Jak zbudowac bezpieczną, wydajną i wielousługową sieć

Download Report

Transcript Jak zbudowac bezpieczną, wydajną i wielousługową sieć

Bezpieczeństwo styku sieci korporacyjnej

Agenda

Kontrola dostępu do zasobów -

Network Admission Control

Agenda

Agenda

Network Admission Control

Aspekty biznesowe NAC

Dlaczego potrzebujemy NAC? Weryfikujemy ruch tylko na styku z siecią Internet Rezultat?

1. Znamy status partnera na styku z siecią Internet 2. Nie znamy statusu stacji końcowych w sieci LAN – brak mechanizmów weryfikacji

Dlaczego potrzebujemy NAC?

Weryfikujemy status urządzeń w dostępie do sieci LAN Rezultat?

Znamy podatność stacji końcowych na zagrożenia anty-X 2.

Wprowadzamy reguły ruchu wzg statusu stacji

Jak działa NAC? Zadanie NAC: Sprawdź status stacji i przydziel politykę na podstawie przeprowadzonej weryfikacji!!!

WYMUSZA ROZPOZNAJE Rozpoznaje: Użytkowników, urządzenia, role (gość, pracownik, partner, etc.) Sprawdza: Podatność urządzeń na ataki SPRAWDZA Wymusza: Wprowadzenie reguł ruchu Rezultat: Tylko stacje spełniające politykę dopuszczamy do zasobów

SEC 6

Co sprawdza NAC?

SEC

Zintegrowane rozwiązanie sprawdzające zgodność z polityką oraz zapewniające usługę remediation

•

Skanowanie pod kątem bezpieczeństwa

Podatność systemu operacyjnego : wersji hotfixów, wersje, servicepack Obecność systemu antywisowego : wykrycia infekcji wirusów I robaków Audyt sieciowy urządzeń w celu sprawdzenia portów usług i podatności na atak

HIPS (CSA) Ochrona stacji przed zagrożeniami Anty-X

•

Kwarantanna sieciowa



Izolacja urządzeń nizgodnych z policy od reszty sieci Identyfikacja urządzeń przekierowanych do kwarantanny na podstawie adresów MAC i IP

•

Naprawa i Update Narzędzia sieciowe pozwalające na doprowadzenie hosta do stanu zgodności (zmniejszenie podatności na ataki i zagrożenia)

Network Admission Control

Portfolio produktowe

NAC – dwie ścieżki produktowe NAC Framework

: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych

Cisco Clean Access

: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC SEC

Host Kontrola Decyzja

NAC Framework – możliwe scenariusze Host Kontrola Decyzja i zapobieganie LAN WAN Użytkownik mobilny Serwer katalogowy Serwer ratunkowy ACS v4.0

Serwer anty wirusowy Inne serwery

NAC – dwie ścieżki produktowe NAC Framework

: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych

Cisco Clean Access

: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC SEC

Host Kontrola Decyzja

Cisco Clean Access – możliwe scenariusze In-band out-of-band VPN

Aktualni Partnerzy Programu http://www.cisco.com/en/US/partners/pr46/nac/partners.html

Network Admission Control

NAC w akcji

Dotychczasowe mechanizmy kontroli Harnaś: “Zainstalowałem niezałatane Windows XP. Mam gigabitowy interfejs sieciowy, mocny procesor i wiele wirusów. W szczycie wygeneruje ruch dochodzący do 600-700Mbit/s, z czego większość będzie próbą zarażenia jak największej liczby innych hostów. Miłego dnia.” Tomek “Witam!” Anna: “Witam!” Harnaś: “Witojcie, To sem ja handlowiec .” Dostęp zezwolony Marek: “Cześć, jestem administratorem ”

SEC 15

SEC

Właściwe rozwiązanie: Cisco NAC Harnaś: handlowiec Windows 2000 brak Service Packa brak Antywirusa brak łatek Kwarantanna Serwer katalogowy Serwer weryfikujący Serwer ratunkowy

1 1 1 1

Polityka:

uwierzytelnienie

Windows XP Service Pack 2 CTA 2.0

antywirus łatki

NAC perspektywa użytkownika CTA Popup

SEC

Wystarczy 1 ping/DHCP/ARP do uwierzytelnienia hosta.

Network Admission Control

Przykłady wdrożeń

NAC – wdrożenie w sektorze przemysłowym

Cel projektu:

znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej, wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems integracja z istniejącym systemem antywirusowym

F-secure Sposób realizacji Oddziały AV Server ACS 4.0

AAA AAA Portal WWW AAA WAN FR Firmowe centrum danych Korzyści

centralna informacja o statusie urządzeń mechanizm autentykacji i autoryzacji urządzeń rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji SEC © 2006 Cisco Systems, Inc. All rights reserved.

NAC – wdrożenie w sektorze telekomunikacyjnym

Cel projektu:

Implementacja reguł na styku z siecią komputerową – port Ethernet Sposób realizacji ACS AV PORTAL AAA AAA AAA

Korzyści

Podsumowanie

•Przeniesienie brzegu sieci do stacji końcowych •Spójna polityka dla styku z siecią Internet, WLAN, WAN oraz dostępu z sieci LAN • Niezależność od architektury sieciowej SEC © 2006 Cisco Systems, Inc. All rights reserved.

Network Admission Control Pytania… Pytania… Pytania…

SEC CISCO Business Partner

[email protected]

Jak zbudowac bezpieczną, wydajną i wielousługową sieć

Transcript Jak zbudowac bezpieczną, wydajną i wielousługową sieć

Agenda

Network Admission Control

Agenda

Aspekty biznesowe NAC

Portfolio produktowe

NAC w akcji

Przykłady wdrożeń

Podsumowanie

Directory