Sicherheit vom Discounter genügt nichtSicherheit vom Discounter genügt nicht

Agenda

•Was bietet „Sicherheit vom Discounter“ ?• Möglichkeiten und Grenzen von LowCost-Security

• Anforderungen an „Business Security“• Worauf muss ein Unternehmen achten ?

• Lösungen• Enterprise-Sicherheit zum KMU-Preis

• Vorteile einer integrierten Lösung

Was bietet Sicherheit vom Discounter ?

• LowCost Lösungen á la• Speedport Router (Telekom)

• AVM-Fritz-Box

• NoName-WLAN-DSL-Router

• bieten• Basis-Firewall-Funktionen

• z.T. einfachste AntiVirus-Scanner

• NAT (Network Address Translation)

• manchmal• AntiSpyware-Funktionen

• Basis-IPS*-Funktionen*IPS = Intrusion Prevention System

Beispiel AVM Fritz Box

• Original Text AVM-Produktbeschreibung

•TÜV-geprüft ist nicht gleich EAL4(+)* o.ä.•Kriterien genügen nicht für große oder

sensible Unternehmen

•Prüfung auf einfache Sicherheit • z.B. „zuverlässig gesperrte Ports

• oder auf DoS-Abwehr

Jede FRITZ!Box verfügt über eine leistungsstarke, TÜV-geprüfte Firewall und schützt Ihren Computer somit zuverlässig vor Angriffen aus dem Internet. Eine mögliche Fernsteuerung des Computers (z.B. durch Trojaner) sowie der Befall durch sich aktiv verbreitende Würmer wird so verhindert.*

Zudem verhindert die mitausgelieferte Software FRITZ!DSL Protect den ungewollten Datenversand ins Internet und somit das selbstständige Versenden von Schadprogrammen.**

Für einen kompletten Schutz empfehlen wir indes den Einsatz eines Virenscanners.***

Jede FRITZ!Box verfügt über eine leistungsstarke, TÜV-geprüfte Firewall und schützt Ihren Computer somit zuverlässig vor Angriffen aus dem Internet. Eine mögliche Fernsteuerung des Computers (z.B. durch Trojaner) sowie der Befall durch sich aktiv verbreitende Würmer wird so verhindert.*

Zudem verhindert die mitausgelieferte Software FRITZ!DSL Protect den ungewollten Datenversand ins Internet und somit das selbstständige Versenden von Schadprogrammen.**

Für einen kompletten Schutz empfehlen wir indes den Einsatz eines Virenscanners.***

* BSI gleichwertige Zertifizierung

Beispiel: Speedport w722v

• Auszug aus dem Handbuch

• keine Konfigurationsmöglichkeiten

• kein AntiVirus

• aktuelle Firmware lässt Port öffnen/schließen zu

• NAT-Funktionen

Integrierte FirewallDie integrierte Firewall schützt Ihr Netzwerk vor Angriffen aus dem Internet.

Integrierte FirewallDie integrierte Firewall schützt Ihr Netzwerk vor Angriffen aus dem Internet.

Grenzen von LowCost-Security

• Angriffe heute sind um ein vielfaches intelligenter• Portscan ermittelt offene Ports• Besonderheit

• Port 80 ist immer offen (Internet/http)

• Angriffe können hier einfachst tunneln

• andere offene Ports bieten Möglichkeiten für Angriffe• intelligente Angriffe ändern so lange die Zielports, bis sie einen

offenen gefunden haben

• Beispiel• Peer-2-Peer Software

• Standard-Ports sind bekannt - und werden von einfachen Firewalls gesperrt

• Firewall wird von Software erkannt

• es wird ein „non-standard“ Port verwendet

• P2P-Software kann trotz Firewall genutzt werden

...aber es geht viel weiter

• Angreifer zielen auf • „Inhalte“• Applikationen• nutzen Protokoll-Schwächen• kombinieren Angriffe• „blended threats“

• Eine Firewall• ist verbindungsorientiert• kann Ports, evtl. noch

Protokolle sperren• erkennt keine Anomalien

• Ein einfacher AntiVirus-Scanner• hat nur eine begrenzte Signatur-Datenbank• verfügt i.d.R. nicht über weiterentwickelte, intelligente AV-

Erkennung (Day-Zero-Angriffe)

Kombinierter Angriffsschutz…

8

“Unscheinbarer” Video Link:Leitet auf schädliche Website um

Integriertter Web-FilterVerhindert Zugriff auf schädliche Site

Netzwerk AntiVirusVerhindert Virus-Download

Intrusion ProtectionVerhindert das Ausbreiten des Wurms

Lösung:

Fehlermeldung:Speichert eine Kopie von sich auf dem System und versucht sich weiter zu verbreiten

“Out of date” Flash Player Fehler:“Download” eines Malware Files

Problem:

Worauf muss ein Unternehmen achten ?

• IT-Sicherheit ist (leider) Chef-Sache• Problem• Kernkompetenz des „Chefs“ ist oft nicht IT

• Security „sieht man nicht“, kostet aber Geld

• ABER• Kernkompetenz (des GF) ist das Verständnis ALLER

wichtigen Geschäftsprozesse

• gemeinsame Priorisierung der Prozesse und ihrer Abhängigkeit von IT-Prozessen/-Infrastruktur• Kooperation zwischen GF und IT zwingend erforderlich

• aktiver Schutz der hoch-priorisierten (IT-)Prozesse• mit DEN Mitteln, die auch große Unternehmen einsetzen

• denn:• „der Wurm macht nicht halt, nur weil ein Unternehmen nur 5

Mitarbeiter hat“

Das Fortinet Konzept• Multi-Level-Security oder

„Eierlegende Security-Wollmilchsau“• Firewall• VPN

• SSL• IPSEC

• L2/L3 Routing• IPS/IDS• AntiVirus• AntiSpam• WebFiltering• Application Control• Data Leakage Protection• WAN Optimierung• WLAN Security• WLAN Controller• SSL Inspection• NAC - Netzwerk Zugriffskontrolle• Schwachstellenmanagement• Virtualisierung

Konsolidierung von Sicherheit

• Fortinets Know How• Eigene Entwicklung sämtlicher

Lösungen• Bessere Integration• Höherer Schutzlevel

• Transparenz• Vereinfachung der Security-Infrastruktur• Sichtbarkeit von Bedrohungen und

Angriffsversuchen• Visibilität der Wirksamkeit von

Schutzmechanismen• Flexibilität• Aktivierung aller Dienste gleichzeitig,

separat oder virtualisiert• Nur eine Benutzeroberfläche für

alle Dienste und Appliances• plus leistungsfähiges Command Line

Interface (CLI)• All-Inclusive

• alle Lizenzen „on-board“• Ausnahme: VDOMs ab 3000er

• Cluster/HA Funktionalität inkl.

FortiGate ProduktfamilieP

erf

orm

an

ce,

Po

rts,

(F

ea

ture

s)

Unternehmensgröße

SMB/SOHOSMB/SOHO

Mittelstand/SMEMittelstand/SME

EnterpriseEnterprise

Telco / MSSP / DataCenterTelco / MSSP / DataCenter

FG30BFG50B

FG60C

FG110C

FG310B

FG620B

FG3016B

FG3810A

FG5020

FG5050

FG5140

nur eine GUInur eine GUInur eine GUInur eine GUI

nur ein Managementnur ein Managementnur ein Managementnur ein Management

Integration in Security-GesamtkonzeptIntegration in Security-GesamtkonzeptIntegration in Security-GesamtkonzeptIntegration in Security-Gesamtkonzept

UTM und V

irtual S

ecurity fü

r alle

Unte

rnehm

ensgrößen

UTM und V

irtual S

ecurity fü

r alle

Unte

rnehm

ensgrößen

UTM und V

irtual S

ecurity fü

r alle

Unte

rnehm

ensgrößen

UTM und V

irtual S

ecurity fü

r alle

Unte

rnehm

ensgrößen

Identis

che Technolo

gie auf A

LLEN Forti

Gates

Identis

che Technolo

gie auf ALLEN F

ortiGate

s

Identis

che Technolo

gie auf A

LLEN Forti

Gates

Identis

che Technolo

gie auf ALLEN F

ortiGate

s

Carrier Class Security auch für SMBCarrier Class Security auch für SMBCarrier Class Security auch für SMBCarrier Class Security auch für SMB

FG80C/CW und FGV/FWV80C

FG1240B

FG200B

FG3950

Warum ?

•Mit Fortinet haben Sie• Mehrstufiger Ansatz• echte Integration aller Security-Module• keine „Nischen-Lösung

• reaktiver Ansatz• Performance-Einbuße

• mehrmaliges Untersuchen von Daten(-strömen)• Anwendung von Modulen in Abhängigkeit von

• User• Applikation• Zeit• Datei-Typen usw.

• Skalierbar• verfügbar auf allen FortiGate-Appliances• keine user-abhängige Lizenzierung

• Security ist Fortinet´s Kernkompetenz

Weitere Vorteile

• Applikations-Kontrolle• Beschränkung der Nutzung von• Applikations-Typen/-Gruppen• dedizierten Applikationen• Teilen von Applikationen• Zeit der Nutzung

• Tageszeit• Zeitkonten

• mehr dazu in Kürze in White Paper auf www.sicher-sein.net

• Einbeziehung des Endgeräts• integrativer Ansatz• mehr in Webinar am 20.09. (s. www.sicher-sein.net)

• Vermeidung von Spam-Mails• mehr in Webinar am 13.10.

Fragen ?

Vielen Dank !Für weitere Informationen besuchen Sie bittehttp://www.fortinet.com oder www.sicher-sein.net

Fortinet GmbHJörg von der Heydt

Channel Manager Germany

Mail: jvdheydt@fortinet.com

Tel.: +49 2331 924609 oder +49 163 2925774