De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network.

GepubliceerdLodewijk Sasbrink Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network."— Transcript van de presentatie:

1 Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network

2 © Giritech a/sNetwork Consolidation2 Het strategische landschap Agrarische tijdperk Land, en het vermogen om hier te zaaien en te oogsten Industriële tijdperk Kapitaal, en het vermogen om hiermee machines producten efficiënt in massa te laten fabriceren Kennistijdperk Kennis, en het vermogen om hiermee nieuwe diensten en producten te ontwikkelen

3 © Giritech a/sNetwork Consolidation3 Organisaties Netwerk van mensen Medewerkers, toeleveranciers, afnemers, partnerorganisaties en andere betrokkenen Die bekend en vertrouwd zijn, of minder bekend Waar informatie mee wordt gedeeld en uitgewisseld Met daarbij constant wisselende rollen en vertrouwensrelaties Mobiliteit is gewenst 24 uur per dag

4 © Giritech a/sNetwork Consolidation4 De ICT-Infrastructuur 60’s: Mainframe 70’s: Local Area Network 80’s: Personal Computer 1983: Netwerk OS 1988: Internetworm Firewall 1993: World Wide Web Het huidige denken is sterk gericht op statische structuren. Gebruikers bevinden zich echter overal en willen bovendien mobiel zijn. Deze twee gegevens sluiten elkaar uit.

5 © Giritech a/sNetwork Consolidation5 Toegang tot de ICT-Infrastructuur De gangbare manier om naar toegang te kijken: Identificatie Authenticatie Autorisatie

6 © Giritech a/sNetwork Consolidation6 Toegang tot de ICT-Infrastructuur Een andere manier om naar toegang te kijken: Vaststellen wie Vaststellen vanaf welk systeem Versleutelen van de gegevens Toegang tot het netwerk Toegang tot de bronnen binnen het netwerk

7 © Giritech a/sNetwork Consolidation7 De huidige situatie: SSL Directoryserver Applicatieservers User LAN Interne gebruikers User Internet User Externe gebruikers Web Certificaat Internet

8 © Giritech a/sNetwork Consolidation8 De huidige situatie: VPN Directoryserver Applicatieservers User LAN Interne gebruikers User Internet User Externe gebruikers VPN Token IDP Certificate Internet ? ? ?

9 © Giritech a/sNetwork Consolidation9 De huidige situatie: Citrix Directoryserver Applicatieservers Citrix serverfarm User LAN Interne gebruikers User Internet User Externe gebruikers Token Secure Gateway Certificaten Internet NFuseTicketing

10 © Giritech a/sNetwork Consolidation10 Een hoop technologie! We zetten steeds andere technologieën in: Per protocol: HTTP anders dan FTP anders dan ICA anders van VoIP anders dan… Per verbinding: ADSL anders dan WIFI anders dan GPRS / UMTS / HSDPA anders dan… Per gebruikersgroep: Medewerkers anders dan klanten anders dan consultants anders dan…

11 © Giritech a/sNetwork Consolidation11 Functie versus veiligheid In deze complexiteit schuilt de onveiligheid. Vaak maken organisaties niet volledig gebruik van de ICT- mogelijkheden omdat de veiligheid wordt ondermijnd. De oplossingen die worden gerealiseerd zijn een compromis tussen functionaliteit en veiligheid. Maar stel nu: het is allemaal goed, dan…

12 © Giritech a/sNetwork Consolidation12 Het IT-fort wordt bedreigd Directoryserver Applicatieservers User LAN Interne gebruikers User Internet User Externe gebruikers VPN Token IDP Certificate User  Internet

13 © Giritech a/sNetwork Consolidation13 En was dit maar alles… Informatieveiligheid heeft meer componenten. Naast: Verhulling (encryptie) Identificatie, authenticatie en autorisatie Ook: Authenticiteit Integriteit Onloochenbaarheid (non-repudiation) En ook dáár zijn weer aparte technologieën voor nodig

14 © Giritech a/sNetwork Consolidation14 Er moet iets veranderen Twee voorbeelden: Microsoft: Network Access Protection (NAP) Cisco: Network Admittance Control (NAC) Beide oplossingen: Vergen controle over de software op het eindpunt, maar bieden hiervoor geen oplossing Vergen dat het LAN wordt aangepast We zijn bezig om het netwerk “slim” te maken.

15 © Giritech a/sNetwork Consolidation15 Slim versus dom Slimme netwerken worden ingehaald door slimme applicaties Op een dom netwerk is de data de baas: De data vertelt het netwerk waar het heen gaat De data verlangt services van het domme netwerk Dus: Slimme, door gebruikers gecontroleerde eindpunten met dom transport ertussen Transport dat wordt gestuurd door de behoeften van de data en niet door de vooronderstellingen waarop het netwerk is gebouwd

16 © Giritech a/sNetwork Consolidation16 Slim versus dom Slimme netwerken zullen nooit: De flexibiliteit bieden die organisaties vragen De mobiliteit ondersteunen die gebruikers vragen

17 © Giritech a/sNetwork Consolidation17 Conclusie Misschien beveiligen we op de verkeerde plek. We kunnen zien dat: De meeste bedreigingen de perimiter security voorbijgaan IDP nauwlijks waarde creeert aan de perimeter Het eenvoudiger is om te beschermen bij de bron De hardened perimeter strategie haaks staat op de huidige en zeker de toekomstige behoeften van organisaties De hardened perimeter strategie zelfs onhoudbaar zal zijn

18 © Giritech a/sNetwork Consolidation18 Een plechtig moment… Het probleem is niet het beveiligen van het LAN… Maar het LAN zelf

19 © Giritech a/sNetwork Consolidation19 Wat zeggen de experts? ICI: Perimeter verwijderen Phase 1 Verplaats non-corporate items buiten de perimeter Phase 2 Verwijder hardened perimeter, alle devices encrypted Phase 3 Verwijder de gehele grens en schakel van system-level authentication naar data level validation Phase 4 Ga naar data-level authenticatie

20 © Giritech a/sNetwork Consolidation20 Wat zeggen de experts? Sun: Encryptie Host-based encryptie Encryptie per host geregeld: zeer veilig maar duur, veel overhead en geen compressie meer mogelijk In-band Applicance-based encryptie: minder veilig, duur maar vooral niet goed schaalbaar Device-based encryptie: Data niet beveiligd tot het op het storage device aankomt, oude devices werken niet

21 © Giritech a/sNetwork Consolidation21 Wat zeggen de experts? Microsoft: Trusted Stack Veiligheid zetelt in de hardware, vertrouwd OS, vertrouwde applicaties, vertrouwde gebruikers en vertrouwde data Vijf mechanismen: 1.Identiteitscontrole 2.Authenticatie 3.Autorisatie policies 4.Access control mechanismen 5.Audit trail

22 © Giritech a/sNetwork Consolidation22 Een nieuw model Wat gebeurt er als security dichtbij applicaties en data ligt? 1.Een netwerk – Internet 2.Autorisatie en encryptie per user, device en proces 3.Ingebouwde audit trail 4.In beginsel gesloten, tenzij geautoriseerd 5.Management software eindpunten noodzakelijk 6.Eindpunt niet verbonden met LAN – er is geen LAN meer De kostenvoordelen zijn enorm en de veiligheid neemt toe.

23 © Giritech a/sNetwork Consolidation23 Een nieuw model Applicatieservers User LAN User Internet User VPN Token IDP Certificate Connectivity Server Internet

24 © Giritech a/sNetwork Consolidation24 Een nieuw model Connectie De client wordt gestart van EDC en connect automatisch naar de server uit de ge-encrypte Identity file De server genereert een 163 bit ECC keypair, signeert de publieke sleutel en stuurt deze samen naar de client De client valideert de signature met de publieke sleutel tegen het certificaat in de Identity file De client genereert nu ook een 163 bit ECC keypair en een CIF en stuurt deze naar de server De server valideert het pakket en de EDC tegen de ruleset Als alles goed gaat wordt het sterkste cipher gekozen, normaal gesproken AES 256 bit Rijndael

25 © Giritech a/sNetwork Consolidation25 Een nieuw model Connectie Al het verkeer tussen client en server verloopt nu over protocol EMCADS (IANA: 3945) De toegepaste encryptiemodule is FIPS gecertificeerd EMCADS kan zowel commando’s voor client en server als ook payload bevatten TCP/IP wordt gebruikt voor onderliggende transport, maar EMCADS is niet afhankelijk van enige informatie in headers van TCP/IP. De communicatie is dus transparant voor NAT of aanvullende tunneling of encryptie

26 © Giritech a/sNetwork Consolidation26 Een nieuw model Authenticatie De client vraagt usernaam en wachtwoord De G/On Server heeft een geintegreerd authenticatieschema, maar kan ook worden geintegreerd met Active Directory, Novell eDirectory of een andere directory via LDAP Eventueel kunnen aanvullende authenticatiedevices worden ingezet, zoals on time passwords of challenge/response systemen Er is GEEN verbinding tussen client en servers.

27 © Giritech a/sNetwork Consolidation27 Een nieuw model Autorisatie De server stuurt een menu dat afhankelijk is van gebruiker, groepslidmaatschappen, device, locatie, tijd etc Hierin staan de gepubliceerde netwerkbronnen Applicaties die worden gestart praten zonder uitzondering tegen de local loopback interface (127.0.0.2) De G/On client kan het proces locken via Lock-to-process, geen enkel ander proces kan tegen de local loopback interface aanpraten De G/On client haalt alle ontvangen data door de encryptie engine en stuurt het pakket-voor-pakket naar de server

28 © Giritech a/sNetwork Consolidation28 Een nieuw model Disconnectie Als de EDC wordt verwijderd of Exit wordt gekozen, worden alle connecties verbroken en de betrokken applicaties beeindigd Indien gewenst kan het memory of de harddisk worden geschoond, zodat geen data achterblijft op het eindpunt

29 © Giritech a/sNetwork Consolidation29 Een nieuw model Werken met applicaties Er kunnen gelijktijdig een onbeperkt aantal applicaties worden gestart naar een onbeperkt aantal verschillende G/On Servers Er is geen installatie op het host device nodig Er worden geen aanpassingen gedaan in de routetabellen Er is geen enkele beperking van kracht op het host device Er zijn geen administrative privileges benodigd Er staan geen poorten open naar servers Een aanval op de local loopback interface is zinloos

30 © Giritech a/sNetwork Consolidation30 Een nieuw model Werken met applicaties De security en de encryptie zit nu dicht op de applicaties, zowel aan de clientzijde als de serverzijde Het management van de EDC’s kan vanuit de server worden uitgevoerd Er is geen nieuwe technoligie ingezet: alles is industry standard en proven technology Alleen de toepassing van de technologie is gewijzigd

31 © Giritech a/sNetwork Consolidation31 Een nieuw model DEMO

32 © Giritech a/sNetwork Consolidation32 Een nieuw model Applicatieservers User LAN User Internet User Connectivity Server Internet Application Network (AN)

33 © Giritech a/sNetwork Consolidation33 Het resultaat Vaststellen wie: met tweede factor en mutueel Vaststellen vanaf welk systeem: niet meer relevant Versleuteling van alle gegevens Toegang tot het netwerk: vindt niet plaats Toegang tot bronnen binnen het netwerk: end-to-end Alles in één simpele oplossing.

34 © Giritech a/sNetwork Consolidation34 Het resultaat De voordelen: Real-time management en update van menu’s Omdat de G/On client en server in de datastroom zitten is eenvoudig Single Sign On (SSO) mogelijk G/On kan worden ingesteld om een fallback te doen naar andere TCP/IP poorten Als dat niet werkt, kan een fallback worden gedaan naar TCPoverHTTP En als het dan nog niet werkt kan zelfs een proxyserver worden ingesteld De server is enorm schaalbaar

35 © Giritech a/sNetwork Consolidation35 Het resultaat De voordelen: Omdat de client gemanaged kan worden, kunnen applicaties worden aangeboden Anti-keylogging en virusscanner Encryptie van data op de datapartitie van het eindpunt Overnemen van het beeldscherm van het eindpunt Aanbieden van ThinApp-ed applicaties Het EMCADS-protocol is gesloten, strikt genomen is een firewall niet noodzakelijk

36 © Giritech a/sNetwork Consolidation36 Het resultaat Voorbeelden van bijzondere toepassingsmogelijkheden: Terminal services direct naar werkplekken Webapplicaties ontsluiten naar ‘eigen’ browser Citrix PN op de key incl. autologon SAP client op de key Zeer specifieke toegang tot bronnen mogelijk Connecties vanuit klantinfrastructuur zijn nu mogelijk

37 © Giritech a/sNetwork Consolidation37 Het resultaat De voordelen: Kostenbesparingen ten opzichte van meerdere bestaande technologieen Eenvoud van gebruik Eenvoud van beheer Bereiken en behouden van compliancy

38 © Giritech a/sNetwork Consolidation38 De toekomst G/On 5 komt eraan: Multiplatform Meer EDC’s, zoals smartcards en biometrie Nog meer ondersteuning schaalbaarheid, beschikbaarheid Open platform: integratie via SDK, API en PlugIns Managementtools voor IT Admin, Security Officer en HRM In-band Single Sign On vanaf de server Datacompressie voor encryptie Support voor ipv6 Support voor CoS

39 © Giritech a/sNetwork Consolidation39 De toekomst Licentiering G/On Business Server G/On Enterprise Server Licenties per device Meer informatie op aanvraag.

40 © Giritech a/sNetwork Consolidation40 EINDE

Download ppt "Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network."

Verwante presentaties

#Exactlive12 / #livesessie8 Wel of niet naar de cloud?

#Exactlive12 / #livesessie8 Wel of niet naar de cloud?
802.1x op het SURFnet kantoor

802.1x op het SURFnet kantoor
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.

EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
Livy BV Randstad 22-181 1316 BM Almere Introductie Livy Professional De online oplossing voor professionele woning transacties.

Livy BV Randstad BM Almere Introductie Livy Professional De online oplossing voor professionele woning transacties.
SamenVeilig.net Het effectieve groepsbeveiligingssysteem van BySpy.

SamenVeilig.net Het effectieve groepsbeveiligingssysteem van BySpy.
Netwerken. Wat is een netwerk? Je spreekt van een netwerk van zodra twee of meer computers met elkaar verbonden zijn. Je kan thuis een klein netwerkje.

Netwerken. Wat is een netwerk? Je spreekt van een netwerk van zodra twee of meer computers met elkaar verbonden zijn. Je kan thuis een klein netwerkje.
E-RADEN 2010-2011 Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.

E-RADEN Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.
FOLLOW ME WORKPLACE flexibele toegang tot uw bedrijfstoepassingen en –documenten vanop elke locatie, vanop elk toestel.

FOLLOW ME WORKPLACE flexibele toegang tot uw bedrijfstoepassingen en –documenten vanop elke locatie, vanop elk toestel.
Server Management Framework

Server Management Framework
Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.

Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.
Windows Server 2012 Optimaliseer uw IT. Ready for the Future.

Windows Server 2012 Optimaliseer uw IT. Ready for the Future.
Presentatie Thuisnetwerken

Presentatie Thuisnetwerken
Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.

Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.
Dé complete online werkplek met de kracht van Office 365

Dé complete online werkplek met de kracht van Office 365
De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement 20-2-02.

De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement
Blok 7: netwerken Les 8 Christian Bokhove.

Blok 7: netwerken Les 8 Christian Bokhove.
EduRoam en beveiliging

EduRoam en beveiliging
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.

VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
Woensdag 24 juni 2009 Web 2.0 en Technologie Bram de Kruijff.

Woensdag 24 juni 2009 Web 2.0 en Technologie Bram de Kruijff.
VPN Technologieën en oplossingen. VPN en IP VPN Leased line netwerk Echt ‘privaat’ netwerk: eigen lijnen met gegarandeerde capaciteit Per connectie een.

VPN Technologieën en oplossingen. VPN en IP VPN Leased line netwerk Echt ‘privaat’ netwerk: eigen lijnen met gegarandeerde capaciteit Per connectie een.

Verwante presentaties

Ads door Google