Behind the Scenes - Infortix€¦ · Die Sophos Firewall und Sophos UTM haben viele gemeinsame...
Transcript of Behind the Scenes - Infortix€¦ · Die Sophos Firewall und Sophos UTM haben viele gemeinsame...
1
Behind the Scenes Einführung in die neue Sophos Firewall (Projekt Copernicus)
Heartbeat + 01.09.2015 Zürich-Regensdorf +++ 02.09.2015 Hamburg +++ 03.09.2015 Berlin +++ 15.09.2015 Karlsruhe-Durlach +++ 16.09.2015 München-Unterschleißheim +++ 17.09.2015 Nürnberg +++ 23.09.2015 Frankfurt am Main +++ 23.09.2015 Salzburg +++ 24.09.2015 Wien +++ 29.09.2015 Köln +++ 30.09.2015 Dortmund +++ Höchsten +++ 01.10.2015 Egerkingen +++
2 2
„Welcome to project Copernicus“
3
Project Copernicus +
SG Appliances Neues OS
+ Zentrales Mgmt und Reporting
4
Sophos Firewall Manager (SFM)
Zentrales Management und Reporting
Sophos Cloud Firewall Manager (CFM)
Sophos iView v2
Project Copernicus
Vorerst nur für Partner in
zukünftigen Versionen
Migrationstools für Sophos UTM Benutzer
Migration
5
Layer “8” Userbasierende Policies Führende Application Control Beschleunigter Paket Filter iView Logging & Reporting
Führende Threat Protection RED für Standortvernetzung Sicheres WiFi mit Access Points Web Protection Technologien
Project Copernicus
Layer 8 Regelwerk auf Benutzerebene
Cloud console management
/reporting
Deep Application
control, Erkennung und Visualisierung
Intelligente Prüfung zur
Performance- steigerung
Läuft auf Hardware
der SG Serie
Flexible Migration Über Tools
Einzigartige Benutzerfahrung
Architecture Platform Modular Open Source
Hardware, Virtuell und
Cloud Bereitstellung
Heartbeat
Sophos Endpoint und Firewall kommunizieren
miteinander
Next Gen Network Next Gen Endpoint
6
freundliches Erscheinungsbild, einladend und benutzerfreundlich
Komplett neue Benutzererfahrung
• Ein völlig neuer Ansatz für
ein von Grund auf neu
entworfenes Benutzer-
interface, Navigation und
Darstellung
Neues User Interface Design
7
Network Security Control Center
Network Security Control Center
• In einem Blick
Sicherheitsrelevante
Informationen
8
Dashboard - User Threat Quotient
=>
Direkt aus dem Network Security Control Center in das Dashboard. Hier im Beispiel der „User Threat Quotient“
9
Flexibler Ansatz, Zonen basiertes Konzept, Benutzerbasierte All-In-One Policies Zentrales Regelwerk
3 Policy Typen
Business App Policy
Userbased Policy
Network Policy
10
Neu ist das Zonen Modell. Noch flexibler können hier Quellen und Ziele definiert werden
Egal ob Authentifizierung, NAT, QoS, Applikations Kontrolle, Web Filter oder IPS, alles wird in der selben Policy definiert.
Flexibler Ansatz, Zonen basiertes Konzept, Benutzerbasierte All-In-One Policies Zentrales Regelwerk
11
Einige wesentliche Neuerungen vs. UTM Vollwertige NGFW Plattform mit Userbased Policies Zonenkonzept und All-In-One Policies In-House developed Application Control Beschleunigtes Pakethandling IDS/IPS Monitoring Mode Dual Firmware (Rollback Option) API für Remote Konfiguration Bewährte Sophos RED, Wireless, Web Filter, WAF, VPN Technologien ATP Erweiterungen Sophos Endpoint Heartbeat (Projekt Galileo) Vollständig zentrale Verwaltbarkeit (On Prem und Cloud)
12 12
Anwendungsfälle
13 13
ATP Event von Firewall geblockt. Wie finde ich den Verursacher ?
14
ATP Event
Das Advanced Threat Protection Feature existiert bereits in der Sophos UTM. Zweck: Unterbinden von C&C Botnet Verkehr
Technische Einschränkung bisher:
Eine Sophos UTM zeigt zwar die IP des internen Rechners an, von welchem der fragliche Verkehr kam, die Suche und Bereinigung der verantwortlichen Malware oder Prozesse auf dem kompromittierten Rechner ist aber manuell und aufwendig wie:
Scan des Rechners mit verschiedenen AV Produkten
Manuelle Suche verdächtiger Prozesse auf den Rechnern
C&C traffic durch UTM detektiert. Wie finde ich nun den verantwortlichen Prozess ?
15
SOPHOS SYSTEM PROTECTOR
Sophos Cloud
SOPHOS UTM
Application Tracking
Threat Engine
Application Control
Reputation
Emulator HIPS/
Runtime Protection
Device Control
Malicious Traffic
Detection
Web Protection
IoC Collector
Live Protection
Web Filtering
Intrusion Prevention
System Routing
Email Security
Selective Sandbox
Application Control
Data Loss Prevention
ATP Detection
Proxy
Threat Engine
ATP Event auf UTM blocken und Alert anzeigen (Source IP)
Firewall
ATP Event auf der UTM – C&C traffic detected
16
ATP Event
Die Sophos Firewall hingegen bietet mit der neuen Heartbeat Funktion eine Kommunikationsmöglichkeit zwischen dem Sophos Cloud Endpoint und der Sophos Firewall
Im Falle eines ATP Events auf der Firewall kann diese via Heartbeat zusätzliche Informationen vom Sophos Endpoint auf dem Rechner anfordern, welcher das ATP Event verursacht hat
Dadurch kann direkt in der Firewall der Rechner, eingeloggter Benutzer und der Prozess der die C&C Verbindung geöffnet hat angezeigt werden
C&C traffic durch Copernicus detektiert. Wie finde ich nun den verantwortlichen Prozess ?
17
SOPHOS SYSTEM PROTECTOR
Sophos Cloud
heartbeat
SOPHOS FIREWALL OPERATING SYSTEM
Application Tracking
Threat Engine
Application Control
Reputation
Emulator HIPS/
Runtime Protection
Device Control
Malicious Traffic
Detection
Web Protection
IoC Collector
Live Protection
Galileo Heartbeat
Web Filtering
Intrusion Prevention
System Routing
Email Security
Galileo Heartbeat
Selective Sandbox
Application Control
Data Loss Prevention
ATP Detection
Proxy
Threat Engine
Subnetz und WAN Zugriff isolieren
Sperren / Entfernen von malware
Identifizieren & säubern von anderen Systemen
User | System | File
Compromise
Firewall
ATP Event auf Sophos Firewall mit Heartbeat
18
ATP Event auf Sophos Firewall mit Heartbeat
Der C&C Zugriff wird direkt unterbunden…..
19
ATP Event auf Sophos Firewall mit Heartbeat
…und in der Sophos Firewall angezeigt als:
ATP Event (Firewall ATP hat C&C Zugriff verhindert)
Und Heartbeat Event (Endpoint hat fraglichen Prozess isoliert)
20
ATP Event auf Sophos Firewall mit Heartbeat
Im Network Security Control Center wird beim Heartbeat der fragliche Rechner mit Rechnernamen , IP Adresse und dem eingeloggten Benutzer aufgelistet
21
ATP Event auf Sophos Firewall mit Heartbeat
Im Network Security Control Center wird unter ATP für den verhinderten Zugriff der Rechnername, IP Adresse, Threat Typ und der Prozess von dem die ausgehende Verbindung ausging gelistet
22 22
Benutzerbasierte All-In-One Policy
23
Benutzerbasierte All-In-One Policy
Die Sophos Firewall und Sophos UTM haben viele gemeinsame Sicherheitsfunktionen wie Webfilter, QoS, AppControl etc.
Während auf der UTM Policies nur teilweise Userbasiert appliziert werden können (Web Proxy), sind andere Funktionen IP basiert (QoS, Applikationskontrolle etc.)
Auf der Sophos Firewall können alle diese Einstellungen Userbasiert angelegt werden
Alle Policyfunktionen können Userbasiert in einer Policy angelegt werden
24
Benutzerbasierte All-In-One Policy Alle Policyfunktionen können Userbasiert in einer Policy angelegt werden
25 25
Bandbreitenlimitierung in Gäste WIFI Netzwerken pro Gast
26
Bandbreitenlimitierung Gäste WIFI Netzwerke
Die Sophos Firewall bietet die Möglichkeit Bandbreiten für Netzwerknutzer wie in einem Gästenetz einfach zu begrenzen
Anlegen einer passenden Traffic Shaping Policy
Bandbreite pro Gast / Wireless Gerät limitieren
27
Verwenden der Traffic Shaping Policy in der entsprechenden Firewall Policy vom Gästenetzwerk
Bandbreitenlimitierung Gäste WIFI Netzwerke Bandbreite pro Gast / Wireless Gerät limitieren
28 28
Einfaches Publizieren von Applikationen
29
Einfaches Publizieren von Applikationen
Via Business Application Policies können Web, Mail und andere Dienste sicher gegen das Internet publiziert werden.
Für bekannte Applikationen existieren vorkonfigurierte Vorlagen – Die Liste der Vorlagen wird ständig erweitert und erleichtert den Aufwand komplexer komplexe Regelwerke
Web-, und andere Dienste sicher gegen das Internet veröffentlichen
30
Beispiel: Sichere Veröffentlichung von Outlook Anywhere. Die Vorlage erstellt automatisch das komplexe Web Application Firewall Regelwerk nach „Best Practice“ Vorgaben
Einfaches Publizieren von Applikationen Web-, und andere Dienste sicher gegen das Internet veröffentlichen
31 31
Zentrales Management Zentrales Reporting
32
• Vollständiges zentralisiertes Policy Management und Monitoring
• Verfügbar als Cloud, HW & virtuelle Lösung
• SFM 15, 50 & 100 models (Hardware)
• Kostenlos für Partner
• Konsolidierte Reports von UTM9 und Copernicus Firewalls
• Bestehende iView 1 Installationen lassen sich upgraden
• >1000 Reports und Custom Views
• Verfügbar als virtuelle Appliance
• Compliance Reporting für HIPAA, PCI DSS, GLBA, SOX usw.
Sophos iView 2
Zentrales Management
Zentrales Management
33
SFM – Grouping and overview
34
Sophos iView 2.0
35 35
Discover and bridge mode
36
Einfache Auswertung mittels Analyse “Discovery or bridge mode” für einen umfassenden Sicherheits Bericht
Geschütztes Netwerk
Vorhandene Firewall Discover Mode
Vorhandener Switch
Mirror Port
Bridge Mode
Security Audit Report
• Keine störenden Eingriffe /
Veränderungen imNetzwerk
• Spiegelt den Datenverkehr zur
UTM/NGFW
• Lediglich Überwachung
• Einsicht (kein Eingriff) in:
• Benutzer verhalten
• Applikations Risiken
• Webzugriffs Risiken
• Intrusion Attacks & ATP
• Client Insights (Heartbeat), Virus,
VPN coming post v1
• Bietet erweitertes Reporting
inclusive eines Heartbeat
• Der Datenverkehr geht durch
die UTM/NGFW
• Erlaubt optional die Umsetzung
von Policies
Discover Mode
Bridge Mode
37 37
die neuen
Accesspoints
38
AP 15
AP 30
AP 50
AP 55
AP 55C
Deployment Desktop/wall Desktop/ceiling Desktop/wall Desktop/wall Desktop/ceiling
SOHO Ceiling mounted, for larger
offices High-density, dual-band/dual-
radio Larger offices, high density
Ceiling-mounted for larger offices
Maximum throughput 300 Mbps 300 Mbps 300 Mbps 867 Mbps + 300 Mbps 867 Mbps + 300 Mbps
Multiple SSIDs 8 8 8 per radio (16 in total) 8 per radio (16 in total) 8 per radio (16 in total)
Tech. Specification
Supported WLAN Standards
802.11 b/g/n
2.4 GHz
802.11 b/g/n
2.4 GHz
802.11 a/b/g/n
2.4 and 5 GHz
802.11 a/b/g/n/ac
2.4 and 5 GHz
802.11 a/b/g/n/ac
2.4 and 5 GHz
Number of radios 1 1 2 2 2
MIMO capabilities 2x2:2 2x2:2 2x2:2 2x2:2 2x2:2
Sophos Access Points – Small/Large End-of-Sale
30. Jun. 2015
Wurde ersetzt durch AP 55C
End-of-Sale 17. Jun. 2015
Wurde ersetzt durch AP 55
39
AP 100
AP 100C
AP 100X
Deployment Desktop/wall Desktop/ceiling Outdoor wall-mount
Enterprise dual-band/dual-radio Enterprise dual-band/dual-radio Enterprise dual-band/dual-radio
Maximum throughput 1.3 Gbps + 450 Mbps 1.3 Gbps + 450 Mbps 1.3 Gbps + 450 Mbps
Multiple SSIDs 8 per radio (16 in total) 8 per radio (16 in total) 8 per radio (16 in total)
Tech. Specification
Supported WLAN Standards
802.11 a/b/g/n/ac
2.4 and 5 GHz
802.11 a/b/g/n/ac
2.4 and 5 GHz
802.11 a/b/g/n/ac
2.4 and 5 GHz
Number of radios 2 2 2
MIMO capabilities 3x3:3 3x3:3 3x3:3
Environment IP67, -20°-+60°C
Sophos Access Points - Enterprise
40 40
Das neue
RED 15
41
RED 15 • Updated technology • Better throughput (3* RED10) • Planned availability: September
RED 15w • 802.11n, 2x2 MIMO • Planned availability: Early Q1’16
RED 15/15w
42
RED10/RED15 Comparison
RED10 RED15
Pricing $295 $295
Network Connectivity 5 x 100 Mbit/s RJ45 5 x 1 Gbit/s RJ45
2nd UTM Hostname N/A Failover configuration
Serial Console N/A RJ45 Console
Throughput 30 Mbit/s 90 Mbit/s
43 43
Zukunft
44
Zukunft
Copernicus v1 => Grundstein für eine zukunftsträchtige NGFW von Sophos
Copernicus v1 => Zielgruppe sind in erster Instanz Cyberoam und Neukunden
Copernicus v2 => Ergonomie und User Interface werden weiter optimiert
Copernicus v2 => Featureset plusminus gleichauf mit Sophos UTM
Die „Sophos UTM“ und „Cyberoam“ Plattformen werden nach wie vor parallel weiter entwickelt, und die aktuellen „SG“ und „Cyberoam“ Hardware Appliances sind Copernicus / Sophos Firewall OS Kompatibel.
46
Hardware Appliance XG 85 + w SG 105/115 SG 125/135 SG 210/230 SG 310 /330 SG 430/450 SG 550 SG 650 XG 750
Category Small
Desktop Small
Desktop Small
Desktop Medium
Midrange 1U Medium
Midrange 1U Medium
Midrange 1U Large
High-end 2U Large
High-end 2U
Large High-end
2U
Network Ports (standard) 4 4 8 6 6 & 2 SFP 8 (FleXi Port) 8 (FleXi Port) 8 (FleXi Port) 8 (FleXi Port)
FleXi Port Expansion Bays n/a n/a n/a 1 1 3 3 4 8
Redundancy n/a n/a n/a n/a n/a
2 SSD (RAID) &
2nd hot-swap power optional (SG 450 only)
2 hot-swap
SSD (RAID)
2 hot-swap power supplies
2 hot-swap
SSD (RAID)
2 hot-swap power supplies
2 hot-swap
SSD (RAID)
2 hot-swap power supplies
Software Appliance
Runs on dedicated Intel compatible PCs and servers and within virtual environments like VMware, Citrix, Hyper-V, KVM and other virtual environments
SG Series Additions Coming Soon Coming Soon
Copernicus only Copernicus only
49 49
Vielen Dank für Ihre Aufmerksamkeit ! Für Fragen und weitere Informationen stehen wir Ihnen gerne zur Verfügung
50 © Sophos Ltd. All rights reserved.