstotliwości zmiany haseł użytkowników za pomocą
polityki systemowej (Policy - Security Settings)● Porównywanie haseł i kluczy publicznych z plików ID z "ostatnimi znanymi"
kopiami na serwerze (password checking, public key checking)● Notes ID Vault lekarstwem na typowe problemy z plikami ID i hasłami
dystrybucja, synchronizacja i odzyskiwanie plików ID, resetowanie haseł● Protokoły HTTP, SMTP, POP3, IMAP czy LDAP w wersjach SSL● Restrykcyjne ACL i ECL, ograniczona wzajemna certyfikacja (cross-cert)● Wykorzystanie dostępnych narzędzi
np. Domino Configuration Tuner, Domino Domain Monitoring
© 2012 IBM Corporation 17 Akademia Lotus Software 2012
Wzrost zagrożeń dla poczty elektronicznej
● Protokoły internetowe dla poczty elektronicznej nie były projektowane z uwzględnieniem współczesnych zagrożeń niestety na razie nie wypracowano lepszych standardów
● Spam, phishing, malware itd. stanowią do 90% ruchu SMTP w Internecie generują zbędne koszty pasma sieciowego i mocy obliczeniowej negatywnie wpływają na wizerunek firmy i satysfakcję pracowników
● Ataki z wykorzystaniem skomplikowanych technik i specjalnych narzędzi pokaźne źródło zysku dla przestępców przy niewielkich kosztach szpiegostwo przemysłowe, nadużycia finansowe itd.
● Rozprzestrzeniają się wrażliwe informacje oraz wiążące się z nimi ryzyko intencjonalne bądź nieumyślne wycieki poufnych treści wykradanie danych oraz przechwytywanie danych w ruchu
© 2012 IBM Corporation 18 Akademia Lotus Software 2012
Lotus Protector
● Uniwersalne narzędzia do ochrony poczty elektronicznej● Zbudowane w oparciu o rozwiązania czołowych producentów
● Lotus Protector for Mail Security ochrona przed różnorakimi zagożeniami dla poczty elektronicznej wydajne i elastyczne w konfiguracji zabezpieczanie i filtrowanie treści pomaga spełnić wymagania w zakresie ochrony danych
• PCI, HIPAA, SOX, EU Data Protection Act i liczne regulacje krajowe● Lotus Protector for Mail Encryption
szyfrowanie i cyfrowe podpisywanie poczty internetowej zautomatyzowana obsługa bez zmiany obecnych procesów biznesowych oraz
przyzwyczajeń użytkowników
© 2012 IBM Corporation 19 Akademia Lotus Software 2012
Lotus Protector for Mail Security
● Zabezpiecza pocztę elektroniczną (Notes/Domino, ale także np. Exchange) i eliminuje różne zagrożenia: spam, wirusy, trojany, phishing, złośliwe oprogramowanie itd.
● Filtruje pocztę elektroniczną, zarówno przychodzącą jak i wychodzącą filtrowanie adresów IP (Dynamic Host Reputation) wielowarstwowa analiza wiadomości kontrola antywirusowa w oparciu o sygnatury bądź typowe objawy wychwytywanie niebezpiecznych adresów URL (phishing, spyware itp.) wyszukiwanie predefiniowanych fragmentów uznanych za niebezpieczne lub
szkodliwe (np. związanych z pornografią, szerzeniem nienawiści, numerów kard kredytowych)
obszary kwarantanny, listy zablokowanych i dozwolonych nadawców definiowane przez użytkowników
definiowania własnych reguł na potrzeby kontroli zawartości korespondencji możliwość wychwytywania m.in. słów kluczowych, wzorców i wyrażeń
regularnych
© 2012 IBM Corporation 20 Akademia Lotus Software 2012
Lotus Protector for Mail Security
Deployment flexibilityper-user/per-PVU software license
World class technology
virtual appliance
Integrated Security
Stopping threats that attempt to exploit undisclosed vulnerabilitys before software
vendors are able to provide a patch by leveraging virtual patch technology.
physical applianceNotes/Domino integration...but works for all e-mail systems!
Notes/Domino integration...but works for all e-mail systems!
© 2012 IBM Corporation 21 Akademia Lotus Software 2012
Integracja ze skrzynką odbiorczą Notes
● Użytkownicy mają pełną kontrolę nad niepożądaną pocztą elektroniczną przycisk "Spam: Zablokuj pocztę od
użytkownika" w widokach/folderach dodatkowe widoki:
• "Zablokowane wiadomości"• "Zablokowani nadawcy"• "Zaakceptowani nadawcy"
● Spam obiektywny, głównie masowo rozsyłane oferty niepożądanych produktów i usług zatrzymywany centralnie przez gateway LPMS
● Spam subiektywny, np. biuletyny, listy dyskusyjne, zaproszenia użytkownicy Notes mogą samodzielnie
decydować o dostarczeniu wiadomości zablokowanych dla nich centralnie oraz blokować bądź akceptować konkretnych nadawców
© 2012 IBM Corporation 22 Akademia Lotus Software 2012
Znowu widzisz niechcianą korespondencję?Zablokuj nadawcę na zawsze!
© 2012 IBM Corporation 23 Akademia Lotus Software 2012
Zarządzaj zablokowanymi wiadomościami i nadawcami bezpośrednio z poziomu Notes!
© 2012 IBM Corporation 24 Akademia Lotus Software 2012
Ignoruj wiadomości, które system oznaczył jako niebezpieczne!
© 2012 IBM Corporation 28 Akademia Lotus Software 2012
Zero Layer Analysis (ZLA)
● Innowacyjne podejście do wysokiej wydajności oraz skuteczności● Inspekcja poczty elektronicznej w czasie rzeczywistym
Content FilterZLA IP Connection
FilterInternet
Quarantine
Drop Drop Drop Drop Drop
Zero Layer Analysis Wykorzystuje zoptymalizowany podzbiór wszystkich dostępnych filtrów Analizuje sekwencyjnie w trybie strumieniowym Odrzuca połączenie SMTP natychmiast po wykryciu, że jest spamem Wiadomość, która przejdzie ZLA, jest dalej analizowana pełnym zestawem filtrów Korzyść: Duży wzrost przepustowości bez utraty skuteczności
© 2012 IBM Corporation 29 Akademia Lotus Software 2012
x 1k
/ hr
Duża przepustowość i skalowalnośćx
1k /
hr
x3250 x3350 x3550 x3650MS3004LP
12
70
36
115
180
250
360
v2.1 v2.5v2.1 v2.5
VMware Hardware
NOTES● Measured filtering of incoming internet emails of average 19kB size with pre-filters turned off. IP pre-filtering and SMTP pre-filtering increase throughput.● Version 2.5 hardware refers to off-the-shelf IBM System x rack-mounted servers ● MS3004LP hardware discontinued as of 9/22/2009, but v2.5 is supported on previously purchased units at 198k/hr.● See: http://www-01.ibm.com/software/lotus/products/protector/mailsecurity/systemrequirements.html
Filters up to 360,000 e-mails
per hour
sizing
© 2012 IBM Corporation 30 Akademia Lotus Software 2012
Typowe sposoby rozmieszczania filtrów
● Urządzenia brzegowe i usługi "w chmurze" nie filtrują poczty wewnęrznej● Usługi "w chmurze" są dobrze skalowalne, ale trudniej je kontrolować i
integrować oraz wydają się być mniej skuteczne w filtrowaniu ● Zadania na serwerach obejmują całą pocztę i dobrze się integrują, ale
obciążają zasoby (CPU)
Edge Appliances
CleanServer Tasks Clean
INTERNET
Cloud Services
Combines best of all modes:Throughput, Efficacy, Integration
© 2012 IBM Corporation 31 Akademia Lotus Software 2012
Przychodzący ruch SMTP
● Wskazując w DNS dwa LPMS osobnymi rekordami MX o tym samym priorytecie można równoważyć obciążenie bądź zabezpieczyć się przed awarią jednego z łącz
● LPMS można łączyć w klastry, aby scentralizować zarządzanie konfiguracją
© 2012 IBM Corporation 32 Akademia Lotus Software 2012
Wychodzący ruch SMTP
● Odpowiednia kontrola i filtrowanie wychodzącej poczty elektronicznej zabezpiecza przed wysyłaniem niepożądanej zawartości i poufnych danych
© 2012 IBM Corporation 33 Akademia Lotus Software 2012
IBM X-Force Research
Proprietary Research Bayesian Filter, URL Checker, Meta Heuristics, Flow Control, Structure Analysis,
Phishing detection, Fuzzy Fingerprints, Behavioral Antivirus...
Spam/Phishing Database 80 million spam signatures in the database
2 million new signatures per day > 98% effective against spam < 0.001% false-positives
URL Database 9.3 billion evaluated web pages and images
150 million new pages each month150,000 new categorized sites each day
100 million URL filter entries 68 categories of spam URLs
http://www-935.ibm.com/services/us/iss/xforce/
© 2012 IBM Corporation 34 Akademia Lotus Software 2012
Test Virus Bulletin
"an impressive 99.90% of all spam emails were blocked....the lack of missed newsletters shows that filtering legitimate email is certainly not a major issue for the product." - Martijn Grooten, Virus Bulletin
http://www.virusbtn.com/vbspam/index http://www.virusbtn.com/vbspam/archive/vendor?id=546
© 2012 IBM Corporation 35 Akademia Lotus Software 2012
Raporty ICSAlabs
http://www.icsalabs.com/technology-program/anti-spam/spam-data-center http://www.icsalabs.com/product/ibm-lotus-protector-mail-security
© 2012 IBM Corporation 36 Akademia Lotus Software 2012
Lotus Protector for Mail Security - podsumowanie
● Moduły analityczne, m.in.: predefiniowane i konfigurowalne wyszukiwanie słów kluczowych i wyrażeń
regularnych zabezpieczanie przed phishingiem wykrywanie szkodliwych adresów URL na podstawie bazy URLi kontrola antywirusowa załączników
● Filtrowanie zawartości● Zabezpieczenie przed atakami (wewnętrzny IPS)● Konfiguracyjna poprzez reguły● Predefiniowane raportowanie● Integracja z Lotus Notes Domino (od wersji 8.5.1)● Duża wydajność● Stała analiza zagrożeń w ramach IBM X-Force● Skuteczność potwierdzona niezależnymi testami
© 2012 IBM Corporation 37 Akademia Lotus Software 2012
Lotus Protector for Mail Encryption
● Rozszerza szyfrowanie i cyfrowe podpisywanie poczty elektronicznej (Notes/Domino, ale także np. Exchange) na potrzeby transmisji przez Internet standardowo wiadomości pocztowe pomiędzy różnymi firmami czy instytucjami
sa przesyłane otwartym protokołem SMTP przez Internet bez jakiegokolwiek zabezpieczenia!
● Zabezpiecza wychodzącą korespondencję z użyciem najdogodniejszego sposobu szyfrowania dostępnego dla danego odbiorcy
● Umożliwia odbiorcy wybór preferowanej metody bezpiecznej komunikacji● Zapewnia, że w trakcie przesyłania treść nie zostanie przechwycona ani
zmodyfikowana● Eliminuje niepotrzebne koszty przekazywania dokumentów w inny sposób
(kurier, faks itd.)
© 2012 IBM Corporation 38 Akademia Lotus Software 2012
Lotus Protector for Mail Encryption
Deployment flexibilityper-user software license
World class technologyNotes/Outlook integration
Client
Fortinet FortiMail-2000B
Gateway
physical or virtual appliance
backed/supported by:
© 2012 IBM Corporation 39 Akademia Lotus Software 2012
Znaczenie szyfrowania korespondencji
● Nawet przypadkowe ujawnienie zastrzeżonych informacji czy też danych osobowych może być karane
● Szyfrowanie poczty elektronicznej w Internecie nadal nie jest powszechne● Żaden dostawca ani żadna technologia nie osiągnęły na tyle mocnej pozycji,
aby stać się rzeczywistym standardem de facto
● Lotus Protector for Mail Encryption wspiera wszystkie najważniejsze standardy i metody szyfrowania, aby zapewnić jak najpłynniejszą wymianę korespondencji ...
● ... nie wprowadzając żadnych zmian dla użytkowników w wykorzystaniu obecnego systemu poczty elektronicznej.
© 2012 IBM Corporation 40 Akademia Lotus Software 2012
Lotus Protector for Mail Encryption- jak to działa?
Protector for Mail
Encryption Client*
● Notes Integration● Client Keyring● Encryption Policy
Client
Protector for Mail
Encryption Gateway
● Enterprise Key Server● Encryption Policy
Server● Webmail UI● Satellite Server
INTERNET
*Optional
Protector for Mail Security
Gateway*
● Content Filter● Policy Server
© 2012 IBM Corporation 41 Akademia Lotus Software 2012
Automatyzacja bezpiecznego dostarczania wiadomości do odbiorców
Lotus Protector for Mail Encryption w inteligentny sposób znajduje najlepiej dopasowany sposób zaszyfrowania wiadomości dla każdego odbiorcy
Notes/Outlook
Domino/Exchange
Protector for Mail Encryption GatewayProtector for Mail Encryption Client
Protector for Mail
EncryptionGateway
© 2012 IBM Corporation 42 Akademia Lotus Software 2012
Przed i po wdrożeniu LPME
Process Ownerw/o Protector w/Protector
Certificate Creation Request User ProtectorCertificate Creation Administrator ProtectorCertificate Import User ProtectorCertificate Protection User ProtectorEncryption Decision User User and/or
Protector
Search for Receivers Certificate User ProtectorEncrypt Message and Deliver Email Client Protector and
Email Client
Manage Receivers Certificates User Protector
© 2012 IBM Corporation 43 Akademia Lotus Software 2012
Lotus Protector - podsumowanie
Antispam & Antivirus Encryption Content
FilteringCollaboration
Security
Security Products
and other messaging platforms
● Rozszerzenie mechanizmów bezpieczeństwa dostępnych standardowo w systemach poczty elektronicznej
● Współdziałanie z dowolnym systemem pocztowym SMTP
© 2012 IBM Corporation 44 Akademia Lotus Software 2012
Dziękuję za uwagę, czas na pytania
Marek KuchciakICS/Lotus Client Technical [email protected]
http://www.goldenline.pl/marek-kuchciakhttp://pl.linkedin.com/in/marekkuchciak