Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network.

Slides:



Advertisements
Verwante presentaties
#Exactlive12 / #livesessie8 Wel of niet naar de cloud?
Advertisements

802.1x op het SURFnet kantoor
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
Livy BV Randstad BM Almere Introductie Livy Professional De online oplossing voor professionele woning transacties.
SamenVeilig.net Het effectieve groepsbeveiligingssysteem van BySpy.
Netwerken. Wat is een netwerk? Je spreekt van een netwerk van zodra twee of meer computers met elkaar verbonden zijn. Je kan thuis een klein netwerkje.
E-RADEN Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.
FOLLOW ME WORKPLACE flexibele toegang tot uw bedrijfstoepassingen en –documenten vanop elke locatie, vanop elk toestel.
Server Management Framework
Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.
Windows Server 2012 Optimaliseer uw IT. Ready for the Future.
Presentatie Thuisnetwerken
Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.
Dé complete online werkplek met de kracht van Office 365
De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement
Blok 7: netwerken Les 8 Christian Bokhove.
EduRoam en beveiliging
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
Woensdag 24 juni 2009 Web 2.0 en Technologie Bram de Kruijff.
VPN Technologieën en oplossingen. VPN en IP VPN Leased line netwerk Echt ‘privaat’ netwerk: eigen lijnen met gegarandeerde capaciteit Per connectie een.
11 Infrastructuur Optimalisatie: Waarom een op voorzieningen gebaseerd platform de betere keuze is.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
Blackboard bijeenkomst 25 april Network Load Balancing & ISA Server (2006) J.G.A. Jans Hogeschool INHOLLAND
The vision at work Batteries included Ervaringen van een ISV op hosting avontuur Sven Middelkoop Corporate ICT Manager Exact Holding N.V.
27 januari 2011.
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
CLOUD COMPUTING Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best.
M A K E Y O U R N E T W O R K S M A R T E R July, Middag programma.
Windows Applicaties Bouwen met Visual Studio.NET Sijmen Koffeman Development Consultant Microsoft.
OneAccess. Wat is OneAccess? Sterke toegang authenticatie Single Sign-on oplossing Eenduidige totaal oplossing.
MCSA traject Leerjaar 4 H /10 Agenda Samenvatting H1.
hcc!pc Werkgroep netwerken
Technische Architectuur
Netwerken (2) Informatica.
Vraag aan de Helpdesk: Hoe kan ik LIEFDE installeren?
© Copyright Dragon1 - Alle rechten voorbehouden.
Peter Van Poyer - 3BO Firewall ICT – 4 november 2003.
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
Sterke authenticatie via SURFconext Eefje van der Harst 24 maart 2015.
Van data naar kennis. Customer Case – Robeco Forms naar Apex Migratie.
Sales Tips.
Agenda Inleiding en Lagerhuis: Proces management en proces keten optimalisatie gaat ons helpen inzicht te krijgen in de impact van toekomstige veranderingen.
Windows niet meer naar huis laten bellen Hoe kunnen we beletten dat windows10 alles gaat verklikken aan grote broer thuis.
Oracle licenties…… Hoe kunt u besparen? David Abeln
Enterprise Service Bus IBK3ESB01
Adapter voor industriële wireless sensor netwerken Student: Glen Vanroelen Interne promotor: Tim Dams Externe promotor: Kevin Heylen (Intation)
3CX Telefoon Centrales. 3CX Products – 3CX Phone System 3CX Phone System.
30 sept 2011 MCS Kennissessie Remote Beheer Remote Beheer Met Conel Routers.
Welkom. Inspirerende omgeving Ruim 30 vooraanstaande bedrijven op het gebied van duurzame energie presenteren zich aan u in het Dubo Trade Centre. Uiteenlopende,
Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.
Hoe beheer je efficiënt computers op school? Linux Terminal Server Project (LTSP)in de praktijk Rob Burggraaf Bovenschoolse ICT coördinator VPCO.
 Value Add Distributeur van innovaphone  Benelux  UK Wim Rapol – Com8.
Doelstellingen, Implementatie en Ervaringen met Single Sign On.
SSO demo Peter Mesker. Imprivata OneSign Platform A Converged Identity and Access Management platform that enforces secure and compliant employee access.
Wat is het Hoe stel ik het in Hoe kan ik het gebruiken
WirelessCity Ontdek de mogelijkheden van HP Wireless
‘Business at the speed of change’
WIFI IN DE GEZONDHEIDSZORG
The Hybrid Workspace Gino van Essen Technical Consultant.
… een poging tot verheldering …
M5 Datacommunicatie Applicatielaag
OPENINGSCASE: Het Okanagan-Skaha School District doet meer met minder door te profiteren van netwerken en internet.
VIMTAG Keuzehulp voor het vinden van de juiste IP camera.
Netwerken & Internet 3.
Strategisch support Management support Strategie Tactisch support
Netwerken & Internet 1.
Transcript van de presentatie:

Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network

© Giritech a/sNetwork Consolidation2 Het strategische landschap Agrarische tijdperk Land, en het vermogen om hier te zaaien en te oogsten Industriële tijdperk Kapitaal, en het vermogen om hiermee machines producten efficiënt in massa te laten fabriceren Kennistijdperk Kennis, en het vermogen om hiermee nieuwe diensten en producten te ontwikkelen

© Giritech a/sNetwork Consolidation3 Organisaties Netwerk van mensen Medewerkers, toeleveranciers, afnemers, partnerorganisaties en andere betrokkenen Die bekend en vertrouwd zijn, of minder bekend Waar informatie mee wordt gedeeld en uitgewisseld Met daarbij constant wisselende rollen en vertrouwensrelaties Mobiliteit is gewenst 24 uur per dag

© Giritech a/sNetwork Consolidation4 De ICT-Infrastructuur 60’s: Mainframe 70’s: Local Area Network 80’s: Personal Computer 1983: Netwerk OS 1988: Internetworm Firewall 1993: World Wide Web Het huidige denken is sterk gericht op statische structuren. Gebruikers bevinden zich echter overal en willen bovendien mobiel zijn. Deze twee gegevens sluiten elkaar uit.

© Giritech a/sNetwork Consolidation5 Toegang tot de ICT-Infrastructuur De gangbare manier om naar toegang te kijken: Identificatie Authenticatie Autorisatie

© Giritech a/sNetwork Consolidation6 Toegang tot de ICT-Infrastructuur Een andere manier om naar toegang te kijken: Vaststellen wie Vaststellen vanaf welk systeem Versleutelen van de gegevens Toegang tot het netwerk Toegang tot de bronnen binnen het netwerk

© Giritech a/sNetwork Consolidation7 De huidige situatie: SSL Directoryserver Applicatieservers User LAN Interne gebruikers User Internet User Externe gebruikers Web Certificaat Internet

© Giritech a/sNetwork Consolidation8 De huidige situatie: VPN Directoryserver Applicatieservers User LAN Interne gebruikers User Internet User Externe gebruikers VPN Token IDP Certificate Internet ? ? ?

© Giritech a/sNetwork Consolidation9 De huidige situatie: Citrix Directoryserver Applicatieservers Citrix serverfarm User LAN Interne gebruikers User Internet User Externe gebruikers Token Secure Gateway Certificaten Internet NFuseTicketing

© Giritech a/sNetwork Consolidation10 Een hoop technologie! We zetten steeds andere technologieën in: Per protocol: HTTP anders dan FTP anders dan ICA anders van VoIP anders dan… Per verbinding: ADSL anders dan WIFI anders dan GPRS / UMTS / HSDPA anders dan… Per gebruikersgroep: Medewerkers anders dan klanten anders dan consultants anders dan…

© Giritech a/sNetwork Consolidation11 Functie versus veiligheid In deze complexiteit schuilt de onveiligheid. Vaak maken organisaties niet volledig gebruik van de ICT- mogelijkheden omdat de veiligheid wordt ondermijnd. De oplossingen die worden gerealiseerd zijn een compromis tussen functionaliteit en veiligheid. Maar stel nu: het is allemaal goed, dan…

© Giritech a/sNetwork Consolidation12 Het IT-fort wordt bedreigd Directoryserver Applicatieservers User LAN Interne gebruikers User Internet User Externe gebruikers VPN Token IDP Certificate User  Internet

© Giritech a/sNetwork Consolidation13 En was dit maar alles… Informatieveiligheid heeft meer componenten. Naast: Verhulling (encryptie) Identificatie, authenticatie en autorisatie Ook: Authenticiteit Integriteit Onloochenbaarheid (non-repudiation) En ook dáár zijn weer aparte technologieën voor nodig

© Giritech a/sNetwork Consolidation14 Er moet iets veranderen Twee voorbeelden: Microsoft: Network Access Protection (NAP) Cisco: Network Admittance Control (NAC) Beide oplossingen: Vergen controle over de software op het eindpunt, maar bieden hiervoor geen oplossing Vergen dat het LAN wordt aangepast We zijn bezig om het netwerk “slim” te maken.

© Giritech a/sNetwork Consolidation15 Slim versus dom Slimme netwerken worden ingehaald door slimme applicaties Op een dom netwerk is de data de baas: De data vertelt het netwerk waar het heen gaat De data verlangt services van het domme netwerk Dus: Slimme, door gebruikers gecontroleerde eindpunten met dom transport ertussen Transport dat wordt gestuurd door de behoeften van de data en niet door de vooronderstellingen waarop het netwerk is gebouwd

© Giritech a/sNetwork Consolidation16 Slim versus dom Slimme netwerken zullen nooit: De flexibiliteit bieden die organisaties vragen De mobiliteit ondersteunen die gebruikers vragen

© Giritech a/sNetwork Consolidation17 Conclusie Misschien beveiligen we op de verkeerde plek. We kunnen zien dat: De meeste bedreigingen de perimiter security voorbijgaan IDP nauwlijks waarde creeert aan de perimeter Het eenvoudiger is om te beschermen bij de bron De hardened perimeter strategie haaks staat op de huidige en zeker de toekomstige behoeften van organisaties De hardened perimeter strategie zelfs onhoudbaar zal zijn

© Giritech a/sNetwork Consolidation18 Een plechtig moment… Het probleem is niet het beveiligen van het LAN… Maar het LAN zelf

© Giritech a/sNetwork Consolidation19 Wat zeggen de experts? ICI: Perimeter verwijderen Phase 1 Verplaats non-corporate items buiten de perimeter Phase 2 Verwijder hardened perimeter, alle devices encrypted Phase 3 Verwijder de gehele grens en schakel van system-level authentication naar data level validation Phase 4 Ga naar data-level authenticatie

© Giritech a/sNetwork Consolidation20 Wat zeggen de experts? Sun: Encryptie Host-based encryptie Encryptie per host geregeld: zeer veilig maar duur, veel overhead en geen compressie meer mogelijk In-band Applicance-based encryptie: minder veilig, duur maar vooral niet goed schaalbaar Device-based encryptie: Data niet beveiligd tot het op het storage device aankomt, oude devices werken niet

© Giritech a/sNetwork Consolidation21 Wat zeggen de experts? Microsoft: Trusted Stack Veiligheid zetelt in de hardware, vertrouwd OS, vertrouwde applicaties, vertrouwde gebruikers en vertrouwde data Vijf mechanismen: 1.Identiteitscontrole 2.Authenticatie 3.Autorisatie policies 4.Access control mechanismen 5.Audit trail

© Giritech a/sNetwork Consolidation22 Een nieuw model Wat gebeurt er als security dichtbij applicaties en data ligt? 1.Een netwerk – Internet 2.Autorisatie en encryptie per user, device en proces 3.Ingebouwde audit trail 4.In beginsel gesloten, tenzij geautoriseerd 5.Management software eindpunten noodzakelijk 6.Eindpunt niet verbonden met LAN – er is geen LAN meer De kostenvoordelen zijn enorm en de veiligheid neemt toe.

© Giritech a/sNetwork Consolidation23 Een nieuw model Applicatieservers User LAN User Internet User VPN Token IDP Certificate Connectivity Server Internet

© Giritech a/sNetwork Consolidation24 Een nieuw model Connectie De client wordt gestart van EDC en connect automatisch naar de server uit de ge-encrypte Identity file De server genereert een 163 bit ECC keypair, signeert de publieke sleutel en stuurt deze samen naar de client De client valideert de signature met de publieke sleutel tegen het certificaat in de Identity file De client genereert nu ook een 163 bit ECC keypair en een CIF en stuurt deze naar de server De server valideert het pakket en de EDC tegen de ruleset Als alles goed gaat wordt het sterkste cipher gekozen, normaal gesproken AES 256 bit Rijndael

© Giritech a/sNetwork Consolidation25 Een nieuw model Connectie Al het verkeer tussen client en server verloopt nu over protocol EMCADS (IANA: 3945) De toegepaste encryptiemodule is FIPS gecertificeerd EMCADS kan zowel commando’s voor client en server als ook payload bevatten TCP/IP wordt gebruikt voor onderliggende transport, maar EMCADS is niet afhankelijk van enige informatie in headers van TCP/IP. De communicatie is dus transparant voor NAT of aanvullende tunneling of encryptie

© Giritech a/sNetwork Consolidation26 Een nieuw model Authenticatie De client vraagt usernaam en wachtwoord De G/On Server heeft een geintegreerd authenticatieschema, maar kan ook worden geintegreerd met Active Directory, Novell eDirectory of een andere directory via LDAP Eventueel kunnen aanvullende authenticatiedevices worden ingezet, zoals on time passwords of challenge/response systemen Er is GEEN verbinding tussen client en servers.

© Giritech a/sNetwork Consolidation27 Een nieuw model Autorisatie De server stuurt een menu dat afhankelijk is van gebruiker, groepslidmaatschappen, device, locatie, tijd etc Hierin staan de gepubliceerde netwerkbronnen Applicaties die worden gestart praten zonder uitzondering tegen de local loopback interface ( ) De G/On client kan het proces locken via Lock-to-process, geen enkel ander proces kan tegen de local loopback interface aanpraten De G/On client haalt alle ontvangen data door de encryptie engine en stuurt het pakket-voor-pakket naar de server

© Giritech a/sNetwork Consolidation28 Een nieuw model Disconnectie Als de EDC wordt verwijderd of Exit wordt gekozen, worden alle connecties verbroken en de betrokken applicaties beeindigd Indien gewenst kan het memory of de harddisk worden geschoond, zodat geen data achterblijft op het eindpunt

© Giritech a/sNetwork Consolidation29 Een nieuw model Werken met applicaties Er kunnen gelijktijdig een onbeperkt aantal applicaties worden gestart naar een onbeperkt aantal verschillende G/On Servers Er is geen installatie op het host device nodig Er worden geen aanpassingen gedaan in de routetabellen Er is geen enkele beperking van kracht op het host device Er zijn geen administrative privileges benodigd Er staan geen poorten open naar servers Een aanval op de local loopback interface is zinloos

© Giritech a/sNetwork Consolidation30 Een nieuw model Werken met applicaties De security en de encryptie zit nu dicht op de applicaties, zowel aan de clientzijde als de serverzijde Het management van de EDC’s kan vanuit de server worden uitgevoerd Er is geen nieuwe technoligie ingezet: alles is industry standard en proven technology Alleen de toepassing van de technologie is gewijzigd

© Giritech a/sNetwork Consolidation31 Een nieuw model DEMO

© Giritech a/sNetwork Consolidation32 Een nieuw model Applicatieservers User LAN User Internet User Connectivity Server Internet Application Network (AN)

© Giritech a/sNetwork Consolidation33 Het resultaat Vaststellen wie: met tweede factor en mutueel Vaststellen vanaf welk systeem: niet meer relevant Versleuteling van alle gegevens Toegang tot het netwerk: vindt niet plaats Toegang tot bronnen binnen het netwerk: end-to-end Alles in één simpele oplossing.

© Giritech a/sNetwork Consolidation34 Het resultaat De voordelen: Real-time management en update van menu’s Omdat de G/On client en server in de datastroom zitten is eenvoudig Single Sign On (SSO) mogelijk G/On kan worden ingesteld om een fallback te doen naar andere TCP/IP poorten Als dat niet werkt, kan een fallback worden gedaan naar TCPoverHTTP En als het dan nog niet werkt kan zelfs een proxyserver worden ingesteld De server is enorm schaalbaar

© Giritech a/sNetwork Consolidation35 Het resultaat De voordelen: Omdat de client gemanaged kan worden, kunnen applicaties worden aangeboden Anti-keylogging en virusscanner Encryptie van data op de datapartitie van het eindpunt Overnemen van het beeldscherm van het eindpunt Aanbieden van ThinApp-ed applicaties Het EMCADS-protocol is gesloten, strikt genomen is een firewall niet noodzakelijk

© Giritech a/sNetwork Consolidation36 Het resultaat Voorbeelden van bijzondere toepassingsmogelijkheden: Terminal services direct naar werkplekken Webapplicaties ontsluiten naar ‘eigen’ browser Citrix PN op de key incl. autologon SAP client op de key Zeer specifieke toegang tot bronnen mogelijk Connecties vanuit klantinfrastructuur zijn nu mogelijk

© Giritech a/sNetwork Consolidation37 Het resultaat De voordelen: Kostenbesparingen ten opzichte van meerdere bestaande technologieen Eenvoud van gebruik Eenvoud van beheer Bereiken en behouden van compliancy

© Giritech a/sNetwork Consolidation38 De toekomst G/On 5 komt eraan: Multiplatform Meer EDC’s, zoals smartcards en biometrie Nog meer ondersteuning schaalbaarheid, beschikbaarheid Open platform: integratie via SDK, API en PlugIns Managementtools voor IT Admin, Security Officer en HRM In-band Single Sign On vanaf de server Datacompressie voor encryptie Support voor ipv6 Support voor CoS

© Giritech a/sNetwork Consolidation39 De toekomst Licentiering G/On Business Server G/On Enterprise Server Licenties per device Meer informatie op aanvraag.

© Giritech a/sNetwork Consolidation40 EINDE

Feedback: Privacy Policy Feedback
Over het project: SlidePlayer Gebruiksaanwijzing

© 2024 SlidePlayer.nl Inc. All rights reserved.