Контроль пользовательского доступа на основе технологии 802.1х и цифровых сертификатов Томилко Виталий Евгеньевич Системный архитектор
2 Защита от неавторизованного подключения и контроль пользовательского доступа Предоставление доступа пользователей к внутренним ресурсам Контроль п/о рабочих станций (OS service pack, HotFixes) Наличие последних обновлений антивирусных баз данных на рабочих станциях Контроль техно-парка оборудования (серверы, ноутбуки, рабочие станции, персональные устройства КПК, принтеры, терминалы и т.д) Контроль пользователей и привилегий доступа
3 Защита от неавторизованного подключения и контроль пользовательского доступа Протокол 802.1х Контроль подключений персональных устройств к сети Идентификация и авторизация сетевых устройств и пользователей при подключении к сети Цифровые сертификаты Х.509 Выбор EAP-TLS (PKI инфраструктура) (сертификаты Х.509)
4 Защита от неавторизованного подключения и контроль пользовательского доступа Практические аспекты внедрения решения для территориально- распределенной организации LAN, WAN топология Задачи и пути решения Дизайн Active Directory Пример контроля доступа Сценарии
5 Защита от неавторизованного подключения и контроль пользовательского доступа LAN топология
6 Защита от неавторизованного подключения и контроль пользовательского доступа WAN топология
7 Защита от неавторизованного подключения и контроль пользовательского доступа Дизайн Active Directory
8 Защита от неавторизованного подключения и контроль пользовательского доступа Задачи и пути решения Задачи Снижение затрат на управление IT Идентификация и авторизация Общее повышение защищенности Диагностика и анализ событий Сетевой дизайн Единый носитель сертификата Интеграция с Active Directory Внедрение Certification Authority AAA на базе RADIUS Использование Dot1x инфраструктуры Идентификация на уровне подключения Назначение VLAN ID на порт Назначение IP адреса на рабочую станцию Мониторинг и сбор статистики Достигаемый результат
9 Защита от неавторизованного подключения и контроль пользовательского доступа Сценарии Переезды пользователей. Концепция свободного рабочего места. Посменная работа операторов, кассиров и т.д. Многопользовательская среда. Удаленный доступ к ресурсам (из гостиницы, дома). Установление VPN, авторизация на уровне сети и на уровне приложений Предоставление гостевого входа (доступ в интернет для заказчика, партнера) Подключение принтеров, терминалов и других устройств, не поддерживающих 802.1x
10 Защита от неавторизованного подключения и контроль пользовательского доступа Пример контроля доступа 1 EAPOL-Start frame (802.1x) 2 Switch communicates with ACSv4.0 (Radius (EAPOL)) EAP-TLS Start (Client-Server) RSA signature verification Check CRL 3 Check in the local database, then check the external Active Directory Certificate CN Comparison Certificate SAN Comparison Certificate Binary Comparison 4 Response from AD. Group mapping. Rules assignment (VLAN, timerange, etc) (Radius (EAPOL)) Radius AV-pairs [64] Tunnel Type – VLAN (13) [65] Tunnel-Medium-Type – 802 (6) [81] Tunnel-Private-Group-ID – vlan number Возможно ACL download! [009/001] cisco-av-pair 5 Switch assign VLAN to the user's port. User start DHCP request. (DHCP, BOOTP) 6 Server assign IP address from a pool of this VLAN
11 Защита от неавторизованного подключения и контроль пользовательского доступа AD. Users and Computers. Групповые политики Remote access permission (Dial-up or VPN) Autoenrollment settings (Enroll certificate automatically) Smart card removal behavior (Lock Workstation) Users Computers Groups membership (Domain administrators, Domain users, Telecom) Control local devices (USB, COM, IrDA,Bluetooth, Wi-Fi т.д.)
12 Защита от неавторизованного подключения и контроль пользовательского доступа Развитие. Комплексное решение на основе агентского П/О Загрузка обновлений Повторный аудит Подключение к сетиПредоставление доступа Cбор версий OS, hotfixs, версии антивирусного п/о Сканирование стека TCP/IP Анализ реестра
13 Защита от неавторизованного подключения и контроль пользовательского доступа Решения на основе 802.1х инфраструктуры Сервер AntiVirus Сервер Обновления Сервер Аудита Новые элементы Агентское П/О
14 Защита от неавторизованного подключения и контроль пользовательского доступа Решения независимые от 802.1х инфраструктуры Сервер Управления Сервер AntiVirus Серверы Доступа Новые элементы Сервер Обновления Агентское П/О
15 Защита от неавторизованного подключения и контроль пользовательского доступа Архитектура решения Внутри полосы (in-band)Вне полосы (out-of-band)
16 Защита от неавторизованного подключения и контроль пользовательского доступа Контроль подключения к сетевым ресурсам на уровне пользователя или рабочей станции При физическом подключении к сети сразу высылается запрос на авторизацию Использование цифровых сертификатов для идентификации пользователя или рабочей станции Преимущества Решения на основе 802.1х инфраструктуры Недостатки Нет SSO (Single Sign-On) Не все операционные системы и коммутаторы поддерживают 802.1х Нет проверки состояния п/о рабочей станции
17 Защита от неавторизованного подключения и контроль пользовательского доступа Преимущества Решения на основе агентского п/о Недостатки Очень высокие требования к отказоустойчивости инфраструктуры сети Контроль подключения к сетевым ресурсам вплоть до уровня приложений Независимость от типа операционных систем на рабочих станциях Централизованная проверка состояния рабочей станции на соответствие корпоративным правилам Централизованное управление всеми коммутаторами (настройки вплоть до порта) Возможность реализации SSO (Single Sign-On)
18 Защита от неавторизованного подключения и контроль пользовательского доступа ТЕХНОЛОГИИ ОТКРЫТИЙ Россия, , Москва, ул. Обручева, 30, стр. 2 Тел.: (495) , Факс: (495) ,
19 Защита от неавторизованного подключения и контроль пользовательского доступа