Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager Sicurezza e scenari aziendali • Crescita dell’attività “ostili” – Aumento dei potenziali pericoli – Aumento dei veicoli – Differenziazione delle fonti • Livello “ragionevole-relativo” di sicurezza – Differenziazione degli strumenti di protezione • FW, VPN, AV, IDS, AAA, etc – Aumento degli strumenti – Differenti tecnologie/vendor Costi di acquisto Costi di manutenzione “Costi di utilizzo” Gestione aziendale della sicurezza • Tutte le azienda hanno un installato di prodotti networking e security • Questi strumenti generano logs – Sono conservati nel modo corretto? – Vengono analizzati? – Viene generata una reportistica “utile” per l’aumento della sicurezza/produttività/funzionalità aziendale? – I report vengono centralizzati in un unico punto? • Gli strumenti che vengono attualmente utilizzati permettono di rispondere alle seguenti domande? – Nella Sua azienda, quando banda disponibile viene consumata dall’email? – Ogni giorno, quanti “drop” genera il Suo firewall? – Al mese, quanti attacchi ricevono i sistemi della Sua rete? • • • • di che tipo? da quale host? verso quale servizio? a seconda degli eventi riscontrati, è in grado di generare un’azione precisa sulla Sua rete? Net Report: real time information management solution Net Report Log Analyser • • Analisi storica dei logs Reportistica personalizzabile NetReport Monitoring Center • • Soluzione di gestione in real-time Proattività nella gestione delle azioni sul proprio network Net Report Log Analyser • • • Potente strumento di reportistica Fornisce accurati report relativi alle attività ed alle performance dei sistemi implementati all’interno del network Compatibilità con i sistemi aziendali – – Firewalls : Check Point™ VPN-1 Gateway & FireWall-1 Cisco Systems ® Secure PIX ™ Firewalls Cisco Systems ® Secure VPN Concentrators NetScreen ( WELF ), SonicWall ( WELF) Netasq ( WELF ), Symantec Raptor, Nokia … IDS : ISS – Real Secure 6.5 & 7.0 Snort 2.0, Cisco Systems ® IDS … – – – Proxy / Web : Microsoft ISA Server 2000, Netscape Proxy Server Bluecoat security gateway, Squid … Radius servers : Activcard, RSA, Funk Software Others : Microsoft Management Instrumentation ( WMI ) Ping Agent Net Report Log Analyser • Secure Web Portal – Accesso sicuro alla creazione e analisi dei report – Gestione di differenti livelli di admin – Report dinamici: • • • • • Configurazione dei parametri in base al tipo di apparato Servizi Tipi di attacchi Priorità Data/tempo Net Report Log Analyser • Generazione ed esportazione di report in differenti formati: – – – – – – – • HTML-DHTML Doc Excel Pdf XML ODBC db ASCII Personalizzazione e customizzazione della reportistica – Report di default senza nessuna configurazione – Oltre 150 reports standard predefiniti per tutti gli apparati interfacciati • Collezionati basandosi sui formati standard: – WELF,W3C,LEA(Check Point),Syslog,flat files,Radius, Microsoft WMI Net Report Log Analyser • Reports: Firewalls / VPNs / Proxy – – – – – – • Reports: Intrusion Detection – – – – • Statistiche generali firewall Utilizzo dei protocolli Limitazione di traffico Riassunto delle attività VPN TOP utenti in base all’utilizzo di banda Siti maggiormente acceduti e utenti più attivi … TOP messaggi per hits Sorgente degli allarmi raggruppati per livello TOP messaggi per attacco Messaggi di allarme per sorgente/destinazione I reports possono essere generati per settimana, giorno, ora – – Email automatica alla generazione del report Schedulazione accurata • ogni primo giorno del mese, un giorno sì, uno no Net Report Log Analyser Firewalls / VPNs Proxy / Web SQUID …e altre ancora Intrusion Detection Radius Servers Anti-Virus & others Net Report Monitoring Center • Strumento in real-time di gestione delle informazioni – allarmi, attacchi, “incidents” • …relative ai sistemi implementati in azienda – Firewall/Vpn, Proxy, Ids, AAA, etc • …..al fine di garantire ed aumentare l’affidabilità dei dati disponibili Net Report Monitoring Center: concetti Report accurati Unione e correlazione di dati Interfaccia intuitiva Generazione automatica di report Formalize React Azioni su eventi accorsi per ciascuno tipo di soluzione implementata( FW, Sensori, Servers ..) Illimitati tipi di azioni attivabili Esecuzione in Real Time Log generici Log specifici Collect Analyse Unione di eventi duplicati Unione di multiple sorgenti Impostazione di filtri sugli eventi Net Report Monitoring Center • Gestione degli allarmi-eventi per differenti soluzioni implementate – Allarme automatico e creazione di azioni – Supporto di differenti metodi di allarmi (SMTP, SNMP, SMS) • Configurabilità di filtri relativi agli allarmi • Contatore delle sessioni e delle soglie raggiunte/d’azione Net Report Monitoring Center: azioni proattive • La policy definisce quale di azione il sistema deve lanciare al verificarsi di un determinato evento. Mail U.L.A. Router Event Storage IDS Console Firewall • I logs delle attività dei sistemi vengono monitorate e inviati ad un motore di analisi Net Report Monitoring Center: azioni proattive e correlate Quando si verifica un evento sul sensore IDS, il dato è conservato nel NetReport Database Quando si verifica un evento sul sensore IDS e sul firewall, viene generato un alert sulla console U.L.A. IDS NET REPORT Database Console Alert Firewall Quando si verifica un evento sul Firewall, il dato è conservato nel NetReport Database Net Report Monitoring Center: architettura LOG COLLECTION AND XML TRANSLATION PRE-DEFINED ACTIONS Firewall / VPN LEA- WELF Database Storage Proxy CONSOLIDATION, FILTERING AND LOG ANALYSIS W3C Send an Email IDS Syslog 3A Server U.L.A Radius Windows Server Send an SMS Script Launch WMI Router SNMP Plug-In Event Generation Net Report Monitoring Center: amministrazione • Gestione centralizzata da un’unica stazione (Microsoft Management Console – MMC) di illimitati motori di analisi • Aggiornamento di azioni, filtri, campi – On-line sul sito di NetReport • Monitoraggio delle performance delle soluzioni in tempo reale Net Report Tools Net Report: tools 1° Reseller Site Username: netreport Password: netreport Net Report: Reports Net Report: tool 2° Per concludere… • Net Report – centralizza, analizza, informa e genera reportistica da un’unica console – assicura a corretta gestione degli eventi accorsi al network aziendale – garantisce ed aumenta le performance e l’integrità dell’architettura • Standards – Net Report traduce tutti i differenti tipi di logs (Syslog log, Flat Files Log, Checkpoint LEA log...) in un formato universale (XML). – Grazie a questo formato, Universal Log Analyser (ULA) analizza tutte le informazioni ed imposta le predefinite azioni • Net Report Web Portal – consultare, schedulare e customizzare la reportistica – creare report in real time Grazie per l’attenzione