Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

SSL-Proxy und SSL-VPN von Blue Coat Systems Technology Day bei eXecure AG, 31. Januar 2007 Michael Hartmann Territory Sales Director DACH & EE Blue Coat.

Ähnliche Präsentationen


Präsentation zum Thema: "SSL-Proxy und SSL-VPN von Blue Coat Systems Technology Day bei eXecure AG, 31. Januar 2007 Michael Hartmann Territory Sales Director DACH & EE Blue Coat."—  Präsentation transkript:

1

2 SSL-Proxy und SSL-VPN von Blue Coat Systems Technology Day bei eXecure AG, 31. Januar 2007 Michael Hartmann Territory Sales Director DACH & EE Blue Coat Systems GmbH

3 Protokoll-Terminierung = Volle Kontrolle aller Inhalte HTTP, SSL, IM, Streaming, P2P, SOCKS, FTP, CIFS, MAPI, Telnet, DNS, TCP The Power of the Proxy PROTECT Erkennt Spyware, Malware und Viren Stoppt DoS-Attacken Schützt Schwach- stellen in IE, IM etc. Zentrale Instanz für die Unternehmens-Kommunikation ACCELERATE Multiprotocol Accelerated Caching Hierarchy (MACH) Bandbreiten-Mgt, Kompression, Protokoll- Optimierung Byte-, Object- & Predictive Caching + CONTROL Umfassende Policies für Anwendungen, Protokolle, Inhalte und Benutzer Granulares Logging Flexible Authentifizierung +

4 Centralized Policy And Reporting Verschiedene Rollen des Proxies Network Data Center Proxy/Mach5 Access Proxy/RA Exchange File Web TCP Streaming Internet Kunden Mitarbeiter Reverse Proxy Partner Web P2P IM Web Streaming Forward Proxy

5 Bob Kent *******

6 Internet Explorer Browser starten Sucht und zeigt Informationen und Websites im Internet an. 10:45

7 10:46 Microsoft Corporation – Microsoft Internet Explorer

8 Internet-Nutzung – Mitarbeiter-Vereinbarung Sie sind eingeloggt als: Bob Kent Bitte beachten Sie unsere Internet-Nutzungsrichtlinie. Edge Corp. ist berechtigt, jeglichen Internet-Verkehr aus Sicherheitsgründen zu überwachen und zu loggen. Dies betrifft auch den SSL-verschlüsselten Verkehr. Zum Akzeptieren hier klicken Wenn Sie nicht einverstanden sind, hier klicken Edge Corp new AUP - Microsoft Internet Explorer Edge Corp new AUP

9 https://gmail.goole.com/inbox/28677$ /show.do Gmail – Secure from Google - Microsoft Internet Explorer Gmail – Secure …

10 https://gmail.goole.com/inbox/28677$ /attch-dload.do Gmail – Secure from Google - Microsoft Internet Explorer Gmail – Secure … Bob Kent, hier ist Ihre IT. Bei der Überprüfung Ihres Downloads wurde ein Virus gefunden, die Datei wurde daher gelöscht.

11

12 Paypa1 - Login - Microsoft Internet Explorer Paypa1 - Login https://www.paypa1.com/PayPal%20-%20Welcome.htm ******* Bob Kent, Sie haben versucht, Daten an zu übermitteln. Diese Seite ist sehr wahrscheinlich eine Phishing-Seite, die Übertragung wurde daher gestoppt.

13 Microsoft Internet Explorer Hallo Bob Kent Dies ist eine Nachricht von Ihrer IT-Abteilung Es wurde versucht, Spyware auf Ihren Rechner herunterzuladen. Diese Infektion wurde verhindert

14 10:45 *******

15 Vielleicht sollte ich mal was arbeiten … 15:06

16 Blue Coats Komplett-Lösung Public Internet Internal Network Port 80 traffic Reporter Visual Policy Manager Management Tools Director Authenticate IM ProxySG Streaming P2P ProxyAV Web AV Filtering

17 Centralized Policy And Reporting Verschiedene Rollen des Proxies Network Data Center Proxy/Mach5 Access Proxy/RA Exchange File Web TCP Streaming Internet Kunden Mitarbeiter Reverse Proxy Partner Web P2P IM Web Streaming Forward Proxy

18 Secure Reverse Proxy Höhere Performance durch Caching SSL-Offload Hardware-basiert User-Authentifizierung URL-Rewriting Virus-Scanning für Upstream-Content DoS-Sicherheit HTTP/HTTPS Request Überprüfung Internal Network ProxySG Family Public Internet

19 SSL Termination SSL hardware card –800 new sessions/second –SSLv2,v3 and TLSv1 HTTPS connection is established between users and ProxySG HTTP or HTTPS connection is then established between ProxySG and Web Servers ProxySG SSL Termination Internet Internal Network ProxySG SSLv2,v3 and TLSv1 support User authentication/authorization Caching HTTPS HTTP

20 User Control Secured authentication –LDAP, ActiveDirectory, NTLM, Radius, local user database Single Sign On Passes credentials to origin Web Server URL rewriting hides internal servers & content structure URL validity check DoS defence ProxySG User Control Internet Internal Network ProxySG Comprehensive User Control Authentication/Authorization HTTPS HTTP Username passed in HTTP header User Database

21 Virus Scanning ProxySG and ProxyAV Internet Internal Network ProxySG Virus Scanning Appliance based HTTPS User Database ProxySG & ProxyAV architecture –Purpose-built appliances for speed –High-availability & load- balancing –One GUI - Ease deployment & administration –Lower Total Cost of Operations (TCO) ProxyAV HTTP ICAP

22 Performance Caching –Content is cached and can be served directly High Availability –Using 2 ProxySG in Failover mode –ProxySG performs L3,L4 and L7 health checks on origin Web servers Scalability –Multiple Origin Web servers can be load balanced by ProxySG Least connections Round Robin

23 Centralized Policy And Reporting Verschiedene Rollen des Proxies Network Data Center Proxy/Mach5 Access Proxy/RA Exchange File Web TCP Streaming Internet Kunden Mitarbeiter Reverse Proxy Partner Web P2P IM Web Streaming Forward Proxy

24 Warum SGOS 5.x? Server Konsolidierung Mehr Applikations-Verkehr+ Limitierte Bandbreiten+ Mehr verteilte User+ Ineffiziente Protokolle+ = = Mässige Applikations-Performance

25 NEU: SGOS 5.x File Services (CIFS), Web (HTTP), Exchange (MAPI), Video/Streaming (RTSP, MMS), Secure Web (SSL) M ultiprotocol A ccelerated C aching H ierarchy Bandwidth Management Protocol Optimization Object Caching Byte Caching Compression

26 Legacy WAN Optimization What about the rest of your traffic? Fix Basic Protocols Compress with Byte Caching Some Add Wide Area File Services

27 Accelerate SSL Applications SSL use is growing –If its important, its encrypted! Internal apps are hard to accelerate External apps are even harder Handle with care Open, Inspect, Accelerate SSL Applications

28 Are You Video Ready? Remove unwanted video. Accelerate the rest Whats already on the WAN –Earnings announcement –Compliance mandated E-learning –YouTube.com Is it at least controlled? Split streams for live broadcast Distributed video on demand

29 Stop Accelerating the Junk! Why accelerate? –Frivolous surfing –Bulk downloads –Peer-to-peer Get rid of it! –Or it will grow –Crowd out good apps Flexible, User Based Bandwidth Control

30 Start Accelerating the Rest Web traffic is huge Fastest growing traffic HTTP, and then some –Web services –Web widgets –Java clients Get the Internet off your WAN Deliver Web-Based Applications Without Extra Bandwidth

31 What About The Office of One? Poor performance Inconsistent performance No control over user experience Desktop Client for Acceleration and Control Arent We All Mobile Users?

32 Bandbreiten-Management User & Applikationen werden klassifiziert Garantierte Minimum- oder limitierte Bandbreite pro Klasse Priorisierung der Klassen gemäss Business- Erfordernissen Sales Applikation Priorität 1 Min 400Kb, Max 800Kb File Services Priorität 3 Min 400Kb, Max 800Kb Priorität 2 Min 100Kb, Max 400Kb Web Surfing allgemein Priorität 4 Min 0Kb, Max 200Kb

33 Protokoll-Optimierung: ServerClient … für CIFS, MAPI, HTTP, HTTPS, TCP

34 Objekt Caching: Object-Caches für: –HTTP/HTTPS-Caching –Caching von Audio/Video Streams –CIFS-Caching Object-Cache Vorteile: –Schneller Antwortzeiten –Weniger Last für Server Object-Cache Nachteile: –Nur für bestimmte Applikationen/Protokolle anwendbar –Nur für bestimmte Inhalte einer Applikation anwendbar –Alles oder Nichts: kein Vorteil, wenn das Objekt nicht verfügbar ist oder geändert wurde

35 Wie Byte Caching arbeitet: … [R1] [R2] [R3] Zentraler Cache Lokaler Cache Sequenzen sind im lokalen Cache vorhanden Bytes werden als Token über das WAN übertragen Byte-Stream wird aufgrund der lokalen Cache-Daten rekonstruiert Local LAN Remote LAN WAN Link Proxy speichert alle übertragenen Bytes

36 Kompression: Kompression eliminiert white space aus übertragenem Content/Objekt MACH 5 nutzt anerkannten gzip Kompression- Algorithmus Komprimiert damit jeglichen Verkehr zwischen zwei Appliances gzip compression

37 MACH 5 im Zusammenspiel Object gzip WAN Object Caching App-level Cache Effektivste Beschleunigung optimiert Bandbreite Byte Caching jede TCP-Applikation ähnliche Daten geänderte Daten optimiert Bandbreite Gzip Kompression min. Übertragung optimiert Bandbreite Bandbreiten Mgmt. Priorisierung/QoS Limitierung/Zuweisung pro User, pro Applikat. Bandbreiten-Reduktion Protokoll Optimierung Protokoll-Ineffizienzen Reduktion der Latency gzip Object Byte

38 Proxy Architektur Forward & Reverse Proxy SSL Proxy IM, Skype & P2P Control HTTP(S), File, Exchange, Streaming, Byte Bandwidth Control, DiffServ Services Technology Partner Blue Coat AV Proxy Custom OS Policy Authentication, Authorization, Logging SGOS Object-based OS with Caching Policy Processing Engine Architectural Foundation for Application Delivery End Point Remote Access & Web Protect

39 Centralized Policy And Reporting Verschiedene Rollen des Proxies Network Data Center Proxy/MACH5 Access Proxy/RA Exchange File Web TCP Streaming Internet Kunden Mitarbeiter Reverse Proxy Partner Web P2P IM Web Streaming Forward Proxy

40 Blue Coat RA – SSL VPN der nächsten Generation –Single Access für Web & Non-Web Applikationen. –Integrierte Endpoint Security & Information Protection. –Keine Client-Software, keine lokalen Admin-Rechte. Blue Coat RA: Einfach & Sicher Public Internet Internes Netzwerk Business Partner & Kunden Mitarbeiter an Heim-PCs, andere unmanaged Devices Mitarbeiter an IT-managed Devices (PC, PDA etc) SSL Information Theft Protection Malware Protection Information Leak Prevention Sensitive & Confidential Corporate Information Authorisierte & Authentisierte Applikations-Requests Web App´s -Server Client-Server Apps Databanken & File Services Terminal Services wie Citrix u.a. Host Integrity Check

41 Blue Coat RA (SSL VPN) Operating System Applikationen S y s t e m C a l l s Blue Coat RA Connector Browser Security Malware Protection Host Integrity TBA Information Controls RA Services SSL Connectivity On Demand Connectivity Web- und Non-Web- Applikationen Keine Admin-Rechte/Reboots Leak-Detector Live-Demo!

42 Integrierte Endpoint Security Malware Protection EXE Signatur- Checks Programm Black/ White Listen Watch-Listen mit kryptografischen Checksummen Information Theft Protection Keylogger Erkennung/Unter- drückung Framegrabber Erkennung/unter- drückung Initaler & laufende Scans Information Leak Prevention Browser Cache / Temp File Real- Time Encryption & Löschung Auto Session Terminierung Auto Session Clean Up (cookies, etc.) Info Controls (save, print, etc.) Host Integrity Check Check von: AV-Updates OS-Patches Firewall Settings Individuelle Checks Stufenlose Access- Steuerung

43 Key Blue Coat RA Features Step 2 Host Integrity Checks Step 3 Malware Protection Step 4 Browser Protection Step 5 Information Usage Control Delivering Secure Connectivity Step 6 Connector Clean Up Step 1 Spyware Blocking

44 Für den Anwender… System Secure. You may log in. Jane.Doe ******* Nutzer startet loggt sich im Portal ein Connector lädt Security Services herunter - Scan & Unterdrückung von Malware - Host Integrity Checks Nutzer wird authentifiziert Connector vervollständigt den Download Nutzer startet Desktop Applikationen Nutzer loggt aus, Session endet Session-Spuren werden automatisch gelöscht

45 Appliance Überblick SG510 Series SG810 Series SG8100 Series Performance Remote Offices Up to 250 users 800 – 4000 users 3000 – 50,000+ users WAN Throughput Connected Users Up to 20Mbps 100Mbps – 140Mbps 200Mbps – 400+ Mbps Corporate Headquarters SG200 Series RA/AV810 Series RA/AV510 Series 30 – 50 Mbps 150 – 1000 users

46 URL-Filtering für zu Hause

47


Herunterladen ppt "SSL-Proxy und SSL-VPN von Blue Coat Systems Technology Day bei eXecure AG, 31. Januar 2007 Michael Hartmann Territory Sales Director DACH & EE Blue Coat."

Ähnliche Präsentationen


Google-Anzeigen