Security im SMB Markt erfolgreich verkaufen

Präsentation zum Thema: "Security im SMB Markt erfolgreich verkaufen"—  Präsentation transkript:

1 Security im SMB Markt erfolgreich verkaufen
Sprecher

2 Inhalt Marktopportunitäten und Trends Die Cisco Security Story
Grundlagen der Sicherheit Verkaufen von Cisco Produkten

3 Marktopportunitäten und Trends

4 Mittlere (Medium-Sized) Unternehmen Kleine (small) Unternehmen
Definition SMB SMB Mittlere (Medium-Sized) Unternehmen 100–249 Angestellte Kleine (small) Unternehmen 5–99 Angestellte Technologie, die mit Ihnen mitwächst “Ease of doing business with”

5 SMB Profil Gleiche Technologie- anforderungen und Herausforderungen wie Großunternehmen Kaum oder kein internes IT-Wissen oder Kompetenz Frustriert durch Probleme und Produktivitätsverluste durch: - Viren, Würmer - Spyware - Benutzerfehler Technologie wird als Geschäftsgrundlage gesehen, und nicht als Bürokosten! Source: Cisco Focus Groups, 2007

6 SMB Entscheidungsträger verstehen
UND all das mit begrenztem Personal und Budget erreichen? Wie können wir produktiver sein? Wie schütze ich meine Ressourcen? Wie kann ich mich besser an sich ver-ändernde Bedingungen anpassen? Wie kann ich meine Profitabilität steigern?

7 Einschätzung der SMB Situation
Marktforschung weist auf starke Nachfrage nach ASA und Integrated Services Router-Funktionen bei SMBs hin: - IPS: 39% Forrester, 25% Gartner - Content Security: 36% Forrester, 35% Gartner - SSL: 25% Gartner Handhabbarkeit (“Manageability”) ist die wichtigste Funktion für SMBs Source: Forrester, Dec 2006

8 Infrastruktur-Einführung und Ausgaben*
SMBs wollen Sicherheitstechnologien jeder Art kaufen oder upgraden Netzwerk Firewalls Intrusion Detection Content Sicherheit Gateway Anti-Spyware Appliance Gateway Anti-Virus Appliance *December 2006, Data Overview “The State Of Security In SMBs And Enterprises”

9 Die Cisco Security Story

10 Ein Systemansatz wird benötigt
Komplexe Umgebung Lücken und Uneinheitlichkeit Geringere Visibilität Schwierigeres Management Höhere TCO Vereinfachte Umgebung Enge Integration, enge Sicherheit Bessere Visibilität Einfacher zu implementieren und zu managen Niedrigere TCO Die Vorteile eines solchen Systemansatzes sind überzeugend. Um dies zu verdeutlichen, schauen wir uns einmal das Auto an ... Vor etwa 25 Jahren war die Automobilbranche ein perfektes Beispiel für den Versuch, ein Problem wie die Sicherheit im Straßenverkehr mit punktuellen Produkten zu lösen. Erinnern Sie sich noch an die Zeit, als Sicherheitsgurte ein Zusatzprodukt waren? Auch ABS-Systeme musste man teuer bezahlen, und Airbags und Knautschzone waren nicht integriert. Das Ergebnis waren mehr Tote bei Verkehrsunfällen. Betrachten wir im Vergleich dazu die Situation heute, so sehen wir in den Autos integrierte Sicherheitssysteme, die weniger kosten und sehr viel effektiver sind. Im Vergleich zu einer Strategie mit punktuellen Lösungen hat solch ein Systemansatz zahlreiche überzeugende Vorteile. Zunächst einmal vereinfacht ein SDN die Umgebung erheblich. Außerdem bedeutet die engere Integration engere Sicherheit. Eine Reihe von disparaten und nicht miteinander verbundenen Sicherheitsgeräten wird nie dazu in der Lage sein, den gleichen Grad an Sicherheit zu erreichen, der durch eine integrierte Lösung möglich ist, die existierende Infrastrukturgeräte mit Embedded Security Solutions, Security Devices, die Native Network Intelligenz haben und verstehen, und aktuelle Security Policy in einem kollaborativen and anpassbaren Sicherheitssystem kombiniert. Ein solches System wird IMMER höhere Risikoreduzierung bieten, als ein individuelles Produkt, und zwar unabhängig von Funktionen oder Leistung. Als Systemansatz bietet ein SDN außerdem größere Visibilität Ihrer Ende-zu-Ende Sicherheit und ermöglicht so besseres Sicherheitsmanagement und Policy Control. Ein Systemansatz ist außerdem sehr viel einfacher zu implementieren. Wie Sie sehen, ist die Vereinfachung eine strategische Herangehensweise an die Sicherheit, und führt schlussendlich zu höheren TCO. (Translator’s note: Hier ist doch bestimmt “niedriger” gemeint …)

11 Cisco Self-Defending Network Ein Systemansatz für die IT Sicherheit
Management/fortlaufend, Menschen und Zeit Zusammenarbeit/automatisch, Echtzeit versus menschlich Schutz (Compliance, Risiko Management) Einheitliche Policy, Management, Kontrollen, Ruf Ein Cisco Self-Defending Network verwendet das Netzwerk, um Bedrohungen zu identifizieren, zu verhindern und sich darauf einzustellen. Im Gegensatz zu punktuellen Lösungen handelt es sich bei einem netzwerkbasierten Ansatz um eine strategische Herangehensweise. Eine, die den heutigen Herausforderungen entspricht und gleichzeitig Ihre Sicherheitsfunktion weiterentwickelt, damit Sie stets auf dem neusten Stand sind. Die wichtigsten Prinzipien eines Self-Defending Networks sind: Integration der Sicherheit in der gesamten existierenden Infrastruktur – eingebaut, und nicht angebaut Zusammenarbeit zwischen Sicherheit und Netzwerk, so dass sie voneinander profitieren und harmonisch zusammenarbeiten Anpassbarkeit: die Fähigkeit des Netzwerks, sich intelligent zu entwickeln und sich an aufkommende Bedrohungen anzupassen Nur Cisco mit seinem breit gefächerten Angebot und der entsprechenden Sicherheitsexpertise kann einen solchen netzwerkbasierten Systemansatz bieten. Jedes Element kann ein Punkt sein, an dem Verteidigung und die Durchsetzung von Richtlinien stattfinden Integriert Proaktive Sicherheits- technologien, die Bedrohungen automatisch verhindern Anpassbar Zusammenarbeit zwischen den Services und Geräten im gesamten Netzwerk, um Netzwerkangriffe zu vereiteln Kollaborativ

12 Die Alternative…

13 Ein Marktführer, dem es um Sicherheit geht
Innovative Produkte und Technologien 1500+ Ingenieure mit Schwerpunkt Sicherheit Neun Übernahmen haben unser Lösungsportfolio in den letzten zwei Jahren erweitert Auf Mittelstand ausgerichtete Sicherheitsprodukte Ich werde Ihnen etwas später zeigen, welche Rolle das Netzwerk in Ihrer Sicherheitsstrategie spielen kann. Zunächst möchte ich aber auf eine Frage eingehen, die Sie sich vielleicht schon die ganze Zeit stellen: “Was weiss ein Netzwerkanbieter schon über Sicherheit? Warum sollte ich ausgerechnet Cisco vertrauen?” Weil Cisco sich wirklich für die Sicherheit engagiert: Wir haben 1500 Ingenieure, die sich auf die Entwicklung konzentrieren Cisco bietet das breiteste Portfolio von Sicherheitsprodukten Und Dank einer Flut von neuen Versionen und neuen Produkteinführungen ist dies das stärkste und konkurrenzfähigste Portfolio, das wir jemals hatten. Jede Produktkategorie komplett überarbeitet – die meisten in den letzten 6 Monaten. Was wir nicht selber bauen, das übernehmen wir oder entwickeln wir in aktiver Partnerschaft. Dabei geht unser Engagement über die innovativen Technologien und Produkte hinaus, die wir verkaufen. Unsere Branchenführerschaft und unsere Aktivitäten sind breit ausgelegt und beginnen mit John Chambers selbst: So ist er z.B. Mitglied des Kommitees, das die NIAC Vulnerability Framework Standards für die verantwortungsbewusste Offenlegung von Schwachstellen entwickelt hat. Unsere PSIRT-Gruppe treibt dieses Thema für Cisco selbst voran und bietet schnelle Informationen zu Schwachstellen und Bedrohungen, die sich auf Cisco-Produkte auswirken. CIAG ist aktiv daran beteiligt, die Sicherheit von globalen, geschäftskritischen Infrastrukturen zu verbessern MySDN ist eine Site, die Alerts (Warnungen) bietet, die über Cisco-Produkte hinausgehen, und gibt Informationen weiter, die jede Organisation, sei sie ein Cisco-Kunde, oder nicht, dabei unterstützen können, ihre Sicherheit zu verbessern. Unsere interne InfoSec Gruppe ist für Security Policy und entsprechende Weiterbildung bei Cisco zuständig. Ihre Aufgabe innerhalb von Cisco ist es, eine “Security Culture” aufzubauen und dafür zu sorgen, dass wir das tun, was wir predigen. Unsere Site cisco.com/security ist ein zentrales Portal, wo sie Sicherheitsinformationen sowie weitere Details zu unserer Führungposition in all diesen Bereichen finden. “ Da das Netzwerk eine strategische Ressource des Kunden ist, ist der Schutz der geschäftskritischen Anwendungen und Ressourcen eine der Prioritäten.” John Chambers, Chairman & CEO, Cisco

14 Warum ist Cisco der richtige Partner?
Differenzierung Setzen Sie sich von der großen Masse ab Nutzen Sie die Marke Cisco werden Sie Teil des Cisco Partner Programms Cisco SMB Lösungen Spezifische Cisco-Produkte für den SMB Sicherheitsmarkt Cisco Adaptive Security Appliance und Integrated Service Router Cisco Support Zugang zu SMB Marktopportunitäten und Trends Support durch Distributionspartner Vertriebs- und Marketing-Tools und Ressourcen

15 Grundlagen der Sicherheit

16 Bedrohungen der Netzwerksicherheit
Bedrohungen der Netzwerksicherheit umfassen: - Network Service-Angriffe - Diebstahl und Abfangen von Daten - Software-basierte Viren, Würmer und trojanische Pferde

17 Denial of Service Die häufigste Form von Network Service-Angriff:
Eine Kette von völlig überflüssigen Befehlen oder Anfragen, die an ein Netzwerkgerät geschickt werden, um das Gerät aus dem Service zu nehmen Beispiel: Ein Angreifer “pingt” einen Router mit Anfragen, bis der Router zu ausgelastet ist, um auf legitime Netzwerkanfragen zu reagieren

18 Diebstahl und Abfangen von Daten
Angreifer Autorisierter Benutzer Server Gehaltsbuchhaltung HR Server Kann so einfach sein wie ein Eindringling, der eine Datei mit vertraulichen Informationen stiehlt. Daten können auch während der Übertragung abgefangen werden, so dass die Informationen eingesehen und eventuell geändert werden können. Ein großer Prozentsatz des Datendiebstahls geschieht aus der Organisation heraus.

19 Angriffe durch Würmer, Viren und trojanische Pferde
Die primären Schwachstellen von Endbenutzer Workstations: Ein Wurm führt willkürlichen Code aus und installiert Kopien von sich selbst im Hauptspeicher des infizierten Computers, der dann andere Hosts infiziert. Ein Virus ist böswillige Software, die an ein anderes Programm angehängt ist, um eine bestimmte ungewollte Funktion auf der Workstation eines Benutzers auszuführen. Ein trojanisches Pferd unterscheidet sich hiervon nur in sofern, als die gesamte Anwendungen mit dem Ziel geschrieben wurde, wie eine andere auszusehen, obwohl es sich um einen Angriff handelt.

20 Was ist eine Firewall? Firewalls stellen den ersten Verteidigungswall dar, indem sie: unautorisierten Zugriff auf ein Netzwerk verhindern und autorisierte Benutzer zulassen. die Fähigkeit bieten, Internet Services zu einem’ begrenzten Grad der Außenwelt zur Verfügung zu stellen, und zwar über ein DMZ.

21 Wie funktioniert eine Firewall?
Unternehmensnetzwerk “Trusted” Seite “Untrusted” Seite State Table Von “Trusted” Benutzern initiierte Sessions und Reaktionen Firewall Versuch, unautorisierten Zugang zu erlangen Blocked Firewalls sind äußerst effektiv, wenn es darum geht, unautorisierten Netzwerkzugriff und zahlreiche Angriffe zu verhindern, indem sie eine Barriere zwischen “Trusted” Netzwerken, denen man vertrauen kann, und “Untrusted” Netzwerken, denen man also nicht vertrauen kann, erstellen. Cisco Firewall-Lösungen bieten sicheren Schutz für Netzwerke über das ganze Unternehmen hinweg. Die Kommunikation ist durch eine Security Policy definiert, die Netzwerk und Ressourcen vor Verstößen schützt, während der Zugang an allen Einstiegs- und Ausstiegspunkten des Netzwerks kontrolliert wird. Firewalls sind äußerst wirkungsvoll wenn es darum geht, unautorisierten Zugriff auf das Netzwerk und viele Angriffe zu verhindern, und zwar indem sie eine Barriere zwischen “Trusted” und “Untrusted” Netzwerken aufbauen

22 Tunneling Technologie
VPN Tunneling ist eine Methode, bei der das Internet dazu verwendet wird, Daten von einem Netzwerk zum anderen zu übertragen. Hierbei wird das Datenpaket mit einer schützenden Encryption Shell gesichert.

23 Was ist ein VPN? VPNs sorgen dafür, dass die Vertraulichkeit und Integrität von Daten in dynamischen Umgebungen geschützt werden. VPNs bieten Schutz vor dem Abfangen von ungeschützten Ressourcen, und zwar mit Hilfe von sicherer Vernetzung, Verschlüsselung und Authentifizierung von Datenverkehr. Unternehmens-LANs und Remote Benutzer können über die gleichen Internetzugangsmethoden auf das Netzwerk zugreifen: Einwahl, (DSL), Kabel, ISDN und Wireless.

24 Wie funktionieren VPNs?
VPNs sichern die Kommunikation durch: Authentifizierung…..Verifiziert Benutzer/Geräte Verschlüsselung.….Sorgt für Vertraulichkeit von Nachrichten Hashing……………..Bestätigt die Integrität von Nachrichten Unverschlüsselte Nachricht Key “Hallo” 1J” Verschlüsselte Nachricht Verschlüsselung Hashing 42 &t2 o7Sa Hash aus Nachricht entfernt Hash = 42 Hashing Algorithmus Verifizierung Bei Erhalt der Nachricht

25 Was ist Intrusion Prevention (IPS)
IPS bietet eine zusätzliche Schutzschicht, die Firewalls allein einfach nicht bieten können. Es folgen einige der zentralen Bedrohungen, gegen die IPS zusätzlichen Schutz bietet: - Würmer - Trojanische Pferde - Bots - Anwendungsangriffe - Port Scans und Hacking-Versuche - Covert Channel Kommunikation

26 Wie funktioniert IPS? Pakete IPS Passt? Signatur Datenbank Event protokollieren Paket fallen lassen Session beenden Ja Intrusion Prevention Geräte fungieren wie Wachleute in einem Bürogebäude, die alle Zugänge zum Gebäude überwachen, um unautorisierten Zugang zu verhindern, und gleichzeitig unvorsichtige “Insider” daran zu hindern, das Gebäude ohne entsprechende Genehmigung mit Wertsachen zu verlassen. Intrusion Protection bietet: Erweiterte Sicherheit im Vergleich zu “klassischen” Technologien. Leistungsstarke Technologie, um dynamische Bedrohungen zu bewältigen. Höhere Wiederstandsfähigkeit von e-Business Systemen und Anwendungen. Effektives Vereiteln von böswilligen Aktivitäten, und zwar auch von denen, die von innen kommen. Breiteren Überblick über den Datenfluss im Unternehmen. Größerer Schutz gegen bekannte und unbekannte Bedrohungen. IPS schützt ein Netzwerk, indem es Pakete daraufhin überprüft, ob sie bestimmten identifizierbaren Eigenschaften (Signaturen) böswilliger Aktivität entsprechen.

27 Was ist Content Security?
Content Security steht für eine Vielzahl von Schutzmaßnahmen der Netzwerksicherheit, die Informationen, Benutzer und Geräte vor gemeinsamen Bedrohungen schützen sollen Umfassender Schutz vor Malware Integriert Antivirus und Malware-Technologie, um praktisch alle Bedrohungen zu stoppen Stoppt Viren, Spyware, Adware, Jokeware, Hacking Tools, etc. Advanced Content Filtering Sichert die Produktivität der Mitarbeiter und reduziert rechtliche Haftungsprobleme Stoppt Phishing, Spyware Downloads, Spyware “Phone home” Versuche, unangemessenes Browsing Integrierte Message Security Entfernt unerwünschte s (Spam) Stoppt trojanische Pferde, Viren, Spyware, etc. die per übertragen werden VIREN SPAM SPYWARE URL FILTERING PHISHING

28 Sicherheit ist jetzt Teil der grundlegenden Architektur einer IT-Infrastruktur
Switching Routing IP Telephony Unabhängig davon, woher Daten kommen oder wohin sie gehen, sie sind geschützt. Sicherheit ist eine grundlegende Komponente jedes Entwicklungsprojekts bei Cisco. Ob es um die Implementierung von Routern, die Absicherung der Switching-Infrastruktur, die Implementierung von fortschrittlichen, produktivitätssteigernden Technologien wie Sprache/Video oder Wireless, den Schutz der Daten in der gesamten Organisation oder die Absicherung des Home Office geht … DER SCHUTZ BESTEHT Storage Networking Networked Home Wireless LAN

29 Verkaufen von Cisco Security Produkten

30 Maßgeschneiderte Lösungen für jede Implementierungsumgebung
Sicherheitsoptionen für SMBs Cisco ASA 5500 Serie und Cisco Integrated Services Router Präferenz für dedizierte Sicherheitsgeräte Bietet neuste Innovationen im Bereich Threat Mitigation Funktionsreichste Remote Access VPN-Lösung Eigene Funktion sorgt für möglichst einfaches Software Versioning Präferenz für und Vertrautheit mit IOS-basierten Geräten Bietet neuste Innovationen im Bereich Networking und Security Collaboration Funktionsreichste Site-to-Site VPN-Lösung Konsolidiert maximale Anzahl von Netzwerk- und Sicherheitsfunk-tionen auf einer einzigen Plattform Nutzt Router-Investitionen Adaptive Security Appliance Integrated Services Router Maßgeschneiderte Lösungen für jede Implementierungsumgebung

31 Cisco ASA 5500 Adaptive Security Appliances Bieten führende Threat Defense und VPN Services
Bietet konvergente Threat Defense, flexible und sichere Vernetzung, minimale Beriebskosten und einmaliges Adaptive Design gegen zukünftige Bedrohungen Integriert und erweitert die führende implementierte Gateway Content Sicherheitstechnologie, um vor Viren, Spyware, Spam, Phishing und Websites zu schützen,die sich auf die Produktivität der Mitarbeiter auswirken Integriert und erweitert die führende implementierte IPS und IDS Techno-logie aus der Cisco IPS 4200 Serie Bietet umfassenden Schutz vor direkten Angriffen und vielen anderen Bedrohungen Integriert und erweitert die führende implementierte Remote Access VPN-Technology der Cisco VPN 3000 Concentrator und Cisco PIX Security Appliances und bietet dabei SSL und IPsec VPN Services Marktführende VPN Services Integriert und erweitert die führende implementierte Firewall-Technologie von Cisco PIX Security Appliances Baut auf der Erfahrung von mehr als 1 Million weltweit installierten PIX und mehr als 10 Jahren Innovation auf Marktführende sichere Unified Communications Umfassende Zugangskontrolle, Threat Protection, Network Policies, Service-Schutz und Vertraulichkeit von Sprache/Video für Unified Communications Echtzeitverkehr Marktführende Firewall Services Marktführende Content Security Marktführende IPS Services

32 Cisco ASA 5500 Serie Produktüberblick Lösungen für SMBs bis hin zu Großunternehmen
SMB Portfolio Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5550 Telearbeiter / Filiale / SMB Zielmarkt SMB und SME Mittleres Enterprise Großes Enterprise Enterprise Empf. VK Beginnt bei $595 Beginnt bei $3,495 Beginnt bei $7,995 Beginnt bei $16,995 Beginnt bei $19,995 Leistung Max Firewall Max Firewall + IPS Max IPSec VPN Max IPSec/SSL VPN Peers 150 Mbps Future 100 Mbps 25/25 300 Mbps 170 Mbps 250/250 450 Mbps 375 Mbps 225 Mbps 750/750 650 Mbps 450 Mbps 325 Mbps 5000/2500 1.2 Gbps N/A 425 Mbps 5000/5000 Plattform-Fähigkeiten Max Firewall Verb. Max Verb./Sek. Pakete/Sek. (64 Byte) Base I/O VLAN-Unterstützung HA -Unterstützung 10,000/25,000 3,000 85,000 8-port FE switch 3/20 (trunk) Stateless A/S (Sec Plus) 50,000/130,000 6,000 190,000 5 FE 50/100 A/A und A/S (Sec Plus) 280,000 9,000 320,000 4 GE + 1 FE 150 A/A und A/S 400,000 20,000 500,000 4 GE + 1 FE 200 A/A und A/S 650,000 28,000 600,000 8 GE + 1 FE 250 A/A und A/S

33 Breite Palette von Security Service Modulen (SSMs) der Cisco ASA 5500 Serie
IPS Security Services Modul (AIP SSM) Bietet IPS und IDS Services mit vollem Funktionsumfang zum Schutz von geschäftskritischen Netzwerkressourcen In zwei Modellen verfügbar: SSM-10 und SSM-20 Bietet bis zu 450 Mbps an IPS-Durchsatz Daumenschrauben für Einsatz/Entfernung 10/100/1000 Out-of-Band Management Port Supported on ASA 5510, 5520, and 5540 Content Security Services Modul (CSC SSM) Bietet Anti-X Services mit vollem Funktionsumfang (Anti-virus, Anti-spyware, Anti- spam, Anti-phishing, URL filtering etc.) In zwei Modellen: SSM-10 und SSM-20 Anti-virus und Anti-spyware Services nach Anzahl der Benutzer lizenziert, weitere Add-ons Auf ASA 5510, 5520 und 5540 unterstützt 4-Port GE Services Modul (4GE SSM) I/O Modul bietet vier Kupfer 10/100/ Ports zusätzlich zu vier SFP Ports für bessere Flexibilität und Netzwerksegmentierung Kunden können bis zu vier dieser acht Ports benutzen und dabei Kupfer- und optische GE Ports vermischen Wird auf ASA 5510, 5520 und 5540 unterstützt

34 Integrierte Firewall auf Cisco ASA 5500 Anwendungsinspektion und Kontrolle für gesamten Verkehr
Desktop Legitimer Geschäftsverkehr DMZ Internet Server File/Web Cisco ASA 5500 Anwendungs-Firewall & Zugangskontrolle: Anwendungsinspektion / Kontrolle Stateful Traffic Filtering Leistungsfähige Anwendungsinspektion für ganz unterschied-lichen Verkehr wie HTTP, FTP, MTP/ESMTP, DNS, SIP, H.323 etc (mehr als 30 Inspection Engines verfügbar) Application-layer Policies auf der Basis von flexiblen, granularen Richtlinien Überprüfung der Konformität, State Tracking, Sicherheits-Checks, NAT/PAT, dynamische Zuweisung von Ports

35 SSL/IPSec VPN auf Cisco ASA 5500 Sichere Vernetzung für Remote- und Site-to-Site Benutzer
Sicherer Zugriff für Remote- und Site-to-Site Benutzer, sichere und ungesicherte Endpunkte Nutzt alle Möglichkeiten der Threat Defense-Funktionen, um Bedrohungen vor und während der VPN-Vernetzung zu stoppen Einschätzung der Position vor der Verbindung, um Würmer und Viren am Endpunkt zu stoppen Session Vault und Auf-räumen nach der Session Anwendung von FW Application Inspection Policies, IPS und Content Security auf VPN-Verkehr Begrenzter Zugriff auf bestimmte VLANs Cisco ASA 5500 Threat Mitigation: Kontrolliert Würmer, Viren, Spyware Würmer/ Viren Unerwünschte Anwendung Spyware Illegaler Zugriff Exploit Application Firewall & Access Control: Inspektion/Kontrolle von Applikationen Cisco Secure Desktop Endpoint Security: Einschätzung der Position vor der Verbindung Session/Daten Sicherheit Aufräumen nach der Session Remote Access VPN Benutzer ASA mit SSL bietet Unternehmen die Möglichkeit, Gästen und mobilen Mitarbeitern Clientless Encrypted Remote Access auf das Netzwerk zu bieten. Die wichtigsten ASA Sicherheitsfunktionen für Remote Access Anwendungsinspektionen bieten granulare Kontrolle über die Aktionen der Applikation. Dies kann unerwünschtes Verhalten wie Downloads, das Uploading und Übertragen von Dateien verhindern, das zu Datenverlust oder der Verbreitung von böswilligem Code führen könnte. Stateful Traffic Filtering identifiziert Protokollschritte und kontrolliert Session-Vernetzung während des gesamten Lebenszyklus. Dies vermeidet Protokollmissbrauch, der zu DOS Angriffen führen könnte. Die wichtigsten SSL-Funktionen Einschätzung der Endpunkt-Position, sorgt dafür, dass Endpunkte aktuelle Antivirus-Software oder andere Schutzmechanismen haben Post Session Clean up: entfernt Cookies und Dateien von Managed oder Unmanaged Devices, vermeidet Datenverlust

36 Intrusion Prevention auf Cisco ASA 5500 Multi-Vector Threat Identification
Ergänzt FW-Services durch Inspektion und Überwachung des von den Security Policies erlaubten Netzwerkverkehrs Identifiziert Würmer, Viren, Spyware, Adware, direkte Angriffe und Ausbrüche Identifiziert Anomalien auf der Basis von “normalen” Verkehrsmustern Unterstützt gleiche Signaturdatenbank wie Cisco IPS 4200 Appliances Erlaubt benutzerdefinierte Signaturen und Aktionen, um schnell auf neue Bedrohungen zu reagieren Risk Rating für besseren Bedrohungskontext Internet Cisco ASA 5500 FW lässt legalen Geschäftsverkehr durch IPS verwendet Signaturdatenbank, um legalen Geschäftsverkehr auf Anomalien, Würmer, Viren und Angriffe zu überprüfen Legaler Geschäfts-verkehr Legaler Geschäftsverkehr zu Server, frei von Würmern, Viren, etc.

37 Content Security auf Cisco ASA 5500 Email- und Web-Schutz, URL Filtering und vieles mehr
Internet Server File/Web Cisco ASA 5500 /Web Scanning: Ein- und ausgehend Handhabung von komprimierten Dateien Filtering große Nachrichten Filtering viele Empfänger Anhänge und Key Words Spyware/Viren Scanning nach: Spyware Dialers Hacking Tools Password Crackers Adware Jokes Remote Access Identifiziert und entfernt datei- basierte Viren u. böswilligen Code Inspiziert SMTP, HTTP, POP3 und FTP Internetverkehr URL Filtering: Gewalt, Pornografie, Glücksspiele, etc URL FILTERING DMZ Netzwerkbasierter Anti-x Schutz (Anti-spam, Anti-malware, Anti-phishing, Anti-virus) für Web- und -Verkehr URL Filtering für unangemessenen Webzugriff Verfolgung, Protokollierung und Kontrolle von Internet URL Access; erlaubt Überwachung und Durchsetzung von Security Policy

38 Einsatz von Intrusion Prevention versus Content Security
Cisco ASA mit IPS AIP-SSM Modul (IPS Edition) Cisco ASA mit CSC-SSM Modul (Content Security Edition) Lösungen, die von mittleren bis zu großen Unternehmen skaliert werden können - Große Zahl von Benutzern - Bis zu 450 Mbps Fokus auf Schutz von Servern; geschäftskritischen Ressourcen Stoppt Netzwerkwürmer, Haching-Versuche, trojanische Pferde, Bots, Zombies und verdeckte Channel-Kommunikation Lösungen, die für kleine und mittlere Unternehmen und Filialen gedacht sind - Bis zu 1000 Benutzer - Bis zu 120 Mbps Schwerpunkt auf Schutz von Clients; Internet Edge Stoppt Netzwerk-Viren, Spyware/Adware/Grayware, böswillige Dateien, Spam, Phishing und unangebrachte URLs/Inhalte

39 Schützt UC Infrastruktur, Telefone, Call Control und Anwendungen
Innovative Unified Communications Security Sicherheit für Sprach- und Video-Anwendungen Unterstützt Cisco Call Manager Express und Cisco Communication Manager Dynamische und granulare Zugangskontrolle, um unautorisierten Zugriff auf UC Services zu verhindern Threat Protection für die UC-Infrastruktur Durchsetzung von Network Security Policies, um Sicherheitsrichtlinien für UC Anwendungen und Benutzer zu bieten Vertraulichkeit von Sprache-Video, damit Kunden Signaling/Media verschlüsseln können, während sie Security Policies aufrechterhalten** Inspektion von Voice Signaling, Encrypted Signaling und Media, Protokoll-Konformität, Policy Enforcement für Anrufe (Blacklist, Whitelist etc) Cisco ASA 5500 Internet WAN Schützt UC Infrastruktur, Telefone, Call Control und Anwendungen ** nur CUCM

40 Verkaufen von Cisco ASA im Bereich SMB Security
Identifizieren Sie SMBs, deren Sicherheitsbedürfnisse sich weiterentwickelt haben Zunehmende Zusammenarbeit mit Partnern/Kunden über das Internet Benötigen Schutz vor zunehmender Anzahl von komplexen Angriffen Höhere Erwartungen an Zugangsniveau von Remote-Benutzern und mobilen Geräten Einhaltung von Standards wie PCI (Payment Card Industry), die fordern, dass alle Unternehmen, die mit Kreditkartendaten umgehen, ein sicheres Netzwerk haben (einschließlich VoIP Netzwerk) Identifizieren Sie existierende Cisco PIX-Kunden, für die Migration Sinn macht Kunden mit expandierenden Standorten (Läden, Büros, Lager) Schutz von neuen Anwendungen wie Unified Communications Es wird mehr Leistung benötigt Es werden mehr Schutz- und Sicherheitsservices benötigt, wie Intrusion Prevention Services, Content Security usw. SSL VPN für sichere Vernetzungsservices für Remote-Mitarbeiter und Partner

41 Vergleich: Cisco ASA 5500 & Cisco PIX 500
Cisco ASA 5500 bietet im Vergleich zu Cisco PIX 500 eine Obermenge von Funktionalität Optical GE Support (kein Kupfer) auf PIX 525/535, bis zu 100 VLANs auf 525 und 200 VLANs auf PIX 535 Kupfer und Optical GE Support, bis zu 8 GE Interfaces auf ASA 5520, 5540, 5550, bis zu 200 VLANs auf 5540/5550 I/O Fähigkeiten 3 bis zu 425 Mbps 100 bis zu 425 Mbps Maximale IPSec VPN-Leistung pro Appliance (3DES / AES-256) 60 Mbps bis zu 1,65 Gbps 150 Mbps bis zu 1,2 Gbps Maximale Firewall-Leistung pro Appliance Nur auf PIX 515E, 525, 535 verfügbar Auf allen ASA 5500 Appliances verfügbar Support für Hochverfügbarkeit Advanced Firewall Services, mit Application Layer Firewall Firewall Services keine Content Security, IPS Zusätzliche Security Services Nur IPSec VPN Services für Site-to-Site und Remote Access SSL und IPSec VPN Services, mit VPN Clustering/Load Bal. VPN Services* (Break out SSL and IPSec) Cisco PIX 500 Serie Cisco ASA 5500 Serie Appliance der ASA5500 Serie bietet den gleichen PIX-Code, aber eine schnellere, flexiblere Plattform Flexibilität umfasst -IPS -CSC -VPN/SSL Vorteile von Cisco ASA 5500 gegenüber Cisco PIX 500: Besseres Preis-/Leistungsverhältnis im Vergleich zu ähnlichen Cisco PIX Modellen Mehr Hochverfügbarkeitsoptionen Mehr Vernetzungsoptionen mit SSL VPN Zusätzliche Security Services mit Content Security und IPS

42 Empfohlener Migrationspfad für Cisco PIX Security Appliance Kunden
Cisco ASA 5505 Serie Cisco ASA 5510 / 5520 Serie Cisco ASA 5520 / 5540 Serie Cisco ASA 5550 / 5580 Serie Migrationsvorteile X Firewall-Durchsatz 3 - 33X VPN Durchsatz 8 Port Switch mit 2 PoE Ports VLAN Support (20 mit Sec+) Unterstützt SSL VPN Modular für zuk. Upgrades Migrationsvorteile x Firewall-Durchsatz x Skalierbarkeit (conns/sec) Gigabit Ethernet Support A/A Lösung kostet 30% weniger VPN Clustering/Load Balancing Unterstützt IPS, CSC, SSL VPN Migrationsvorteile x Firewall-Durchsatz x Skalierbarkeit Unterstützt 3X GigE Dichte A/A Lösung kostet 30% weniger VPN Clustering/Load Balancing Unterstützt IPS, CSC, SSL VPN Migrationsvorteile 2 - 20x Real-World FW Durchsatz 2 - 8x Skalierbarkeit (conns/sec) Unterstützt SSL VPN, mit Clus/LB 10GE I/O Support (5580) Unterstützt 2.5x GE Dichte (5580) A/A Lösung kostet 35% weniger Für die Kunden, die heute umsteigen wollen, bieten wir aggressive Trade-in Programme, mit dem Kunden in dem Tempo umsteigen können, das ihnen am besten passt. Typische Migrationspläne sähen so aus (501 und 506E auf 5505, 515E auf 5510, 525 auf 5520 oder 5540, und 535 auf 5550 oder 5580). (Ebenso wie Trade-in Angebote für die Konkurrenz.) Cisco PIX 501 Serie Cisco PIX 506E Serie Cisco PIX 515E Serie Cisco PIX 525 Serie Cisco PIX 535 Serie

43 Cisco Integrated Services Router Portfolio
Leistung und Servicedichte NEW 3800 Serie 2800 Serie 1861 Serie 1800 Serie 800 Serie Hohe Dichte und Leistung für gleichzeitige Services Cisco hat ein umfassendes Enterprise Router Portfolio, um die richtige Box für unterschiedliche Anforderungen und Kundenanforderungen zu implementieren. Vom Telearbeiter bis hin zur Konzernzentrale, Cisco hat die richtige Router-Plattform, die den heutigen Anforderungen des Kunden entspricht und sich skalieren lässt, wenn Services wie Sicherheit, Sprache und Content hinzugefügt werden. Eingebaute, fortgeschrittene Voice, Video, Daten und Security Services Eingebaute, fortgeschrittene Wireless, Security und Daten Services Das Integrated Services Router Portfolio Kleine Büros und Telearbeiter Kleine Filiale Mittlere/große Filiale

44 Marktakzeptanz - mehr als 3 Millionen Cisco ISRs
Drei Millionen Router verkauft! Gesamtbetriebskosten Direct and Indirect Costs $0 $10,000 $20,000 $30,000 $40,000 $50,000 $60,000 $70,000 $80,000 Cisco Integrated Services Router Overlay Appliances der Konkurrenz Umsatzverlust Mitarbeiterproduktivität Ungeplante Downtime-Verluste Geplante Downtime-Verluste Wartungsverträge Implementierungskosten NMS Kosten Anlagen (Platz, Strom, Kühlung) Service Interoperabilität Betriebliche Effizienz Systems Support Investitionsschutz Cisco ISR Service Integration – Bis zu 70% OpEx Reduzierung 3.0 34 Monate 7 Monate später! 2.5 2.0 27 Monate Millionen von verkauften Routern 1.5 19 Monate 1.0

45 Wie verkauft man Secure WAN?
Gelegenheiten identifizieren Kunden qualifizieren Den Wert beweisen Abschluss tätigen Jeder Router-Verkauf, z.B. Netzwerk-erweiterung Auf der grünen Wiese, neue Anwendungen nutzen Installierte Basis von $ 10 Mllrd Geschäfts-anforderungen identifizieren – verwenden Sie Secure WAN Qualifizierungs-fragen Benutzen Sie ROI-Tools, Fallstudien Benutzen Sie TDM-Präsentation, Flash-Demos, Not-for-resale Kits, Demo Vans und VoDs Jetzt vs später – Security Bundles reduzieren Gesamt-betriebskosten und Risiko Und wie verkauft man Secure WAN? Hier ist ein kurzer Überblick: Zunächst identifiziert man die Opportunitäten, dann qualifiziert man den Kunden mit den Fragen, die wir Ihnen zur Orientierung gleich mitgegeben haben, dann beweist man den Wert der Security Router-Lösung mit der Hilfe von ROI Tools, Fallstudien und Demos. Schließlich tätigt man den Abschluss mit Secure Router-Bündeln. In den nächsten Minuten werden wir jeden dieser Schritt behandeln Schauen wir uns zunächst einmal die Gelegenheiten an: Jedes Mal, wenn ein Router verkauft wird: z.B. neue Standorte oder neue Sprach-/Video-/Wireless-Anwendungen Die besten Opportunitäten ergeben sich wahrscheinlich aus der Migration. Nutzen Sie die enorme installierte Basis von Cisco aus!

46 Was verkaufen: Cisco 800–3800 Security Router Bundles
High Performance Security and Voice (V3PN)† Security Voice DSPs und Voice Gateway High Performance IPsec Acceleration und Komprimierung Cisco CallManager Express / Survivable Remote Site Telephony Lizenz Alle Sicherheitsbundles haben: Site-to-Site VPN und Remote Access VPN Embedded IPsec Beschleunigung SSL VPN* ICSA & EAL4 zertifizierte Advanced Firewall IPS SDM, NetFlow Network Admission Control WAN Backup, Router Verfügbarkeit und Service Schutz High Performance Security (HSEC) Secure Voice (VSEC)† ‡ Security Keine Voice DSPs High Performance IPsec Acceleration und Komprimierung Security Voice DSPs und Gateway Embedded IPsec Acceleration Grundlegende Security (SEC) Security Keine Voice DSPs Embedded IPsec Acceleration * user license included free on HSEC; additional licenses $30 per user † Survivable Remote Site Telephony (SRST) version available ‡ Cisco CallManager Express (CCME) version available

47 Qualifizieren Sie den Kunden: Sichere Vernetzung
Wollen Sie die zusätzlichen Kosten vermeiden, die mit Anschaffung und Management von separaten VPN Devices verbunden sind? Haben Sie mehr und mehr Benutzer und Geräte, die nahtlosen Remote-Access fordern? Möchten Sie Clientless SSL VPN-Lösungen implementieren? Überprüfen Sie die laufenden Kosten von Leased Line, Frame Relay oder denken Sie über einen Umstieg auf VPN nach? Qualifizierende Fragen Niedrigere TCO Separates VPN Device führt zu zusätzlichen Kapital- und Betriebskosten Remote Access VPN Komplexe Remote Access VPN Implementierung Site-to-Site VPN Höhere Kosten von Frame Relay, Leased Line vis-a-vis IP VPN “Pain”-Punkte der Kunden Kauf und Management von einzelnem WAN / VPN Device Easy VPN bietet einfach zu implementierendes IPsec VPN für mobile Benutzer SSL VPN auf dem gleichen Router für Partner, mobile Geräte oder öffentliche Kioske WAN und VPN Schnittstellen – bieten flexiblen Wechsel von Frame Relay, Leased Line zu VPN Secure WAN Wertangebote Haben Sie den Kunden einmal identifiziert, wie finden Sie dann heraus, ob Secure WAN für ihn einen Mehrwert bringen kann? Mit diesen Secure WAN-Fragen können sie die “Pain”-Punkte der Kunden ermitteln Die Spalte links zeigt diese Punkte Sie sollten diese Fragen stellen, wenn ein Kunde einen WAN Router kaufen oder ersetzen will Benutzen Sie diese Fragen, um die Diskussion zu eröffnen Wird eine dieser Fragen mit Ja beantwortet, liegt ein wichtiger Grund dafür vor, Security Router-Bündel zu kaufen

48 Qualifizieren Sie den Kunden: Integrierte Threat Control
IPS und FPM schränken die Ausbreitung von Würmern und Viren ein NAC und 802.1x schränken Schaden durch infizierte Laptops ein Wollen Sie den Würmer- und Virenverkehr über das WAN reduzieren? Würmer und Viren Zusätzliche Bedrohungen und Verschwendung von kostbarer WAN Bandbreite Zone Firewall erlaubt es dem Router, als Internet Gateway zu fungieren IPS und FPM bieten Intrusion Prevention und Day Zero-Schutz Benötigen Sie in der Filiale sicheren Internetzugang? Secure Branch Internet Sicherer Internetzugang für Filiale, ohne zusätzliche Geräte Sind Ihre Netzwerkgeräte vor DoS-Angriffen geschützt? Qalifizierende Fragen Hacking, DoS Schutz des Routers vor Hacking und DoS “Pain”-Punkte der Kunden One Touch Router Lockdown, Control Plane Protection, Firewall und IPS härten den Router ab Secure WAN Wertangebote

49 Beweisen Sie den Wert: All-in-One Security für das WAN
Nur Cisco® Security Router bieten all dies Sichere Netzwerklösungen Secure Voice Compliance Secure Mobility Geschäfts-kontinuität Network Admission Control Advanced Firewall Intrusion Prevention Integrated Threat Control URL Filtering 802.1x Network Foundation Protection Flexible Packet Matching IPsec VPN SSL VPN Sichere Vernetzung GET VPN DMVPN SDM NetFlow IP SLA Rollen-basierter Zugriff Management und Instrumentierung

50 Beweisen Sie den Wert: Gründe dafür, Security-Router zu kaufen
SCHÜTZEN SIE DEN ROUTER SELBST: Ihre erste Verteidigungslinie EIN EINZIGER VERSTOSS kann sich ernsthaft auf das Unternehmen auswirken Advanced Backup und Telearbeit für GESCHÄFTSKONTINUITÄT EINHALTUNG von Daten- und Netzwerkschutzgesetzen SICHERE Konsolidierung von Sprache/Video/Daten und Wired/Wireless Leistungsstarke VERSCHLÜSSELUNG für Sprache und Signaling Neue ISRs bieten Wire-Rate LEISTUNG MIT SERVICES Einfaches MANAGEMENT einer Single-Box Router/VPN/Firewall/IPS Lösung NIEDRIGERE KOSTEN für Service und Subscription: nur ein Vertrag 30-40% EINSPARUNGEN in Security Router Bündel eingebaut Ihre Kunden wollen Sicherheit. Wenn Sie also keine Cisco Security Router verkaufen, dann entgeht Ihnen hier eine Gelegenheit

51 Reaktionen auf mögliche Einwände
Einwand: Hinter dem Router ist bereits eine Firewall Der geschäftskritische Router wird von der Firewall nicht geschützt – der Router ist dem Internet ausgesetzt und die Firewall ist erst hinter dem Router Auf den meisten existierenden Firewalls gibt es kein IPS, IPsec VPN, SSL VPN, URL Filtering, etc. – hierfür sich mehrere Geräte nötig Die fortlaufenden Support- und Wartungskosten existierender Firewalls können für lebenslange Kosten eines Cisco Router Security-Bündels zahlen Reaktion: Einwand: Kann der Router Sicherheit und Routing handhaben und dabei noch angemessene Leistung bringen? JA – ISRs wurden von Grund auf so ausgelegt, dass sie WAN, LAN, WLAN, Security und IPC Services gleichzeitig betreiben können Etwa 2 Millionen Cisco ISRs sind jetzt weltweit implementiert Reaktion: Einwand: Ich kann den Router später upgraden, um Sicherheit hinzuzufügen Sie sparen typischerweise %, indem Sie jetzt Security Router Bündel kaufen, verglichen zu einem späteren Upgrade des Routers Sie gehen Risiken ein – ein einzelner Sicherheitsverstoß kann mehrmals so teuer sein wie ein Security Router Bundle Reaktion:

52 Zusammenfassung Cisco ist Marktführer im Bereich Network Security – mit 41%* Adaptive Security Appliances bieten bestmögliche Security Services Secure Integrated Services Router bieten Ihren Kunden hervorragenden Mehrwert, indem sie Routing und Sicherheit auf einer einzelnen Plattform kombinieren Hier finden Sie weitere Informationen: *Infonectics 3Q, 2007 Report *Infonetics Q Report

53