G

1
Güvenli Networkler Secure Networks
rustu.korkmaz_at_enterasys.com
2
AJANDA

• Enterasys Networks
• Günümüz ve 21.YY networkleri
• Enterasys Secure Networks Kavrami ve Mimarisi
• Enterasys Secure Networks Çözümü
• Soru - Cevap

3
Enterasys Networks

• Kurulus 1983 (Cabletron Systems)
• Teknoloji Firmasi
• 640 Patent
• Teknoloji Lideri Ürün ailesi
• EN akilli networkler
• Iletisim (Networking) Alaninda Derin Tecrübe
• Güvenlik Alaninda Tecrübe
• 2300 Çalisani

We Build The WorldsMost Secure Enterprise
Networks
4
Enterasys Innovation Technology Leadership
Secure Networks Technology
2nd Generation
3rd Generation
1st Generation
2001 First standards-based policy networking
solution (UPN) Co-authored 802.1X user
authentication standard Introduced host- and
network-based intrusion defense system
1990 Launched first multivendor,
distributed management platform(SPECTRUM)
2004 Intrusion Response Quarantine
Policy Distribution Layer Policy Allocation/ Mult
i-User Authentication Matrix X terabit-speed,
secure core router Flexible, stackable
switching family extends Secure Networks to
edge cost effectively
1995 Developed first solution using
directory-enablednetworking and policy-based
management (SecureFast)
1999 Launched Dragon intrusion detection software
for enhanced enterprise wide security
2002 Secure Guest Access policy
solution Centrally- administered Acceptable Use
Policy solution
2005 RoamAboutWireless Switch Seamless Secure
Networks across wired and wireless
environments Integrated Intrusion Detection and
Prevention across the enterprise
2003 New generation of policy- capable switches
(Matrix N-Series DFE) NetSight ASM brings
automated security management to switched
infrastructure Dragon offers adaptive pattern
matching to enhance intrusion detection
5
TEKNOLOJI Günümüz ve 21. YY Networkleri

• Continuity
• Kesintisiz ve Her zaman Önceden Belirlenmis
  kurallar çercevesinde Iletisim
• Context
• Servisler, Is Süreçleri ve kisiler arasindaki
  iletisim (communication flows) olarak
  algilanmalidir.
• Control
• Sistemin karalastirilmis politikalar çerçevesinde
  isletilmesi.
• Compliance
• Digital Bilginin, kurum ve disi düzenleyiciler
  tarafindan (HIPAA-Saglik, BASEL-2 Finans)
  öngörüldügü sekilde güvenliginin ve iletisiminin
  saglanacagini garantilemek
• (Right People have access to right things)
• Consolidation
• Tüm iletisim ihtiyaçlarini karsilayabilecek tek
  bir güvenli yapi
• Data - Voice / VoIP -Video

Security Intelligence

21st Century Networking

Traditional Networking Focus
6
21.YY Networkleri
Value
7
Güvenli Networklerin Özellikleri
Bugün itibari ile uygulanabilir olmalidir

• Görünürlülük

• - Kisiler- Güvenlik
• - Network

• Kimlik Kontext Zekazi

• - Kim, Ne, Ne zaman, Nerede, Neden

• Politikalar Kolayca Uygulanabilmeli

• - Kullanici, Cihaz, Bölüm, Protokol, Uygulama

• Merkezi, En küçük Birim Kotrolu

• - Güvenlik politikalari en küçük birime kadar
  uygulabilmeli

• Uyumluluk

• - Standartlar desteklenmeli

• - Sistem seviyesinde yönetim

• Kolay Yönetilebilirlik

• - Otamatik Karar Verme Mekanizmasi (Belirle,
  Önle)
• - Entire network infrastructure
• - Complements existing security measures

• Dinamik Cevap Verme ve Önleme

8
Secure Networks

• Secure Networks, Enterasys Networksün,
  networking vesecurity kavramlarina kendine
  özgü ve su anda benzeri olmayan (unique)
  yaklasiminin ve teknolojisinin adidir.
• Secure Networks , Flow-based Anahtarlama
  Mimarisi (Switching Architecture) ile Güvenlik
  ve Yönetim Yazilimlarini tek bir çati altinda
  toplayarak, tüm network yapisinin (network
  infrastructure) kontrolünün merkezi ve otomatik
  olarak gerçeklestirilebilmesini saglamayi
  hedeflemektedir

9
Secure Networks Elemanlari
Enetarsys Secure Networks yaklasimi ile
networkümüzü olusturan tüm birlesenler merkezi ve
otomatik kontrol amaçli olarak tek çati altinda
birlestirilir

• security-enabled switching, wireless ve routing
  mimarisi
• güvenlik yönetim yazilimi
• Ileri seviye güvenlik uygulamalari

10
Secure DNA Enterasys Ürün Ailesi
Uçtan Uca Ürün Ailesi
LAN EDGE
LAN CORE
NETWORK MANAGEMENT
Dragon Server NetSight Atlas Policy
Manager Inventory Manager Security Manager Console
NIDS
X-Pedition
Matrix N-Series E-Series
Matrix N-Series E-Series
REMOTE BRANCH LOCATIONS
Standalone Matrix E-Series V-Series
Matrix N-Series E-Series
LAN DATA CENTER
X-Pedition
Standalone Matrix E-Series V-Series
VPN
Matrix N-Series E-Series
Stackable Matrix V-Series
Branch XSR
WAN
Stackable Matrix V-Series
RoamAbout Wireless
Regional XSR
RoamAbout Wireless
Servers
NIDS
11
Secure Networks Mimarisi

12
and the Leader in Securing The Network
Secure Campus LAN
Enterasys is clearly the market leader. Its
network quarantine engine is well ahead of most
competitors, and it has done an excellent job
with integration of network security
functions. - Forrester Research, Securing the
Campus Network (Sep 2004)
Secure Campus Lan
13
Saldiriya Açik Network Yapisi Network Security
VPN
Firewall
IDS
Anti-Virus/Personal Firewall

• CODE RED
• SO BIG .F
• NIMBDA
• BLASTER
• SLAMMER

Branch/Remote Office
INTERNET
SOHO/ Mobile Office
CORE
Firewall
DMZ
Data Center
Kisisel Firewall Antivirus
14
Enterasys Secure Networks
VPN
Firewall
IDS
Anti-Virus/Personal Firewall

• CODE RED
• SO BIG .F
• NIMBDA
• BLASTER
• SLAMMER

Branch/Remote Office
INTERNET
SOHO/ Mobile Office
CORE
Firewall
DMZ
Data Center
Kisisel Firewall Antivirus
15
Secure Networks

• Secure Networks Çözümü

16
Secure Networks Çözümü

• Acceptable Use Policy Geçerli Kullanici
  Politikasi
• Network ve IT servislerinin nasil
  kullanilacaginin belirleyen Güvenlik Modeli
  (Access Control)
• Secure Application Provisioning Güvenli
  Servisler
• Kullanici ve Kullanici gruplarina güvenli
  servisler saglanmali.
• Secure Guest Access Misafir Kullanici
  Politikasi
• Temel servislerin misafir kullanicilara güvenli
  sekilde verilmeli.
• Dynamic Intrusion Response Dinamik Saldiri
  Tesbit ve Cevap
• Otomatik olarak saldiri karsisinda çözüm ve cevap
  üretme
• Trusted End-System Güvenilir son Nokta
  (kullanici, cihaz ..)
• Kullanici ve cihazlarin networke dahil edilmeden
  önce güvenirlilik kontrolünden geçirilmesi

17

Secure Networks Çözümü
Additional Security Solutions
Dynamic Intrusion Response
Secure Guest Access
Acceptable Use Policy
Secure Application Provisioning
Single Sign-On
Trusted End System
18
Secure Networks Çözümü

• Secure Networks
• Is rollerini modelleyerek
• Network yöneticisine politikalari uygulama güçü
  vererek
• Is Servislerine (Uygulamalar, Protokoller,
  Network kullanimi, ..) erisim sekil ve
  yöntemlerini izleyip ve/veya degistirerek
• Politika Bazli Networklerin (Policy Enabled
  Networking) olusturulabilmesine imkan
  saglamaktadir.

Business Users
Business Policy Rules
Business Services
19
Netsight Policy Manager Mimarisi

• Bilisim Dilinin, Is Dünyasinda ifadesi Is
  Dilinin, Bilisim Dünyasinda Ifadesi

Enterprise Access
EnterpriseUser
GuestAccess
Administrator
Roles
Application Provisioning
AuthenticatedSupplementalPrivileges
Threat Management
Secure GuestAccess
Services
Classification Rules
20
NetSight Atlas Policy Manager
21
Acceptable Use Policy

• Enterasys Networks Acceptable Use Policy (AUP)
  çözümü, network ve iliskili IT Servislerinin
  isletme içerisindeki organizasyonlar tarafindan
  nasil kullanilmasi gerektigini tarif edet kural
  ve politikalar kümesidir. Bu küme Netsight Policy
  Managerda tanimlanir model olusturulur.
• Modellemede sirketin güvenlik politikalari baz
  alinir
• Acceptable Use Policy (AUP) RFC (2196)da
  tanimlanmaktadir

22
Acceptable Use Policy

• Network sürekli kotrol (Control) altinda
  tutulmali ve
• kesintisiz iletisim (Continuity) saglanmali

Güvenlik Kaygilari Karsilik 5Cs Elemanlari
Isiniz/Isletmeniz son zamanlarda virüs veya wormlardan etkilendi mi? Networkünüz, güvenlik ve kullanim konusunda siz gibi davraniyor ve kararlar verebiliyor mu? Control Sürdürülebilir ve sürekli role-based policy yönetimi
Networkünüz, kritik iletisim (mission-critical communications) ile kritik olmayan iletisimi (non-mission-critical traffic) ayirt edebiliyor mu ? Continuity End-to-end bandwidth garantisi (QoS)
23
Acceptable Use Policy Nasil Çalisir
3. Güvenlik politikalari, istenmeyen trafik,
protokol ve bilinen tehditler filtrelenerek
networke girmeleri engellenir 4. Politikalar ayni
zamanda belirli trafik tipleri ve flowlara hiz
sinirlari (rate limit) koyabilir

• 1. Güvenlik Politikalari merkezi olarak NetSight
  Atlas Policy Manager ile olusturulur
• 2. Politikalar son kullanici ve sunucu baglanti
  noktalarina dagitilir ve ilgili portlara
  uygulanir

24
Acceptable Use Policy

• Step 1 Create Enterprise Access role as defined
  by Acceptable Use Policy

NetSight Atlas Policy Manager
ROLü Tanimla
Create AUP Role - Central administration of
entire enterprise security policy. One click
and a security policy is enforced across the
whole enterprise
1.
Business Service
Matrix Access Device
Client System
User
25
Acceptable Use Policy

• Step 2 Deploy to enterprise access ports

NetSight Atlas Policy Manager
Enterprise Access Module 1 Ports 2-46 Module 2
Ports 1-72
Business Service
Access Device
Client System
User
Enforce Güvenlik Politikasi dogrudan portlara
uygulanir. Gereksiz uygulama, trafik ve bilinen
saldirilarin networke girmesi engellenir.
2.
Kullanici/Erisim Portuna Rolu Uygula
26
Acceptable Use Policy Overlay
LANCORE
NETWORKMANAGEMENT
WAN
NIDS
Core Router
Servers(some with HIDS)
Erisim Anahtarlari Chassis Based Matrix
N-Series Stand Alone Matrix E1-Series
Matrix C2 Matrix B2 Wireless RoamAbout
Erisim Anahtarlari Chassis Based Matrix
N-Series Stand Alone Matrix E1-Series
Matrix C2 Matrix B2 Wireless RoamAbout
Dagitim Anahtarlari Chassis Based Matrix N-Series

• Network Management
• NetSight Atlas
• Policy Manager

AUP tüm networke basindan sonuna uygulanir
27
Secure Application Provisioning

• Secure Application Provisioning, networkte
  kullanilan servis ve uygulamalara güvenlik ve
  Quality of Service (QoS) politikalarini dinamik
  olarak uygular.
• Secure Application Provisioning, kullanicilarin
  farkli Quality of Service ihtiyaçlarinin
  karsilanmasini saglar
• Örnek A kullanicisi SAP R/3 yüksek öncelikle B
  kullanicisi düsük veya hiç ulasamama haklarina
  sahip olabilir
• Kullanicilarin ihtiyaçlari ve servislere ulasim
  öncelikleri is politikalari ve is süreçlerindeki
  fonksiyonlari ile tanimlanir

28
Secure Application Provisioning
Güvenlik Kaygilari Karsilik 5Cs Elemanlari
Networkünüz farkli kullanici gruplarinin servisleri kullanimini ayiristirip farklilastirabilmekte mi? Consolidation Toplam network visibility
Networkünüz, kritik iletisim (mission-critical communications) ile kritik olmayan iletisimi (non-mission-critical traffic) ayirt edebiliyor mu ? Continuity End-to-end bandwidth garantisi (QoS)
Sektörünüzün tüm dinamiklerini ve sinirlamalarini biliyor musunuz? Compliance On-demand response kapasitesi
29
Secure Application Provisioning

• Sürekli ve on-demand politikalar merkezi olarak
  yönetilir
• Acceptable Use Policy
• Servislere farkli seviyelerde ulasim
• Uygulamalara farli (L2/3/4) QoS
• Güvenli kaynak kullanimi
• Service Level Agreements (SLA)
• Kritik is fonksiyonlari (mission critical
  business functions) belirlenir ve ilgili
  servisler önceliklendirilir
• Yeni is servisleri ve uygulamalarin kolayca
  adaptosyani saglanir

30
Secure Application Provisioning
Access Device
Client System
User
RADIUS Server
Client Authentication - EAP - Web-Based -
MAC-Based
RADIUS Client to Server Authentication

• Kullanici Bazli Dogrulama (Authentication)
• Iletisim Kontrolu ve Role göre politika uygulanir
• Kullanicinin üstlendigi ROLE göre Siniflama
  Kurallari (Classification rules) kullanici
  trafigine uygulanir

Access Allow/Deny Filter-ID Attribute withRole
Assignment
31
Secure Guest Access

• Secure Guest Access misafir kullanicilarin musade
  edilen IT kaynaklarina belirlenen politikalar
  dahilinde network üzerinden erisimlerini
  saglayabilme yetisi
• Problem Network güvenligi göz ardi edilerek
  misafir kullanicilar bir VLANa atanmakta. Ayni
  VLAN içerisinde yer alan kullanicilarin da
  birbiri için tehdit olabilecegi gerçegi göz ardi
  edilmekte. Bu nedenle, cihazlar VLAN atamasi
  yaninda misafir kullanicilarin protokol-based
  olarak networke dahil olmalarini
  saglayabilmelidir

32
Secure Guest Access
Güvenlik Kaygilari Karsilik 5Cs Elemanlari
Networkünüz, networkünüzü kullanan tüm kullanicilarin is süreçlerindeki rollerini (yönetici, muhasebeci, arastirmaci..) anlayabilmekte midir? Context Flow-based forwarding ve en küçük son noktaya kadar kontrol
Risk yüzünden bazi kullanicilarin netwörkünüzü kullanmasini yasakliyor musunuz? Consolidation Toplam network visibility
33
Mevcut Misafir Kullanici Networkleri

• Kimlik Dorulamasi yapilamayan kullanicilar
  Misafirt VLANina atanir
• Birden fazla Misafir VLANi gerekebilir (Konferans
  Salonlari, Egitim Salonlari..)
• Merkezi Olmaya Yönetim
• Misafir VLANlari tüm anahtarlarda tanimlanmali
• Misafir kullanicilarin birbilerine saldirilari
  engellenememektedir.

34
Enterasys Secure Guest Networking

• Misafir Erisim ROLEu kimlik dogrulamasi
  yapilamayan kisiye atanir
• Filitreler (classification rule) ile misafirlerin
  birbirinin trafigini görmesi ve birbirilerine
  tehdit olusturmalari engellenir
• Merkezi Yönetim

35
Dynamic Intrusion Response

• Dynamic Intrusion Response (DIR) Enterasys
  donanim ve yazilimlarini kullanarak saldiri ve
  güvenlik problemlerini tesbit ve gereken karsi
  hareketi yapabilme yetenegi
• Dynamic Intrusion Response, network cihazlari ve
  mimarisi içine gömülmüs güvenlik teknolojilerini
  kullanarak problemleri tesbit edip dinamik olarak
  networkü yeniden yapilandirir
• .

36
Dynamic Intrusion Response
Güvenlik Kaygilari Karsilik 5Cs Elemanlari
Isiniz/Isletmeniz son zamanlarda virüs veya wormlardan etkilendi mi? IT problemi olusmamasi için proaktive yöntemler gelistirmis olmaniza ragmen hala networkünüzü birseylerin etkileyebilecegini düsünüyor musunuz ? Control Authenticated role-based policy management
Networkünüz bir saldiriyi veya problemi çözerken, problem sirasinda da dogru iletisimi saglayabilir mu? Network servislerinde bir problem olusmasi durumunda, servisleri mümkün oldugunca kisa sürede devreye alabiliyor ve kontrol edebiliyor musunuz Continuity End-to-end bandwidth garantisi
37
DIR Çözümü Birlesenleri

• Akilli Network Cihazlari
• Enterasys Matrix C2, B2, E-Series ve N-Series
  switchler
• Security policy Yönetimin
• NetSight Atlas Policy Manager
• Intrusion detection ve event management
• Dragon Network Sensor ve Enterprise Management
  Server (EMS)
• Event kaynak Tesbiti ve Cevap Yönetimi
• - NetSight Atlas Console with Automated
  Security Manager (ASM)

38
Dynamic Intrusion Response
NetSight Atlas Policy Manager
Quarantine Policy Tanimlama Merkezi olarak
karantina politikalari olusturulup networke
dagitilir
Business Service
Location and Enforcement Güvenlik Ihlalilin
basladigi fiziksel port tesbit edilir ve önceden
tanimlanmis tepki/cevap fiziksel porta iletilir.
Matrix Access Device
User
Client System
Intrusion Detection Networke girmeye çalisan
bir güvenlik ihlal olayi tesbit edilir.
Response Güvenlik ihlali ile ilgili tepki
(response) kaynaga uygulanir. (Disable port,
enforce Quarantine policy, rate limit, etc.).
Dragon Intrusion Detection
NetSight Atlas Console With Automated
Security Manager
Event Notification Güvenlik Ihlali Automated
Security Managera bildirilir. ASMda önceden
tanimlanmis aksiyonlar bulunmaktadir.
39
Trusted End-System

• Network ve baglanan sistemler arasinda güvenli
  iliski olmasi esasina dayanir
• Son kullanicinnoktasinda bir anormallik olusmasi
  durumunda, son kullanici otomatik olarak
  karantina altina alinir
• Merkezi olarak kontrolü ve yönetimi yapilir

40
BUNLARI YAPABILMEK IÇIN

• BILMEK ZORUNDA OLDUKLARINIZ
• - Iletisim aginizda yer alan tüm cihazlari
• - Tüm kullanici tiplerinizi
• - Bilgilerinizin oldugu yerleri
• - Update politikalarinizi
• YAPMAK ZORUNDA OLDUGUNUZ
• Güvenlik konusunda tüm kullanicilarinizi egitmek
  zorundasiniz

41
SORULAR
ANKARA ve ISTANBULdaki LABlarimizda SECURE
NETWORK ÇÖZÜMÜMÜZÜ TEST EDEBILIRSINIZ
42
TESEKKÜR EDERIZ