Безопасность сетевого доступа. Архитектура Cisco TrustSec. Андрей Гиль ООО «Мобильный сервис» ag@netland.by.

Презентация:



Advertisements
Похожие презентации
Обеспечение безопасности корпоративной сети в разрезе BYOD Карнаухов Кирилл Ведущий системный инженер 4-5 декабря _Инновационные.
Advertisements

WAAS - решение для оптимизации функционирования приложений в филиальной сети банка через глобальные каналы связи Андрей Гиль Системный инженер ООО «Мобильный.
802.1х и SFlow механизмы обеспечения сетевой безопасности и мониторинга в совместном решении HP ProCurve Networking и компании Сетевые решения.
Основы Network Access Protection Евгений Николаев
Secure Lync mobile Authentication V
Контроль пользовательского доступа на основе технологии 802.1х и цифровых сертификатов Томилко Виталий Евгеньевич Системный архитектор.
Если вы хотите: Сократить расходы на использование Интернет в вашей организации Контролировать использование Интернет трафика Ограничивать доступ к различным.
Amazon Web Services Д.И. Свирихин (ВМИ-115). Amazon Web Services Стандарт «de facto» в области облачной инфраструктуры Богатый выбор образов заранее сконфигурированных.
Авторское право © BIT Impulse. Все права защищены. Инструмент для бизнес-анализа Архитектура системы.
Платформа EZ-Platform: организация управления Wi-Fi сетью Пчелинцев Виктор Менеджер по продуктам.
Локальная сеть Практическая работа 1 1.IP-адрес уникальный идентификатор устройства (обычно компьютера), подключённого к интернету или локальной сети.
Глава 3. Виртуальные локальные сети (VLAN). Введение 3.1 Сегментация виртуальных локальных сетей 3.2 Реализации виртуальной локальной сети 3.3 Проектирование.
Представляем 1 KASPERSKY SECURITY ДЛЯ БИЗНЕСА Ренат Шафиков Региональный представитель по ПФО
Институт проблем регистрации информации НАН Украины г. КИЕВ Организации сетевого взаимодействия пространственно-распределенных элементов информационно-
Политика безопасности компании I-TEAM IT-DEPARTMENT Подготовил: Загинайлов Константин Сергеевич.
Создание локальной сети на основе ОС Windows Дисциплина «Построение Windows-сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический.
Мобильный офис глазами пентестера Дмитрий Евтеев (Positive Technologies)
БЕЗОПАСНОСТЬ РАБОТЫ В ЛОКАЛЬНОЙ СЕТИ Учитель информатики и математики МОУ «Ушаковская СОШ» Шимановского района Амурской области Гатилова Татьяна Геннадьевна.
Secret Net 5.0 сетевой вариант Система защиты информации от несанкционированного доступа нового поколения.
ЛИНС-М CiscoExpo 2008 Москва 15 октября 2008г. Практический опыт обеспечения защищенного взаимодействия мобильных пользователей с информационными ресурсами.
Транксрипт:

Безопасность сетевого доступа. Архитектура Cisco TrustSec. Андрей Гиль ООО «Мобильный сервис»

Зачем нужен TrustSec? Обеспечивает контроль доступа в масштабах всей сети Добавляет гибкость и масштабируемость безопасности сети Повышает уровень защищенности и контроля сети

Идентификация NAC нового поколения Кто/Что/Откуда/Когда и Как TrustSec – система идентификации TrustSec – системный подход к единому управлению на основе политик и ролей

TrustSec = Идентификация

TrustSec – что это? IEEE 802.1X (Dot1x) Технологии профилирования Гостевой сервис Secure Group Access (SGA) MACSec (802.1AE) Identity Services Engine (ISE) Access Control Server (ACS)

TrustSec – как это? Нет необходимости модернизировать существующую сеть

802.1X Только сотрудники имеющие уникальный идентификатор могут получить доступ к информационной инфраструктуре Любой доступ контролируется и отслеживается

Без 802.1X Нет видимости Нет контроля доступа SWITCHPORT DHCP TFTP KRB5 HTTP ? USER ?

Сеть под охраной Весь трафик кроме EAPoL блокируется Строгий контроль доступа SWITCHPORT DHCP TFTP KRB5 HTTP EAPoL ? USER ?

Сеть под охраной После аутентификации: Пользователь или устройство идентифицированны Доступ контролируется DHCP TFTP SWITCHPORT KRB5 HTTP

Сеть под наблюдением Режим Monitor Mode: Включает аутентификацию 802.1Х на коммутаторе Даже в случае неудачной аутентификации обеспечивает доступ Позволяет администратору избежать создания Denial of Service атаки Cisco ISE детально отображает все попытки доступа в сеть

Что упускает 802.1X? Не-аутентифицируемые устройства – Устройства не поддерживающие язык EAP – Принтеры, ip телефоны, камеры, считыватели Как поступить с такими устройствами? – Не включать 802.1X на портах? – Что делать если они перемещаются? Решение – MAC Authentication Bypass (MAB)

MAB это заплатка В идеале все устройства должны пройти аутентификацию MAB ни в коем случае не замена 802.1X Список MAC адресов может быть локальным или централизованным с помощью сервера Cisco ISE

Гостевой доступ Проблемы с гостями: – Гости не имеют сконфигурированных супликантов – Не авторизованы для доступа Решение проблемы: – Dot1x таймауты – WEB аутентификация с помощью Cisco ISE

Жизненный цикл гостевого доступа

Профилирование Задача: требуется автоматический процесс построения списка MAB. Решение: Профилирование устройств – Прозрачность в сети – Построение политик на основе роли пользователя и типе устройства

Управление безопасностью конечных устройств Задача: – Сотрудники банка должны использовать только проверенные устройства – Все устройства должны быть оснащенны антивирусом Anti-Virus, который должен быть запущен и иметь последние обновления – На всех гостевых устройствах должен быть запущен антивирус Решение: – Проверка состояния с помощью Cisco ISE

Сердце TrustSec Сервер политик спроектированный для TrustSec Центральные политики AAA сервисы Проверка состояния Гостевой доступ Профилирование Мониторинг Поиск неисправностей Отчетность ACS NAC Profiler NAC Guest NAC Manager NAC Server Identity Services Engine

Следующий шаг! Secure Group Access Уникальная метка 16 bit присваивается каждой роли Представляет привилегии пользователя, устройства или субъекта Тегирование на входе в домен TrustSec Фильтрация по меткам (SGACL) на выходе из домена Правила без IP- адресов Политика распределяется от центрального сервера политик Cisco ISE на локальные устройства TrustSec

Приемущества TrustSec:

Платформа единой политики: сценарии использования

Безопасность сетевого доступа. Архитектура Cisco TrustSec. Андрей Гиль