Ibm collaboration solutions,a bezpieczeństwo syst.teleinf. m. kuchciak

© 2012 IBM Corporation

IBM Collaboration Solutions,a bezpieczeństwo systemów teleinformatycznychMarek KuchciakICS/Lotus Client Technical Professional

© 2012 IBM Corporation 2 Akademia Lotus Software 2012

Temat przypomniany przez aktualne wydarzenia

● Sprawa ACTA > ataki na serwery rządowe > wytyczne MAiC

● CERT.GOV.PL > Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej wprowadzone przez Ministra Administracji i Cyfryzacji http://cert.gov.pl/portal/cer/9/514/Wytyczne_w_zakresie_ochrony_portali_informa

cyjnych_administracji_publicznej_wpro.html

● Formalnie dotyczy to tylko administracji publicznej, ale w praktyce analogiczne problemy dotykają wszystkich firm i instytucji

http://cert.gov.pl/portal/cer/9/514/Wytyczne_w_zakresie_ochrony_portali_informacyjnych_administracji_publicznej_wpro.html

http://cert.gov.pl/portal/cer/9/514/Wytyczne_w_zakresie_ochrony_portali_informacyjnych_administracji_publicznej_wpro.html


Cytat nr 1


Lotus Mobile Connect

● Umożliwia budowę sieci VPN (Virtual Private Network) na potrzeby aplikacji wykorzystywanych przez użytkowników mobilnych łączących się z różnych miejsc i poprzez różne sieci komputerowe, przewodowe i bezprzewodowe

● Bezpieczne połączenia mogą być zestawiane na potrzeby komputerów, urządzeń mobilnych czy też przeglądarek WWW (z klientem VPN lub bez)

● Nie wymaga wyłączania i włączania w przypadku przemieszczania się użytkownika pomiędzy różnymi lokalizacjami


Komponenty Lotus Mobile Connect

● Connection Manager (serwer) oprogramowanie serwerowe kontrolujące dostęp do zasobów firmowych wsparcie dla protokołów sieciowych IP i non-IP Mobile Network Connections (MNC) dla obsługi prywatnych i publicznych sieci

● Mobility Client (klient) oprogramowanie uruchamiane na komputerach bądź urządzeniach mobilnych uwierzytelnia się i zestawia połączenie VPN z serwerm (CM) prawo użycia klienta VPN jest zawarte w licencji Domino Enterprise CAL

● Gatekeeper (narzędzie administracyjne) konsola administracyjne (Java) zarządzanie poprzez polityki np. profile, sieci zastrzeżone, routing, filtrowanie IP


Dopasowana architektura rozwiązania

● Kompletne rozwiązanie VPN zapewniające uwierzytelnianie, szyfrowanie transmisji danych, optymalizację ruchu sieciowego i nieprzerwaną pracę w razie przemieszczania się

● Architekura niezależna od platformy systemowej, wykorzystywanych aplikacji oraz dostawców i technologii sieciowych

Lotus Mobile Connect

ServerMobility client


Typowy scenariusz: bezpieczny dostęp zdalnydla użytkownika mobilnego

at Home

at Office

On the Road

Ability to connect to company Intranet from different locations

Cafe / Restaurant / Hotel at the Customer

Application 1

Application 2

Application n

Maintain Logical Connection to Applications and Data

Application 3

Ability to Roam

physical break

physical break physical

breakphysical breakchange of

media

change of media change of

media

change of media

Ability to Cross

Firewalls


Uruchom i zapomnij

● Logowanie tylko raz● Podtrzymanie połączenia TCP/IP po zmianie miejsca pracy (sieci)

Mobile Network Interface (MNI)● Dobór optymalnego protokołu komunikacyjnego

UDP

HTTP

HTTPS Connection Manager

MobilityClient


Uwierzytelnianie użytkowników, szyfrowanie

● Wybór spośród uznanych standardów RADIUS, SecurID, LDAP, Active Directory, certyfikaty X.509, LMC

● Opcjonalnie uwierzytelnianie dwoma metodami● Mechanizmy Single Sign-On

np. integracja z logowaniem Windows, tokeny LTPA

● Certyfikacja FIPS na na algorytm szyfrowania AES, DES, TripleDES, DSA, SHA-1


Protokół LMC kontra IPSec

● LMC Wireless Link Protocol (WLP) zaprojektowany na potrzeby zdalnego dostępu z uwzględnieniem takich zjawisk jak: straty pakietów w sieciach przewodowych i bezprzewodowych niska przepustowość czy duże opóźnienia transmisji

● IPSec nie został zaprojektowany dla dostępu zdalnego, lecz raczej dla: połączeń pomiędzy lokalizacjami czy sieciami LAN sieci przewodowych z stałymi adresami IP sieci o wysokiej przepustowości czy małych opóźnieniach transmisji

● LMC i produkty oparte o IPSec zwykle używają tych samych algorytmów kompresji i szyfrowania


Cytat nr 2


Hasło mało podatne na ataki słownikowe... ;-)

Password Strengthhttp://xkcd.com/936/

http://xkcd.com/936/


Model bezpieczeństwa Lotus Notes Domino

● Bezpieczeństwo fizyczne ograniczenie fizycznego dostępu do serwera (i jego zawartości)

● Bezpieczeństwo infrastruktury (logiczne) zabezpieczenie platformy systemowej i sieci komputerowej

● Bezpieczeństwo Notes/Domino (logiczne) zabezpieczenie serwera Domino, baz Notes i zawartych w nich danych

Bezpieczeństwoinfrastruktury

Bezpieczeństwofizyczne

BezpieczeństwoNotes/Domino

Serwer Bazadanych

Dane


Bezpieczeństwo w Lotus Notes Domino

● Środowisko znane z wysokich standardów bezpieczeństwa identyfikacja - uwierzytelnianie - kontrola dostępu

● Certyfikaty użytkowników w plikach ID● Szyfrowanie i cyfrowe podpisywanie treści● Wielopoziomowa kontrola dostępu (ACL)

serwer, kartoteka na dysku, baza danych, widok/folder, dokument, sekcja, pole

● Kontrolowane wykonywanie kodu (ECL) określone typy operacji możliwe do wykonania tylko przez

fragment kodu podpisany upoważnionym identyfikatorem● Szyfrowanie transmisji sieciowej● Szyfrowanie lokalnych replik baz danych● Kontrolowana moc haseł● Unieważnianie utraconych identyfikatorów● ...


Dobre praktyki w zakresie bezpieczeństwa

● Certyfikator organizacji (plik cert.id) jest kluczem do zabezpieczenia tożsamości użytkowników i serwerów

● Wykorzystanie CA Process do rejestracji użytkowników● Wzmocnienie kluczy szyfrowania (key rollover) po przejściu na nowsze

wersje oprogramowania (R8 - 4096 bitów)● Wymuszanie mocy i częstotliwości zmiany haseł użytkowników za pomocą

polityki systemowej (Policy - Security Settings)● Porównywanie haseł i kluczy publicznych z plików ID z "ostatnimi znanymi"

kopiami na serwerze (password checking, public key checking)● Notes ID Vault lekarstwem na typowe problemy z plikami ID i hasłami

dystrybucja, synchronizacja i odzyskiwanie plików ID, resetowanie haseł● Protokoły HTTP, SMTP, POP3, IMAP czy LDAP w wersjach SSL● Restrykcyjne ACL i ECL, ograniczona wzajemna certyfikacja (cross-cert)● Wykorzystanie dostępnych narzędzi

np. Domino Configuration Tuner, Domino Domain Monitoring


Cytat nr 3


Wzrost zagrożeń dla poczty elektronicznej

● Protokoły internetowe dla poczty elektronicznej nie były projektowane z uwzględnieniem współczesnych zagrożeń niestety na razie nie wypracowano lepszych standardów

● Spam, phishing, malware itd. stanowią do 90% ruchu SMTP w Internecie generują zbędne koszty pasma sieciowego i mocy obliczeniowej negatywnie wpływają na wizerunek firmy i satysfakcję pracowników

● Ataki z wykorzystaniem skomplikowanych technik i specjalnych narzędzi pokaźne źródło zysku dla przestępców przy niewielkich kosztach szpiegostwo przemysłowe, nadużycia finansowe itd.

● Rozprzestrzeniają się wrażliwe informacje oraz wiążące się z nimi ryzyko intencjonalne bądź nieumyślne wycieki poufnych treści wykradanie danych oraz przechwytywanie danych w ruchu


Lotus Protector

● Uniwersalne narzędzia do ochrony poczty elektronicznej● Zbudowane w oparciu o rozwiązania czołowych producentów

● Lotus Protector for Mail Security ochrona przed różnorakimi zagożeniami dla poczty elektronicznej wydajne i elastyczne w konfiguracji zabezpieczanie i filtrowanie treści pomaga spełnić wymagania w zakresie ochrony danych

• PCI, HIPAA, SOX, EU Data Protection Act i liczne regulacje krajowe● Lotus Protector for Mail Encryption

szyfrowanie i cyfrowe podpisywanie poczty internetowej zautomatyzowana obsługa bez zmiany obecnych procesów biznesowych oraz

przyzwyczajeń użytkowników


Lotus Protector for Mail Security

● Zabezpiecza pocztę elektroniczną (Notes/Domino, ale także np. Exchange) i eliminuje różne zagrożenia: spam, wirusy, trojany, phishing, złośliwe oprogramowanie itd.

● Filtruje pocztę elektroniczną, zarówno przychodzącą jak i wychodzącą filtrowanie adresów IP (Dynamic Host Reputation) wielowarstwowa analiza wiadomości kontrola antywirusowa w oparciu o sygnatury bądź typowe objawy wychwytywanie niebezpiecznych adresów URL (phishing, spyware itp.) wyszukiwanie predefiniowanych fragmentów uznanych za niebezpieczne lub

szkodliwe (np. związanych z pornografią, szerzeniem nienawiści, numerów kard kredytowych)

obszary kwarantanny, listy zablokowanych i dozwolonych nadawców definiowane przez użytkowników

definiowania własnych reguł na potrzeby kontroli zawartości korespondencji możliwość wychwytywania m.in. słów kluczowych, wzorców i wyrażeń

regularnych


Lotus Protector for Mail Security

Deployment flexibilityper-user/per-PVU software license

World class technology

virtual appliance

Integrated Security

Stopping threats that attempt to exploit undisclosed vulnerabilitys before software

vendors are able to provide a patch by leveraging virtual patch technology.

physical applianceNotes/Domino integration...but works for all e-mail systems!

Notes/Domino integration...but works for all e-mail systems!


Integracja ze skrzynką odbiorczą Notes

● Użytkownicy mają pełną kontrolę nad niepożądaną pocztą elektroniczną przycisk "Spam: Zablokuj pocztę od

użytkownika" w widokach/folderach dodatkowe widoki:

• "Zablokowane wiadomości"• "Zablokowani nadawcy"• "Zaakceptowani nadawcy"

● Spam obiektywny, głównie masowo rozsyłane oferty niepożądanych produktów i usług zatrzymywany centralnie przez gateway LPMS

● Spam subiektywny, np. biuletyny, listy dyskusyjne, zaproszenia użytkownicy Notes mogą samodzielnie

decydować o dostarczeniu wiadomości zablokowanych dla nich centralnie oraz blokować bądź akceptować konkretnych nadawców


Znowu widzisz niechcianą korespondencję?Zablokuj nadawcę na zawsze!


Zarządzaj zablokowanymi wiadomościami i nadawcami bezpośrednio z poziomu Notes!


Ignoruj wiadomości, które system oznaczył jako niebezpieczne!


Konfiguracja z poziomu przeglądarki WWW


Kontrola treści i załączników, reagowanie


Rozbudowane metody analizy


Zero Layer Analysis (ZLA)

● Innowacyjne podejście do wysokiej wydajności oraz skuteczności● Inspekcja poczty elektronicznej w czasie rzeczywistym

Content FilterZLA IP Connection

FilterInternet

Quarantine

Drop Drop Drop Drop Drop

Zero Layer Analysis Wykorzystuje zoptymalizowany podzbiór wszystkich dostępnych filtrów Analizuje sekwencyjnie w trybie strumieniowym Odrzuca połączenie SMTP natychmiast po wykryciu, że jest spamem Wiadomość, która przejdzie ZLA, jest dalej analizowana pełnym zestawem filtrów Korzyść: Duży wzrost przepustowości bez utraty skuteczności


x 1k

/ hr

Duża przepustowość i skalowalnośćx

1k /

hr

x3250 x3350 x3550 x3650MS3004LP

12

70

36

115

180

250

360

v2.1 v2.5v2.1 v2.5

VMware Hardware

NOTES● Measured filtering of incoming internet emails of average 19kB size with pre-filters turned off. IP pre-filtering and SMTP pre-filtering increase throughput.● Version 2.5 hardware refers to off-the-shelf IBM System x rack-mounted servers ● MS3004LP hardware discontinued as of 9/22/2009, but v2.5 is supported on previously purchased units at 198k/hr.● See: http://www-01.ibm.com/software/lotus/products/protector/mailsecurity/systemrequirements.html

Filters up to 360,000 e-mails

per hour

sizing


Typowe sposoby rozmieszczania filtrów

● Urządzenia brzegowe i usługi "w chmurze" nie filtrują poczty wewnęrznej● Usługi "w chmurze" są dobrze skalowalne, ale trudniej je kontrolować i

integrować oraz wydają się być mniej skuteczne w filtrowaniu ● Zadania na serwerach obejmują całą pocztę i dobrze się integrują, ale

obciążają zasoby (CPU)

Edge Appliances

CleanServer Tasks Clean

INTERNET

Cloud Services

Combines best of all modes:Throughput, Efficacy, Integration


Przychodzący ruch SMTP

● Wskazując w DNS dwa LPMS osobnymi rekordami MX o tym samym priorytecie można równoważyć obciążenie bądź zabezpieczyć się przed awarią jednego z łącz

● LPMS można łączyć w klastry, aby scentralizować zarządzanie konfiguracją


Wychodzący ruch SMTP

● Odpowiednia kontrola i filtrowanie wychodzącej poczty elektronicznej zabezpiecza przed wysyłaniem niepożądanej zawartości i poufnych danych


IBM X-Force Research

Proprietary Research Bayesian Filter, URL Checker, Meta Heuristics, Flow Control, Structure Analysis,

Phishing detection, Fuzzy Fingerprints, Behavioral Antivirus...

Spam/Phishing Database 80 million spam signatures in the database

2 million new signatures per day > 98% effective against spam < 0.001% false-positives

URL Database 9.3 billion evaluated web pages and images

150 million new pages each month150,000 new categorized sites each day

100 million URL filter entries 68 categories of spam URLs

http://www-935.ibm.com/services/us/iss/xforce/

http://www-935.ibm.com/services/us/iss/xforce/


Test Virus Bulletin

"an impressive 99.90% of all spam emails were blocked....the lack of missed newsletters shows that filtering legitimate email is certainly not a major issue for the product." - Martijn Grooten, Virus Bulletin

http://www.virusbtn.com/vbspam/index http://www.virusbtn.com/vbspam/archive/vendor?id=546

http://www.virusbtn.com/vbspam/index

http://www.virusbtn.com/vbspam/archive/vendor?id=546


Raporty ICSAlabs

http://www.icsalabs.com/technology-program/anti-spam/spam-data-center http://www.icsalabs.com/product/ibm-lotus-protector-mail-security

http://www.icsalabs.com/technology-program/anti-spam/spam-data-center

http://www.icsalabs.com/product/ibm-lotus-protector-mail-security

http://www.icsalabs.com/product/ibm-lotus-protector-mail-security


Lotus Protector for Mail Security - podsumowanie

● Moduły analityczne, m.in.: predefiniowane i konfigurowalne wyszukiwanie słów kluczowych i wyrażeń

regularnych zabezpieczanie przed phishingiem wykrywanie szkodliwych adresów URL na podstawie bazy URLi kontrola antywirusowa załączników

● Filtrowanie zawartości● Zabezpieczenie przed atakami (wewnętrzny IPS)● Konfiguracyjna poprzez reguły● Predefiniowane raportowanie● Integracja z Lotus Notes Domino (od wersji 8.5.1)● Duża wydajność● Stała analiza zagrożeń w ramach IBM X-Force● Skuteczność potwierdzona niezależnymi testami


Lotus Protector for Mail Encryption

● Rozszerza szyfrowanie i cyfrowe podpisywanie poczty elektronicznej (Notes/Domino, ale także np. Exchange) na potrzeby transmisji przez Internet standardowo wiadomości pocztowe pomiędzy różnymi firmami czy instytucjami

sa przesyłane otwartym protokołem SMTP przez Internet bez jakiegokolwiek zabezpieczenia!

● Zabezpiecza wychodzącą korespondencję z użyciem najdogodniejszego sposobu szyfrowania dostępnego dla danego odbiorcy

● Umożliwia odbiorcy wybór preferowanej metody bezpiecznej komunikacji● Zapewnia, że w trakcie przesyłania treść nie zostanie przechwycona ani

zmodyfikowana● Eliminuje niepotrzebne koszty przekazywania dokumentów w inny sposób

(kurier, faks itd.)


Lotus Protector for Mail Encryption

Deployment flexibilityper-user software license

World class technologyNotes/Outlook integration

Client

Fortinet FortiMail-2000B

Gateway

physical or virtual appliance

backed/supported by:


Znaczenie szyfrowania korespondencji

● Nawet przypadkowe ujawnienie zastrzeżonych informacji czy też danych osobowych może być karane

● Szyfrowanie poczty elektronicznej w Internecie nadal nie jest powszechne● Żaden dostawca ani żadna technologia nie osiągnęły na tyle mocnej pozycji,

aby stać się rzeczywistym standardem de facto

● Lotus Protector for Mail Encryption wspiera wszystkie najważniejsze standardy i metody szyfrowania, aby zapewnić jak najpłynniejszą wymianę korespondencji ...

● ... nie wprowadzając żadnych zmian dla użytkowników w wykorzystaniu obecnego systemu poczty elektronicznej.


Lotus Protector for Mail Encryption- jak to działa?

Protector for Mail

Encryption Client*

● Notes Integration● Client Keyring● Encryption Policy

Client

Protector for Mail

Encryption Gateway

● Enterprise Key Server● Encryption Policy

Server● Webmail UI● Satellite Server

INTERNET

*Optional

Protector for Mail Security

Gateway*

● Content Filter● Policy Server


Automatyzacja bezpiecznego dostarczania wiadomości do odbiorców

Lotus Protector for Mail Encryption w inteligentny sposób znajduje najlepiej dopasowany sposób zaszyfrowania wiadomości dla każdego odbiorcy

Notes/Outlook

Domino/Exchange

Protector for Mail Encryption GatewayProtector for Mail Encryption Client

Protector for Mail

EncryptionGateway


Przed i po wdrożeniu LPME

Process Ownerw/o Protector w/Protector

Certificate Creation Request User ProtectorCertificate Creation Administrator ProtectorCertificate Import User ProtectorCertificate Protection User ProtectorEncryption Decision User User and/or

Protector

Search for Receivers Certificate User ProtectorEncrypt Message and Deliver Email Client Protector and

Email Client

Manage Receivers Certificates User Protector


Lotus Protector - podsumowanie

Antispam & Antivirus Encryption Content

FilteringCollaboration

Security

Security Products

and other messaging platforms

● Rozszerzenie mechanizmów bezpieczeństwa dostępnych standardowo w systemach poczty elektronicznej

● Współdziałanie z dowolnym systemem pocztowym SMTP


Dziękuję za uwagę, czas na pytania

Marek KuchciakICS/Lotus Client Technical [email protected]

http://www.goldenline.pl/marek-kuchciakhttp://pl.linkedin.com/in/marekkuchciak

http://www.goldenline.pl/marek-kuchciak

http://pl.linkedin.com/in/marekkuchciak

Technology

Ibm collaboration solutions,a bezpieczeństwo syst.teleinf. m. kuchciak