Контроль пользовательского доступа на основе технологии 802.1х и цифровых сертификатов Томилко Виталий Евгеньевич Системный архитектор.

Презентация:



Advertisements
Похожие презентации
Связывая компьютеры, мы объединяем людей Василий Н. Четвериков ЗАО «СофтИнтегро» Использование технологий Citrix при консолидации ИТ.
Advertisements

Безопасность сетевого доступа. Архитектура Cisco TrustSec. Андрей Гиль ООО «Мобильный сервис»
© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Управляемые IT- услуги на платформе Cisco.
Основы Network Access Protection Евгений Николаев
Краткий обзор - SSL VPN itpeople.in.ua Сергей Марунич –
Создание локальной сети на основе ОС Windows Дисциплина «Построение Windows-сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический.
System Center 2012 SP1 Configuration Manager Соответствие параметров Ляшов Евгений
Мониторинг и управление инфраструктурой ИТ на комплексных объектах ТЭК Роман Китаев Директор представительства.
Платформа EZ-Platform: организация управления Wi-Fi сетью Пчелинцев Виктор Менеджер по продуктам.
MobileIron Confidential 1 Защита корпоративных приложений на мобильных устройствах Кривонос Алексей, технический директор headtechnology RU MobileIron.
ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.
ЦИФРОВЫЕ СЕЙФЫ СИСТЕМА ЗАЩИТЫ ВАЖНОЙ ИНФОРМАЦИИ. Существующие методы передачи конфиденциальной информации, такие как электронная почта, файловые сервера.
Комплексная защита информационных ресурсов © 2011, Компания SafenSoft. Все права защищены.
БЕСПРОВОДНАЯ СЕТЬ МЭИ. Концепция BYOD (Bring Your Own Device) Реализация концепции BYOD в МЭИ.
Kraftway Security Shell 2012 Шумилов Максим. 2 Модульная архитектура Минимальные изменения с коде BIOS Модули безопасности реализованы в виде Plug-In.
Омский университет. Центр Интернет ОмГУ Математический факультет ОмГУ.
Организация корпоративной защиты от вредоносных программ Алексей Неверов Пермский государственный университет, кафедра Процессов управления и информационной.
Новое в ITIL v.3: От теории к практике Москва, 2008 Бартенева Мария руководитель отдела ITSM-консалтинга.
СЛУЖБЫ СОЕДИНЕНИЙ Лекция # 2. Виды серверов Web Mail DB Proxy DHCP DNS Котроллер домена Сервер глобального каталога.
W w w. a l a d d i n. r u Владимир Здор, Руководитель направления аутентификации и защиты информации Корпоративная система защиты конфиденциальной информации.
Транксрипт:

Контроль пользовательского доступа на основе технологии 802.1х и цифровых сертификатов Томилко Виталий Евгеньевич Системный архитектор

2 Защита от неавторизованного подключения и контроль пользовательского доступа Предоставление доступа пользователей к внутренним ресурсам Контроль п/о рабочих станций (OS service pack, HotFixes) Наличие последних обновлений антивирусных баз данных на рабочих станциях Контроль техно-парка оборудования (серверы, ноутбуки, рабочие станции, персональные устройства КПК, принтеры, терминалы и т.д) Контроль пользователей и привилегий доступа

3 Защита от неавторизованного подключения и контроль пользовательского доступа Протокол 802.1х Контроль подключений персональных устройств к сети Идентификация и авторизация сетевых устройств и пользователей при подключении к сети Цифровые сертификаты Х.509 Выбор EAP-TLS (PKI инфраструктура) (сертификаты Х.509)

4 Защита от неавторизованного подключения и контроль пользовательского доступа Практические аспекты внедрения решения для территориально- распределенной организации LAN, WAN топология Задачи и пути решения Дизайн Active Directory Пример контроля доступа Сценарии

5 Защита от неавторизованного подключения и контроль пользовательского доступа LAN топология

6 Защита от неавторизованного подключения и контроль пользовательского доступа WAN топология

7 Защита от неавторизованного подключения и контроль пользовательского доступа Дизайн Active Directory

8 Защита от неавторизованного подключения и контроль пользовательского доступа Задачи и пути решения Задачи Снижение затрат на управление IT Идентификация и авторизация Общее повышение защищенности Диагностика и анализ событий Сетевой дизайн Единый носитель сертификата Интеграция с Active Directory Внедрение Certification Authority AAA на базе RADIUS Использование Dot1x инфраструктуры Идентификация на уровне подключения Назначение VLAN ID на порт Назначение IP адреса на рабочую станцию Мониторинг и сбор статистики Достигаемый результат

9 Защита от неавторизованного подключения и контроль пользовательского доступа Сценарии Переезды пользователей. Концепция свободного рабочего места. Посменная работа операторов, кассиров и т.д. Многопользовательская среда. Удаленный доступ к ресурсам (из гостиницы, дома). Установление VPN, авторизация на уровне сети и на уровне приложений Предоставление гостевого входа (доступ в интернет для заказчика, партнера) Подключение принтеров, терминалов и других устройств, не поддерживающих 802.1x

10 Защита от неавторизованного подключения и контроль пользовательского доступа Пример контроля доступа 1 EAPOL-Start frame (802.1x) 2 Switch communicates with ACSv4.0 (Radius (EAPOL)) EAP-TLS Start (Client-Server) RSA signature verification Check CRL 3 Check in the local database, then check the external Active Directory Certificate CN Comparison Certificate SAN Comparison Certificate Binary Comparison 4 Response from AD. Group mapping. Rules assignment (VLAN, timerange, etc) (Radius (EAPOL)) Radius AV-pairs [64] Tunnel Type – VLAN (13) [65] Tunnel-Medium-Type – 802 (6) [81] Tunnel-Private-Group-ID – vlan number Возможно ACL download! [009/001] cisco-av-pair 5 Switch assign VLAN to the user's port. User start DHCP request. (DHCP, BOOTP) 6 Server assign IP address from a pool of this VLAN

11 Защита от неавторизованного подключения и контроль пользовательского доступа AD. Users and Computers. Групповые политики Remote access permission (Dial-up or VPN) Autoenrollment settings (Enroll certificate automatically) Smart card removal behavior (Lock Workstation) Users Computers Groups membership (Domain administrators, Domain users, Telecom) Control local devices (USB, COM, IrDA,Bluetooth, Wi-Fi т.д.)

12 Защита от неавторизованного подключения и контроль пользовательского доступа Развитие. Комплексное решение на основе агентского П/О Загрузка обновлений Повторный аудит Подключение к сетиПредоставление доступа Cбор версий OS, hotfixs, версии антивирусного п/о Сканирование стека TCP/IP Анализ реестра

13 Защита от неавторизованного подключения и контроль пользовательского доступа Решения на основе 802.1х инфраструктуры Сервер AntiVirus Сервер Обновления Сервер Аудита Новые элементы Агентское П/О

14 Защита от неавторизованного подключения и контроль пользовательского доступа Решения независимые от 802.1х инфраструктуры Сервер Управления Сервер AntiVirus Серверы Доступа Новые элементы Сервер Обновления Агентское П/О

15 Защита от неавторизованного подключения и контроль пользовательского доступа Архитектура решения Внутри полосы (in-band)Вне полосы (out-of-band)

16 Защита от неавторизованного подключения и контроль пользовательского доступа Контроль подключения к сетевым ресурсам на уровне пользователя или рабочей станции При физическом подключении к сети сразу высылается запрос на авторизацию Использование цифровых сертификатов для идентификации пользователя или рабочей станции Преимущества Решения на основе 802.1х инфраструктуры Недостатки Нет SSO (Single Sign-On) Не все операционные системы и коммутаторы поддерживают 802.1х Нет проверки состояния п/о рабочей станции

17 Защита от неавторизованного подключения и контроль пользовательского доступа Преимущества Решения на основе агентского п/о Недостатки Очень высокие требования к отказоустойчивости инфраструктуры сети Контроль подключения к сетевым ресурсам вплоть до уровня приложений Независимость от типа операционных систем на рабочих станциях Централизованная проверка состояния рабочей станции на соответствие корпоративным правилам Централизованное управление всеми коммутаторами (настройки вплоть до порта) Возможность реализации SSO (Single Sign-On)

18 Защита от неавторизованного подключения и контроль пользовательского доступа ТЕХНОЛОГИИ ОТКРЫТИЙ Россия, , Москва, ул. Обручева, 30, стр. 2 Тел.: (495) , Факс: (495) ,

19 Защита от неавторизованного подключения и контроль пользовательского доступа